Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Rôles d'Elastic Beanstalk Service, profils d'instance et politiques utilisateur
Les rôles sont des entités que vous créez avec Gestion des identités et des accès AWS (IAM) pour appliquer des autorisations. Certains rôles sont nécessaires au bon fonctionnement de votre environnement Elastic Beanstalk. Vous avez également la possibilité de créer vos propres politiques et rôles personnalisés que vous pouvez attribuer à des utilisateurs ou à des groupes.
## Rôles obligatoires pour votre environnement Elastic Beanstalk
Lorsque vous créez un environnement, il vous AWS Elastic Beanstalk invite à fournir les rôles Gestion des identités et des accès AWS (IAM) suivants :
+ [Rôle de service](concepts-roles-service.md) : Elastic Beanstalk assume un rôle de service pour Services AWS en utiliser d'autres en votre nom.
+ [Profil d'instance](concepts-roles-instance.md) Elastic Beanstalk applique un profil d'instance aux instances Amazon EC2 de votre environnement. Cette action leur permet d'effectuer les tâches requises, telles que la récupération d'informations depuis Amazon Simple Storage Service (Amazon S3) et le téléchargement de journaux vers S3.
**Création du rôle de service et du rôle de profil d'instance EC2**
Si votre AWS compte ne possède pas de profil d'instance EC2 ni de rôle de service, vous devez en créer un à l'aide du service IAM. Vous pouvez ensuite attribuer le profil d'instance EC2 et le rôle de service aux nouveaux environnements que vous créez. L'assistant de **création d'un environnement** vous guide vers le service IAM, afin que vous puissiez créer ces rôles avec les autorisations requises.
## Politiques et rôles facultatifs pour gérer votre environnement Elastic Beanstalk
Vous pouvez éventuellement créer des [politiques utilisateur](concepts-roles-user.md) et les appliquer aux utilisateurs et aux groupes IAM de votre compte. Cela permet aux utilisateurs de créer et de gérer des applications et des environnements Elastic Beanstalk. Vous pouvez également attribuer des politiques gérées par [Elastic Beanstalk](AWSHowTo.iam.managed-policies.md) pour un accès complet et un accès en lecture seule aux utilisateurs ou aux groupes. Pour plus d'informations sur ces stratégies, consultez [Gestion des stratégies utilisateur Elastic Beanstalk](AWSHowTo.iam.managed-policies.md).
Vous pouvez créer vos propres profils d'instance et stratégies utilisateur pour des scénarios avancés. Si vos instances ont besoin d'accéder à des services qui ne sont pas inclus dans les politiques par défaut, vous pouvez créer une politique ou ajouter des politiques supplémentaires à celle par défaut. Si la politique gérée est trop permissive pour vos besoins, vous pouvez également créer des politiques d'utilisateur plus restrictives. Pour plus d'informations sur AWS les autorisations, consultez le []().
# Rôle de service Elastic Beanstalk
Un rôle de service correspond au rôle IAM exercé par Elastic Beanstalk lorsqu'il appelle d'autres services en votre nom. Par exemple, Elastic Beanstalk utilise un rôle de service lorsqu'il appelle Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing et Amazon EC2 Auto Scaling pour recueillir des informations. APIs La fonction du service utilisée par Elastic Beanstalk est celle que vous avez spécifiée lorsque vous créez l'environnement Elastic Beanstalk.
Il y a deux politiques gérées attachée à la fonction du service. Ces politiques fournissent les autorisations qui permettent à Elastic Beanstalk d'accéder aux ressources nécessaires pour créer AWS et gérer vos environnements. Elastic Beanstalk fournit une politique gérée pour la [surveillance améliorée de l'état](health-enhanced.md), un support Amazon SQS de niveau de travail et une autre qui comporte les autorisations supplémentaires requises pour les [mises à jour gérées de la plateforme](environment-platform-update-managed.md).
## `AWSElasticBeanstalkEnhancedHealth`
Cette politique accorde des autorisations pour qu'Elastic Beanstalk surveille l'état de l'instance et de l'environnement. Cette stratégie inclut également des actions Amazon SQS qui permettent à Elastic Beanstalk de surveiller l'activité de file d'attente pour les environnements de travail. Pour consulter le contenu de cette stratégie gérée, consultez la [ AWSElasticBeanstalkEnhancedHealth](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkEnhancedHealth.html)page du *Guide de référence des politiques AWS gérées*.
## `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy`
Cette politique octroie des autorisations à Elastic Beanstalk pour mettre à jour les environnements en votre nom afin d'effectuer des mises à jour de plateforme gérées. Pour consulter le contenu de cette stratégie gérée, consultez la [AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy.html)page du *Guide de référence des politiques AWS gérées*.
**Groupements d'autorisations de niveau service**
Cette politique est groupée en instructions basées sur le jeu d'autorisations fourni.
+ *`ElasticBeanstalkPermissions`*— Ce groupe d'autorisations permet d'appeler les actions du service Elastic Beanstalk (Elastic Beanstalk). APIs
+ *`AllowPassRoleToElasticBeanstalkAndDownstreamServices`* – Ce groupe d'autorisations permet de transmettre n'importe quel rôle à Elastic Beanstalk et à d'autres services aval comme CloudFormation.
+ * `ReadOnlyPermissions` * — Ce groupe d'autorisations sert à collecter des informations sur l'environnement en cours d'exécution.
+ *`*OperationPermissions`* — Les groupes avec ce schéma de nommage servent à appeler les opérations nécessaires pour effectuer les mises à jour de la plateforme.
+ *`*BroadOperationPermissions`* — Les groupes avec ce schéma de nommage servent à appeler les opérations nécessaires pour effectuer les mises à jour de la plateforme. Ils incluent également des autorisations étendues pour la prise en charge d'environnements hérités.
+ *`*TagResource`*— Les groupes dotés de ce modèle de dénomination sont destinés aux appels qui utilisent le tag-on-create APIs pour attacher des balises à des ressources créées dans un environnement Elastic Beanstalk.
Vous pouvez créer un environnement Elastic Beanstalk en utilisant l'une des approches suivantes. Chaque section décrit la manière dont l'approche gère la fonction du service.
**Console Elastic Beanstalk**
Si vous créez un environnement en utilisant la console Elastic Beanstalk, ce dernier vous invite à créer une fonction du service nommée `aws-elasticbeanstalk-service-role`. Lorsqu'il est créé via Elastic Beanstalk, cette fonction inclut une politique de confiance qui permet à Elastic Beanstalk d'assumer la fonction du service. Les deux politiques gérées décrites plus haut dans cette rubrique sont également associées à la fonction.
**Interface de ligne de commande Elastic Beanstalk (EB CLI)**
Vous pouvez créer un environnement en utilisant la commande [**eb create**](eb3-create.md) de l'interface de ligne de commande Elastic Beanstalk (EB CLI). Si vous ne spécifiez pas de fonction du service via l'option `--service-role`. Elastic Beanstalk crée la même fonction du service par défaut `aws-elasticbeanstalk-service-role`. Si le rôle de service par défaut existe déjà, Elastic Beanstalk l'utilise pour le nouvel environnement. Lorsqu'il est créé via Elastic Beanstalk, cette fonction inclut une politique de confiance qui permet à Elastic Beanstalk d'assumer la fonction du service. Les deux politiques gérées décrites plus haut dans cette rubrique sont également associées au rôle.
**API Elastic Beanstalk**
Vous pouvez créer un environnement en utilisant l'action `CreateEnvironment` de l'API Elastic Beanstalk. Si vous ne spécifiez pas de fonction du service, Elastic Beanstalk crée un rôle lié au service de surveillance. Il s'agit d'un type unique de rôle de service prédéfini par Elastic Beanstalk afin d'inclure toutes les autorisations dont le service a besoin pour appeler d'autres personnes en votre nom. Services AWS Le rôle lié à un service est associé à votre compte. Elastic Beanstalk le crée une seule fois, et le réutilise lors de la création d'environnements supplémentaires. Vous pouvez également utiliser IAM pour créer à l'avance le rôle lié au service de surveillance de votre compte. Lorsque votre compte dispose d'un rôle lié à un service de surveillance, vous pouvez l'utiliser pour créer un environnement à l'aide de la console ou de l'API Elastic Beanstalk, ou bien via l'interface de ligne de commande EB. Pour obtenir des instructions sur l'utilisation des rôles liés à un service avec les environnements Elastic Beanstalk, veuillez consulter [Utilisation des rôles liés à un service pour Elastic Beanstalk](using-service-linked-roles.md).
Pour de plus amples informations sur les rôles de service, veuillez consulter [Gestion des rôles de service Elastic Beanstalk](iam-servicerole.md).
# Profil d'instance Elastic Beanstalk
Un profil d'instance est un rôle IAM qui est appliqué aux instances Amazon EC2 lancées dans votre environnement Elastic Beanstalk. Lorsque vous créez un environnement Elastic Beanstalk, vous spécifiez le profil d'instance utilisé lorsque vos instances EC2 effectuent les actions suivantes :
+ récupèrent les [versions de l'application](concepts.md#concepts-version) depuis Amazon Simple Storage Service (Amazon S3) ;
+ écrivent des journaux dans Amazon S3 ;
+ dans des [environnements intégrés AWS X-Ray](environment-configuration-debugging.md), chargent des données de débogage dans X-Ray
+ dans les environnements Docker gérés par Amazon ECS, coordonez les déploiements de conteneurs avec Amazon Elastic Container Service (Amazon ECS) ;
+ lisent à partir d'une file d'attente Amazon Simple Queue Service (Amazon SQS) (dans les environnements de travail) ;
+ effectuent des choix principaux avec Amazon DynamoDB (dans les environnements de travail) ;
+ Dans les environnements de travail, publiez les indicateurs de santé des instances sur Amazon CloudWatch
## Politiques gérées
Elastic Beanstalk fournit un ensemble de stratégies gérées qui permettent aux instances EC2 de votre environnement d'effectuer les opérations requises. Les stratégies gérées requises pour les cas d'utilisation de base sont les suivantes.
+ `AWSElasticBeanstalkWebTier`
+ `AWSElasticBeanstalkWorkerTier`
+ `AWSElasticBeanstalkMulticontainerDocker`
Si votre application Web nécessite l'accès à d'autres services supplémentaires Services AWS, ajoutez des instructions ou des politiques gérées au profil d'instance qui autorisent l'accès à ces services. Pour de plus amples informations, veuillez consulter [Ajout d'autorisations au profil d'instance par défaut](iam-instanceprofile.md#iam-instanceprofile-addperms).
## Création d'un profil d'instance EC2
Si votre AWS compte ne possède pas de profil d'instance EC2, vous devez en créer un à l'aide du service IAM. Vous pouvez ensuite attribuer le profil d'instance EC2 aux nouveaux environnements que vous créez. Les étapes de **création d'un environnement** de la console Elastic Beanstalk vous permettent d'accéder à la console IAM, afin que vous puissiez créer un profil d'instance EC2 avec les autorisations requises.
Vous pouvez également créer un profil d'instance EC2 en accédant directement à la console IAM, sans passer par la console Elastic Beanstalk. Pour connaître les étapes détaillées de création d'un profil d'instance Elastic Beanstalk EC2 dans la console IAM, consultez. [Création d'un profil d'instance](iam-instanceprofile.md#iam-instanceprofile-create)
# Stratégie utilisateur Elastic Beanstalk
Pour éviter d'utiliser votre compte racine ou de partager les informations d'identification, créez des utilisateurs IAM pour chaque utilisateur qui exploite Elastic Beanstalk. En tant que bonne pratique de sécurité, n'accordez à ces utilisateurs que les autorisations d'accès aux services et fonctions dont ils ont besoin.
Elastic Beanstalk exige des autorisations non seulement pour les actions de ses propres API, mais aussi pour plusieurs autres AWS . Elastic Beanstalk utilise les autorisations utilisateur pour lancer des ressources dans un environnement. Ces ressources incluent des instances EC2, un équilibreur de charge Elastic Load Balancing et un groupe Auto Scaling. Elastic Beanstalk utilise également les autorisations des utilisateurs pour enregistrer des journaux et des modèles sur Amazon Simple Storage Service (Amazon S3), envoyer des notifications à Amazon SNS, attribuer des profils d'instance et publier des métriques sur. CloudWatch Elastic CloudFormation Beanstalk nécessite des autorisations pour orchestrer les déploiements et les mises à jour des ressources. Ce service a également besoin d'autorisations Amazon RDS pour créer des bases de données si nécessaire, et d'autorisations Amazon SQS pour créer des files d'attente pour les environnements de travail.
Pour plus d'informations sur les stratégies utilisateur, consultez [Gestion des stratégies utilisateur Elastic Beanstalk](AWSHowTo.iam.managed-policies.md).