As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Perfis do Elastic Beanstalk Service, perfis de instância e políticas de usuário
Os papéis são entidades com as quais você cria AWS Identity and Access Management (IAM) para aplicar permissões. Há perfis necessárias para que seu ambiente do Elastic Beanstalk funcione corretamente. Você também tem a opção de criar suas próprias políticas e perfis personalizados que podem ser atribuídos a usuários ou grupos.
## Perfis necessários para seu ambiente do Elastic Beanstalk
Ao criar um ambiente, AWS Elastic Beanstalk solicita que você forneça as seguintes funções AWS Identity and Access Management (IAM):
+ [Função de serviço](concepts-roles-service.md): o Elastic Beanstalk assume uma função de serviço para usar outras pessoas em seu nome. Serviços da AWS
+ [Perfil de instância](concepts-roles-instance.md): o Elastic Beanstalk aplica um perfil de instância às instâncias do Amazon EC2 no seu ambiente. Essa ação permite que eles executem as tarefas necessárias, como a recuperação de informações do Amazon Simple Storage Service (Amazon S3) e o upload de logs no S3.
**Criar o perfil de serviço e o perfil da instância do EC2**
Se sua AWS conta não tiver um perfil de instância do EC2 ou uma função de serviço, você deverá criar uma de cada uma usando o serviço IAM. Depois, você poderá atribuir o perfil de instância e o perfil de serviço do EC2 aos novos ambientes que criar. O assistente **Criar ambiente** orienta você até o serviço IAM, para que você possa criar esses perfis do IAM com as permissões necessárias.
## Políticas e perfis opcionais para gerenciar seu ambiente do Elastic Beanstalk
Como opção, é possível criar [políticas de usuário](concepts-roles-user.md) e aplicá-las aos usuários e grupos do IAM na sua conta. Com isso, os usuários podem criar e gerenciar aplicações e ambientes Elastic Beanstalk. Você também pode atribuir [políticas gerenciadas](AWSHowTo.iam.managed-policies.md) do Elastic Beanstalk para acesso total e somente leitura a usuários ou grupos. Para obter mais informações sobre essas políticas, consulte [Gerenciar políticas de usuário do Elastic Beanstalk](AWSHowTo.iam.managed-policies.md).
Você pode criar seus próprios perfis de instância e políticas de usuário para cenários avançados. Se suas instâncias precisarem acessar serviços que não estejam incluídos nas políticas padrão, você poderá criar uma nova política ou acrescentar políticas adicionais à política padrão. Se a política gerenciada for muito permissiva para o que você precisa, também é possível criar políticas de usuário mais restritivas. Para obter mais informações sobre AWS permissões, consulte o []().
# Função de serviço do Elastic Beanstalk
Uma função de serviço é uma função do IAM que o console do Elastic Beanstalk assume ao chamar outros serviços em seu nome. Por exemplo, o Elastic Beanstalk usa uma função de serviço quando chama o Amazon Elastic Compute Cloud (Amazon EC2), o Elastic Load Balancing e o Amazon EC2 Auto Scaling para coletar informações. APIs A função de serviço que o Elastic Beanstalk usa é a função que você especificou ao criar o ambiente do Elastic Beanstalk.
Existem duas políticas gerenciadas que são anexadas ao perfil de serviço. Essas políticas fornecem as permissões que permitem que o Elastic Beanstalk acesse AWS os recursos necessários para criar e gerenciar seus ambientes. Uma das políticas gerenciadas fornece permissões para [monitoramento avançado de integridade](health-enhanced.md) e compatibilidade com o Amazon SQS no nível do operador e a outra fornece as permissões adicionais necessárias para [atualizações gerenciadas da plataforma](environment-platform-update-managed.md).
## `AWSElasticBeanstalkEnhancedHealth`
Esta política concede permissões ao Elastic Beanstalk para monitorar a integridade do ambiente e da instância. Ela também inclui ações do Amazon SQS para permitir que o Elastic Beanstalk monitore a atividade das filas nos ambientes de operador. Para ver o conteúdo dessa política gerenciada, consulte a [ AWSElasticBeanstalkEnhancedHealth](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkEnhancedHealth.html)página no *Guia de referência da política AWS gerenciada*.
## `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy`
Esta política concede permissões ao Elastic Beanstalk para atualizar ambientes em seu nome a fim de realizar atualizações gerenciadas de plataforma. Para ver o conteúdo dessa política gerenciada, consulte a [AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy.html)página no *Guia de referência da política AWS gerenciada*.
**Agrupamentos de permissão no nível de serviço**
Esta política é agrupada em declarações com base no conjunto de permissões fornecidas.
+ *`ElasticBeanstalkPermissions`*— Esse grupo de permissões serve para chamar as ações de serviço do Elastic Beanstalk (Elastic Beanstalk). APIs
+ *`AllowPassRoleToElasticBeanstalkAndDownstreamServices`* - Esse grupo de permissões permite que qualquer função seja transferida para o Elastic Beanstalk e para outros serviços downstream, como o CloudFormation.
+ *`ReadOnlyPermissions`*: esse grupo de permissões destina-se a coletar informações sobre o ambiente em execução.
+ *`*OperationPermissions`*: os grupos com este padrão de nomenclatura destinam-se a acionar as operações necessárias para executar atualizações na plataforma.
+ *`*BroadOperationPermissions`*: os grupos com este padrão de nomenclatura destinam-se a acionar as operações necessárias para executar atualizações na plataforma. Eles também incluem permissões amplas para oferecer suporte a ambientes herdados.
+ *`*TagResource`*— Os grupos com esse padrão de nomenclatura são para chamadas que usam o tag-on-create APIs para anexar tags em recursos que estão sendo criados em um ambiente do Elastic Beanstalk.
Você pode criar um ambiente Elastic Beanstalk com qualquer das abordagens a seguir. Cada seção descreve como a abordagem lida com o perfil de serviço.
**Console do Elastic Beanstalk**
Se você criar um ambiente usando o console do Elastic Beanstalk, o Elastic Beanstalk solicita a criação de uma função de serviço chamada `aws-elasticbeanstalk-service-role`. Quando criado por meio do Elastic Beanstalk, esse perfil inclui uma política de confiança que permite ao Elastic Beanstalk assumir o perfil de serviço. As duas políticas gerenciadas descritas anteriormente neste tópico também estão vinculadas ao perfil.
**Interface de linha de comando do Elastic Beanstalk (CLI do EB)**
Você pode criar um ambiente usando o comando [**eb create**](eb3-create.md) da interface da linha de comando do Elastic Beanstalk (CLI do EB). Se você não especificar um perfilde serviço por meio da opção `--service-role`. O Elastic Beanstalk cria o mesmo perfil de serviço padrão `aws-elasticbeanstalk-service-role`. Se a função de serviço padrão já existir, o Elastic Beanstalk a usará para o novo ambiente. Quando criado por meio do Elastic Beanstalk, esse perfil inclui uma política de confiança que permite ao Elastic Beanstalk assumir o perfil de serviço. As duas políticas gerenciadas descritas anteriormente neste tópico também estão vinculadas ao perfil.
**API do Elastic Beanstalk**
Você pode criar um ambiente usando a ação `CreateEnvironment` da API do Elastic Beanstalk. Se você não especificar um perfil de serviço, o Elastic Beanstalk criará um perfil vinculado ao serviço de monitoramento. Esse é um tipo exclusivo de função de serviço predefinido pelo Elastic Beanstalk para incluir todas as permissões que o serviço exige para ligar para outras pessoas em seu nome. Serviços da AWS A função vinculada a serviço é associada à sua conta. O Elastic Beanstalk cria essa função uma só vez e a reutiliza ao criar ambientes adicionais. Você também pode usar o IAM para criar antecipadamente a função vinculada ao serviço de monitoramento para sua conta. Quando sua conta tem um perfil vinculado ao serviço de monitoramento, é possível usá-lo para criar um ambiente usando a API, o console ou a CLI do Elastic Beanstalk. Para obter instruções sobre como usar funções vinculadas a serviços com ambientes do Elastic Beanstalk, consulte [Usar funções vinculadas ao serviço para o Elastic Beanstalk](using-service-linked-roles.md).
Para obter mais informações sobre perfis de serviço, consulte [Gerenciar funções de serviço do Elastic Beanstalk](iam-servicerole.md).
# Perfil de instância do Elastic Beanstalk
Um perfil de instância é um perfil do IAM aplicado às instâncias do Amazon EC2 que são iniciadas no ambiente do Elastic Beanstalk. Ao criar um ambiente do Elastic Beanstalk, você especifica o perfil de instância que é usado quando as instâncias do EC2 fazem o seguinte:
+ Recuperam [versões de aplicações](concepts.md#concepts-version) do Amazon Simple Storage Service (Amazon S3)
+ Gravam logs no Amazon S3
+ Em [ambientes integrados do AWS X-Ray](environment-configuration-debugging.md), fazem upload dos dados de depuração no X-Ray
+ Em ambientes do Docker gerenciados pelo ESC, coordenam implantações de contêiner com o Amazon Elastic Container Service (Amazon ECS)
+ Em ambientes de operador, leem a partir de uma fila do Amazon Simple Queue Service (Amazon SQS)
+ Em ambientes de operador, escolhem o líder com o Amazon DynamoDB
+ Em ambientes de trabalho, publique métricas de integridade da instância na Amazon CloudWatch
## Políticas gerenciadas
O Elastic Beanstalk fornece um conjunto de políticas gerenciadas que permitem que as instâncias do EC2 do ambiente realizem as operações necessárias. As políticas gerenciadas que se seguem são as necessárias para os casos de uso básicos.
+ `AWSElasticBeanstalkWebTier`
+ `AWSElasticBeanstalkWorkerTier`
+ `AWSElasticBeanstalkMulticontainerDocker`
Se seu aplicativo web exigir acesso a outros Serviços da AWS, adicione declarações ou políticas gerenciadas ao perfil da instância que permita o acesso a esses serviços. Para obter mais informações, consulte [Adicionar permissões ao perfil da instância padrão](iam-instanceprofile.md#iam-instanceprofile-addperms).
## Criar um perfil de instância do EC2
Se sua AWS conta não tiver um perfil de instância do EC2, você deverá criar um usando o serviço IAM. Depois, você poderá atribuir o perfil de instância do EC2 aos novos ambientes que criar. As etapas de **Criação do ambiente** no console do Elastic Beanstalk fornecem acesso ao console do IAM, para que você possa criar um perfil de instância do EC2 com as permissões necessárias.
Você também pode criar um perfil de instância do EC2 acessando diretamente o console do IAM, sem passar pelo console do Elastic Beanstalk. Para obter etapas detalhadas para criar um perfil de instância EC2 do Elastic Beanstalk no console do IAM, consulte [Criar um perfil da instância](iam-instanceprofile.md#iam-instanceprofile-create).
# Política de usuário do Elastic Beanstalk
A fim de evitar o uso de sua conta raiz ou o compartilhamento de credenciais, crie usuários do IAM para cada pessoa que use o Elastic Beanstalk. Como uma prática recomendada de segurança, conceda apenas as permissões para que esses usuários acessem os serviços e os recursos de que precisam.
O Elastic Beanstalk requer permissões não apenas para suas próprias ações de API, mas também para vários outros serviços da AWS . O Elastic Beanstalk usa permissões de usuário para iniciar recursos em um ambiente. Esses recursos incluem instâncias do EC2, um balanceador de carga do Elastic Load Balancing e um grupo do Auto Scaling. O Elastic Beanstalk também usa permissões de usuário para salvar registros e modelos no Amazon Simple Storage Service (Amazon S3), enviar notificações para o Amazon SNS, atribuir perfis de instância e publicar métricas no. CloudWatch O Elastic CloudFormation Beanstalk exige permissões para orquestrar implantações e atualizações de recursos. Ele também exige permissões do Amazon RDS para criar bancos de dados quando necessário e permissões do Amazon SQS para criar filas para ambientes de operador.
Para obter mais informações sobre políticas de usuário, consulte [Gerenciar políticas de usuário do Elastic Beanstalk](AWSHowTo.iam.managed-policies.md).