Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Peran Elastic Beanstalk Service, profil instans, dan kebijakan pengguna
Peran adalah entitas yang Anda buat dengan AWS Identity and Access Management (IAM) untuk menerapkan izin. Ada peran yang diperlukan agar lingkungan Elastic Beanstalk Anda berfungsi dengan baik. Anda juga memiliki opsi untuk membuat kebijakan dan peran kustom Anda sendiri yang dapat Anda tetapkan ke pengguna atau grup.
## Peran yang diperlukan untuk lingkungan Elastic Beanstalk Anda
Saat Anda membuat lingkungan, AWS Elastic Beanstalk meminta Anda untuk memberikan peran berikut AWS Identity and Access Management (IAM):
+ [Peran layanan](concepts-roles-service.md): Elastic Beanstalk mengasumsikan peran layanan untuk menggunakan orang lain atas nama Anda. Layanan AWS
+ [Profil instans](concepts-roles-instance.md) Elastic Beanstalk menerapkan profil instans ke instans Amazon EC2 di lingkungan Anda. Tindakan ini memungkinkan mereka untuk melakukan tugas yang diperlukan, seperti mengambil informasi dari Amazon Simple Storage Service (Amazon S3) dan mengunggah log ke S3.
**Buat peran layanan dan peran profil instans EC2**
Jika AWS akun Anda tidak memiliki profil instans EC2 atau peran layanan, Anda harus membuat salah satu dari masing-masing menggunakan layanan IAM. Anda kemudian dapat menetapkan profil instans EC2 dan peran layanan ke lingkungan baru yang Anda buat. Wizard **Buat lingkungan** memandu Anda ke layanan IAM, sehingga Anda dapat membuat peran ini dengan izin yang diperlukan.
## Kebijakan dan peran opsional untuk mengelola lingkungan Elastic Beanstalk Anda
Anda dapat membuat [kebijakan pengguna](concepts-roles-user.md) secara opsional dan menerapkannya pada pengguna dan grup IAM di akun Anda. Melakukannya memungkinkan pengguna untuk membuat dan mengelola aplikasi dan lingkungan Elastic Beanstalk. Anda juga dapat menetapkan kebijakan terkelola Elastic [Beanstalk](AWSHowTo.iam.managed-policies.md) untuk akses penuh dan akses hanya-baca ke pengguna atau grup. Untuk informasi selengkapnya tentang kebijakan ini, lihat[Mengelola kebijakan pengguna Elastic Beanstalk](AWSHowTo.iam.managed-policies.md).
Anda dapat membuat profil instans Anda sendiri dan kebijakan pengguna untuk skenario lanjutan. Jika instans Anda perlu mengakses layanan yang tidak disertakan dalam kebijakan default, Anda dapat membuat kebijakan baru atau menambahkan kebijakan tambahan ke kebijakan default. Jika kebijakan terkelola terlalu permisif untuk kebutuhan Anda, Anda juga dapat membuat kebijakan pengguna yang lebih ketat. Untuk informasi selengkapnya tentang AWS izin, lihat []().
# Peran layanan Elastic Beanstalk
Peran layanan adalah IAM role yang diasumsikan Elastic Beanstalk saat memanggil layanan lain atas nama Anda. Misalnya, Elastic Beanstalk menggunakan peran layanan saat memanggil Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing, dan Amazon EC2 Auto Scaling untuk mengumpulkan informasi. APIs Peran layanan yang digunakan Elastic Beanstalk adalah peran yang Anda tentukan saat membuat lingkungan Elastic Beanstalk.
Ada dua kebijakan terkelola yang melekat pada peran layanan. Kebijakan ini memberikan izin yang memungkinkan Elastic Beanstalk mengakses sumber daya yang diperlukan untuk membuat dan mengelola AWS lingkungan Anda. Satu kebijakan terkelola memberikan izin untuk [pemantauan kesehatan yang ditingkatkan](health-enhanced.md) dan dukungan Amazon SQS tingkat pekerja, dan kebijakan lainnya memberikan izin tambahan yang diperlukan [untuk](environment-platform-update-managed.md) pembaruan platform terkelola.
## `AWSElasticBeanstalkEnhancedHealth`
Kebijakan ini memberikan izin untuk Elastic Beanstalk untuk memantau instans dan kondisi lingkungan. Ini juga mencakup tindakan Amazon SQS untuk memungkinkan Elastic Beanstalk memantau aktivitas antrian untuk lingkungan pekerja. Untuk melihat konten kebijakan terkelola ini, lihat [ AWSElasticBeanstalkEnhancedHealth](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkEnhancedHealth.html)halaman di *Panduan Referensi Kebijakan AWS Terkelola*.
## `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy`
Kebijakan ini memberikan izin untuk Elastic Beanstalk untuk memperbarui lingkungan atas nama Anda untuk melakukan pembaruan platform yang terkelola. Untuk melihat konten kebijakan terkelola ini, lihat [AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy.html)halaman di *Panduan Referensi Kebijakan AWS Terkelola*.
**Pengelompokan izin tingkat layanan**
Kebijakan ini dikelompokkan ke dalam pernyataan berdasarkan kumpulan izin yang diberikan.
+ *`ElasticBeanstalkPermissions`*— Kelompok izin ini untuk memanggil tindakan layanan Elastic Beanstalk (Elastic Beanstalk). APIs
+ *`AllowPassRoleToElasticBeanstalkAndDownstreamServices`* – Kelompok izin ini mengizinkan peran apa pun untuk diteruskan ke Elastic Beanstalk dan ke layanan hilir lainnya seperti CloudFormation.
+ *`ReadOnlyPermissions`* – Kelompok izin ini adalah untuk mengumpulkan informasi tentang lingkungan berjalan.
+ *`*OperationPermissions`* – Grup dengan pola penamaan ini adalah untuk memanggil operasi yang diperlukan untuk melakukan pembaruan platform.
+ *`*BroadOperationPermissions`* – Grup dengan pola penamaan ini adalah untuk memanggil operasi yang diperlukan untuk melakukan pembaruan platform. Mereka juga menyertakan izin yang luas untuk mendukung lingkungan lama.
+ *`*TagResource`*— Grup dengan pola penamaan ini adalah untuk panggilan yang menggunakan tag-on-create APIs untuk melampirkan tag pada sumber daya yang sedang dibuat di lingkungan Elastic Beanstalk.
Anda dapat membuat lingkungan Elastic Beanstalk dengan salah satu pendekatan berikut. Setiap bagian menjelaskan bagaimana pendekatan menangani peran layanan.
**Konsol Elastic Beanstalk**
Jika Anda membuat lingkungan menggunakan konsol Elastic Beanstalk, Elastic Beanstalk meminta Anda untuk membuat peran layanan yang diberi nama. `aws-elasticbeanstalk-service-role` Ketika dibuat melalui Elastic Beanstalk, peran ini mencakup kebijakan kepercayaan yang memungkinkan Elastic Beanstalk untuk mengambil peran layanan. Dua kebijakan terkelola yang dijelaskan sebelumnya dalam topik ini juga melekat pada peran tersebut.
**Antarmuka Baris Perintah Elastic Beanstalk (EB CLI)**
Anda dapat membuat lingkungan menggunakan [**eb create**](eb3-create.md) perintah Elastic Beanstalk Command Line Interface (EB CLI). Jika Anda tidak menentukan peran layanan melalui `--service-role` opsi. Elastic Beanstalk menciptakan peran layanan default yang sama. `aws-elasticbeanstalk-service-role` Jika peran layanan default sudah ada, Elastic Beanstalk menggunakannya untuk lingkungan baru. Ketika dibuat melalui Elastic Beanstalk, peran ini mencakup kebijakan kepercayaan yang memungkinkan Elastic Beanstalk untuk mengambil peran layanan. Dua kebijakan terkelola yang dijelaskan sebelumnya dalam topik ini juga melekat pada peran tersebut.
**Elastic Beanstalk API**
Anda dapat membuat lingkungan menggunakan `CreateEnvironment` aksi Elastic Beanstalk API. Jika Anda tidak menentukan peran layanan, Elastic Beanstalk akan membuat peran terkait layanan pemantauan. Ini adalah jenis peran layanan unik yang telah ditentukan sebelumnya oleh Elastic Beanstalk untuk menyertakan semua izin yang diperlukan layanan untuk memanggil orang lain atas nama Anda. Layanan AWS Peran terkait layanan berkaitan dengan akun Anda. Elastic Beanstalk membuatnya sekali, dan kemudian menggunakannya kembali saat membuat lingkungan tambahan. Anda juga dapat menggunakan IAM untuk membuat peran terkait layanan pemantauan untuk akun Anda terlebih dahulu. Jika akun Anda memiliki peran terkait layanan pemantauan, Anda dapat menggunakannya untuk membuat lingkungan menggunakan konsol Elastic Beanstalk, Elastic Beanstalk API, atau EB CLI. Untuk petunjuk tentang cara menggunakan peran terkait layanan dengan lingkungan Elastic Beanstalk, lihat. [Menggunakan peran yang terhubung dengan layanan untuk Elastic Beanstalk](using-service-linked-roles.md)
Untuk informasi selengkapnya tentang peran layanan, lihat [Mengelola peran layanan Elastic Beanstalk](iam-servicerole.md).
# Profil instans Elastic Beanstalk
Profil instans adalah peran IAM yang diterapkan ke instans Amazon EC2 yang diluncurkan di lingkungan Elastic Beanstalk Anda. Saat membuat lingkungan Elastic Beanstalk, Anda menentukan profil instans yang digunakan saat instans EC2 Anda melakukan tindakan berikut:
+ Menerima kembali [versi aplikasi](concepts.md#concepts-version) dari Amazon Simple Storage Service (Amazon S3)
+ Menulis log ke Amazon S3
+ Pada [lingkungan terpadu AWS X-Ray](environment-configuration-debugging.md), unggah data debugging ke X-Ray
+ Di lingkungan Docker yang dikelola Amazon ECS, koordinasikan penerapan kontainer dengan Amazon Elastic Container Service (Amazon ECS)
+ Di lingkungan pekerja, baca mulai dari antrean Amazon Simple Queue Service (Amazon SQS)
+ Di lingkungan pekerja, lakukan pemilihan pemimpin dengan Amazon DynamoDB
+ Di lingkungan pekerja, publikasikan metrik kesehatan instans ke Amazon CloudWatch
## Kebijakan terkelola
Elastic Beanstalk menyediakan serangkaian kebijakan terkelola yang memungkinkan instans EC2 di lingkungan Anda untuk melakukan operasi yang diperlukan. Kebijakan terkelola yang diperlukan untuk kasus penggunaan dasar adalah sebagai berikut.
+ `AWSElasticBeanstalkWebTier`
+ `AWSElasticBeanstalkWorkerTier`
+ `AWSElasticBeanstalkMulticontainerDocker`
Jika aplikasi web Anda memerlukan akses ke tambahan lainnya Layanan AWS, tambahkan pernyataan atau kebijakan terkelola ke profil instans yang memungkinkan akses ke layanan tersebut. Untuk informasi selengkapnya, lihat [Menambahkan izin ke profil instans default](iam-instanceprofile.md#iam-instanceprofile-addperms).
## Membuat profil instans EC2
Jika AWS akun Anda tidak memiliki profil instans EC2, Anda harus membuatnya menggunakan layanan IAM. Anda kemudian dapat menetapkan profil instans EC2 ke lingkungan baru yang Anda buat. Langkah-langkah **Create environment** di konsol Elastic Beanstalk memberi Anda akses ke konsol IAM, sehingga Anda dapat membuat profil instans EC2 dengan izin yang diperlukan.
Anda juga dapat membuat profil instans EC2 dengan langsung mengakses konsol IAM, tanpa melalui konsol Elastic Beanstalk. Untuk langkah-langkah mendetail untuk membuat profil instans Elastic Beanstalk EC2 di konsol IAM, lihat. [Membuat profil instans](iam-instanceprofile.md#iam-instanceprofile-create)
# Kebijakan pengguna Elastic Beanstalk
Buat pengguna IAM untuk setiap pengguna yang menggunakan Elastic Beanstalk untuk menghindari penggunaan akun root Anda atau berbagi kredensi. Sebagai praktik terbaik keamanan, hanya berikan izin kepada pengguna ini untuk mengakses layanan dan fitur yang mereka butuhkan.
Elastic Beanstalk memerlukan izin tidak hanya untuk tindakan API-nya sendiri, tetapi juga untuk beberapa layanan lainnya. AWS Elastic Beanstalk menggunakan izin pengguna untuk meluncurkan sumber daya di lingkungan. Sumber daya ini mencakup instans EC2, penyeimbang beban Elastic Load Balancing, dan grup Auto Scaling. Elastic Beanstalk juga menggunakan izin pengguna untuk menyimpan log dan template ke Amazon Simple Storage Service (Amazon S3), mengirim notifikasi ke Amazon SNS, menetapkan profil instans, dan mempublikasikan metrik. CloudWatch Elastic CloudFormation Beanstalk memerlukan izin untuk mengatur penyebaran dan pembaruan sumber daya. Elastic Beanstalk juga memerlukan izin Amazon RDS untuk membuat basis data bila diperlukan, dan izin Amazon SQS untuk membuat antrean bagi lingkungan pekerja.
Untuk informasi selengkapnya tentang kebijakan pengguna, lihat [Mengelola kebijakan pengguna Elastic Beanstalk](AWSHowTo.iam.managed-policies.md).