Как и Celine в приведенном выше комментарии, профили экземпляров позволяют связать роль IAM с вашим экземпляром. Эта роль IAM должна быть предоставлена с определенными разрешениями для доступа к вашим ресурсам AWS. Ваш экземпляр EC2 (запущенный Elastic Beanstalk) может выполнять некоторые дополнительные задачи. Например, если вы запускаете среду рабочего уровня с помощью Elastic Beanstalk, демону необходимо опросить в очереди SQS, опубликуйте метрики для облачного просмотра из экземпляра EC2. Это означает, что экземпляр EC2 нуждается в некоторых учетных данных для опроса из очереди. Если у вас есть роль IAM с соответствующими политиками, связанными с экземпляром EC2, вы по существу разрешаете вашему экземпляру вызывать SQS с использованием учетных данных этой роли.
Вы можете сделать другие интересные вещи, такие как автоматическая публикация журнала в своем ведре S3, если у вас есть профиль экземпляра, связанный с вашей средой. Наличие профиля экземпляра позволяет вам контролировать разрешения, которые вы хотите предоставить экземпляру, а также освобождает вас от хранения долгосрочных учетных данных во всех экземплярах EC2.
От documentation:
профили экземпляра обеспечивают приложения и услуги доступа к AWS ресурсов. Например, вашей заявке может потребоваться доступ к DynamoDB. Каждый запрос API, предоставляемый службам AWS, должен быть подписан с использованием учетных данных безопасности AWS . Один из способов предоставления приложениям доступа к ресурсам AWS - это распространение ваших учетных данных для каждого экземпляра; однако , распределяющий долгосрочные полномочия для каждого экземпляра, бросает вызов управлению и потенциальному риску для безопасности. Вместо этого вы можете создать роль IAM с разрешениями, которые потребуются приложениям, когда приложение совершает вызовы другим ресурсам AWS. Когда AWS Elastic Beanstalk запускает экземпляры Amazon EC2, он использует профиль , связанный с этой ролью. Все приложения, которые запускаются в экземплярах , могут использовать учетные данные роли для подписи запросов. Поскольку учетные данные роли являются временными и автоматически поворачиваются, вам не нужно беспокоиться о долгосрочных рисках безопасности.
Сообщение, которое вы видите на консоли относительно консоли, рекомендует использовать профиль экземпляра, поскольку это позволяет экземпляру EC2 использовать более быстрый путь для развертывания вашей версии приложения каждый раз, когда вы обновляете среду с помощью новой копии вашего исходного кода. Конечный результат тот же, но наличие профиля экземпляра позволяет оптимизировать скорость развертывания, которая невозможна без нее.
Подробнее о профилях экземпляров можно узнать с помощью эластичного бобового стежка here. Хотя вы можете создать пользовательскую роль и связать ее со средой beanstalk, предоставив ей соответствующие разрешения, вы можете просто получить роль по умолчанию при запуске среды с помощью консоли AWS. У вас будет возможность выбрать, какую роль вы хотите связать с окружающей средой в мастере создания среды.
Профиль экземпляра позволяет связать роль IAM с вашим экземпляром. Требуется ли вашему экземпляру конкретные разрешения (доступ к некоторым ресурсам AWS ...)? Не удалось ли выполнить развертывание? –
Ничего не получается; AWS просто рекомендует связать профиль экземпляра с окружающей средой, и я хотел бы лучше понять, что это значит. –