本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Elastic Beanstalk 服務角色
<a name="concepts-roles-service"></a>

服務角色是 Elastic Beanstalk 代表您呼叫其他服務時所擔任的 IAM 角色。例如，當 Elastic Beanstalk 呼叫 Amazon Elastic Compute Cloud (Amazon EC2)、Elastic Load Balancing 和 Amazon EC2 Auto Scaling API 時，會使用服務角色來收集資訊。Elastic Beanstalk 使用的服務角色是您在建立 Elastic Beanstalk 環境時指定的服務角色。

有兩個連接至服務角色的受管政策：這些政策提供許可，允許 Elastic Beanstalk 存取建立和管理環境所需的 AWS 資源。一個受管政策提供用於[增強型運作狀態監控](health-enhanced.md)的受管政策，另一個提供用於[受管平台更新](environment-platform-update-managed.md)所需的其他許可。



## `AWSElasticBeanstalkEnhancedHealth`
<a name="iam-servicerole-policy.health"></a>

此政策會授予許可，讓 Elastic Beanstalk 能夠監控執行個體和環境運作狀態。亦包含 Amazon SQS 動作，讓 Elastic Beanstalk 能監控工作者環境的佇列活動。若要檢視此受管政策的內容，請參閱《 *AWS 受管政策參考指南*》中的 [ AWSElasticBeanstalkEnhancedHealth](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkEnhancedHealth.html) 頁面。

## `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy`
<a name="iam-servicerole-policy.service"></a>

此政策會授予許可，讓 Elastic Beanstalk 能夠代表您更新環境以執行受管平台更新。若要檢視此受管政策的內容，請參閱《 *AWS 受管政策參考指南*》中的 [AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy.html) 頁面。

**服務層級許可分組**

此政策會根據提供的許可集分組到陳述式中。
+ *`ElasticBeanstalkPermissions`* – 此許可群組用於呼叫 Elastic Beanstalk 服務動作 (Elastic Beanstalk API)。
+ *`AllowPassRoleToElasticBeanstalkAndDownstreamServices`* – 此許可群組允許將任何角色傳遞給 Elastic Beanstalk 和其他下游服務，如 CloudFormation。
+ *`ReadOnlyPermissions`* – 此許可群組用於收集執行中環境的相關資訊。
+ *`*OperationPermissions`* – 具有此命名模式的群組用於呼叫必要的操作來執行平台更新。
+ *`*BroadOperationPermissions`* – 具有此命名模式的群組用於呼叫必要的操作來執行平台更新。它們也包含支援舊式環境的廣泛許可。
+ *`*TagResource`* – 具有此命名模式的群組適用於使用建立時標記 API 的呼叫，以在 Elastic Beanstalk 環境中建立的資源上附加標籤。

您可以使用以下任何方式建立 Elastic Beanstalk 環境。每個部分都會說明該方法如何處理服務角色。

**Elastic Beanstalk 主控台**  
如果您使用 Elastic Beanstalk 主控台建立環境，Elastic Beanstalk 會提示您建立名為 `aws-elasticbeanstalk-service-role` 的服務角色。透過 Elastic Beanstalk 建立時，此角色會包含一個能讓 Elastic Beanstalk 擔任該服務角色的信任政策。本主題中先前提到的兩個受管理政策也會連接至角色。

**Elastic Beanstalk 命令列界面 (EB CLI)**  
您可以使用 Elastic Beanstalk 命令列界面 (EB CLI) 的 [**eb create**](eb3-create.md) 命令建立環境。如果您未透過 `--service-role` 選項指定服務角色。Elastic Beanstalk 會建立相同的預設服務角色 `aws-elasticbeanstalk-service-role`。若預設服務角色已存在，Elastic Beanstalk 會將其運用於新環境。透過 Elastic Beanstalk 建立時，此角色會包含一個能讓 Elastic Beanstalk 擔任該服務角色的信任政策。本主題中先前提到的兩個受管理政策也會連接至角色。

**Elastic Beanstalk API**  
您可以使用 Elastic Beanstalk API 的 `CreateEnvironment` 動作建立環境。如果您未指定服務角色，Elastic Beanstalk 會建立一個監控服務連結角色。這是 Elastic Beanstalk 預先定義的一種唯一服務角色類型，包含該服務 AWS 服務 代表您呼叫其他 所需的所有許可。服務連結角色會您的帳戶建立關聯。Elastic Beanstalk 只會建立一次此角色，然後在建立其他環境時重複使用。您也可以使用 IAM，預先建立您帳戶的監控服務連結角色。您的帳戶擁有監控服務連結角色時，即可使用 Elastic Beanstalk 主控台、Elastic Beanstalk API 或 EB CLI，將其用於建立環境。如需在 Elastic Beanstalk 環境中使用服務連結角色的說明，請參閱 [使用 Elastic Beanstalk 的服務連結角色](using-service-linked-roles.md)。

如需服務角色的詳細資訊，請參閱[管理 Elastic Beanstalk 服務角色](iam-servicerole.md)。