Учетные данные профиля экземпляра лучше, чем использование переменных среды, поскольку учетные данные профиля профиля автоматически поворачиваются каждые несколько часов. Поскольку вы использовали термин роль службы в своем вопросе, позвольте мне уточнить разницу между ролью службы и профилем экземпляра.
Роль профиля экземпляра - это не то же самое, что «роль службы». Роль службы - это роль, предоставляющая разрешения на использование beanstalk для вызова других сервисов от вашего имени.
Учетные данные профиля экземпляра связаны с вашим экземпляром EC2, и этот экземпляр EC2 получает только ваш экземпляр EC2.
Копирование больше деталей от моего предыдущего ответа на эту тему here:
При создании среды вы можете выбрать, чтобы передать IamInstanceProfile (обычно с именем aws-elasticbeanstalk-ec2-role) и роль службы (как правило, с именем aws-elasticbeantalk-service-role). Эти две роли необходимы при использовании расширенного мониторинга работоспособности приложений. Обратите внимание, что для этих двух ролей требуется совершенно другой набор разрешений, и вы должны использовать разные роли для каждого из них. Вы можете найти список разрешений, необходимых для профиля службы и профиля экземпляра, зарегистрированного here.
При создании/клонировании/изменении среды с использованием AWS-консоли вам будет предложено выбрать роль службы. Если вы никогда раньше не использовали роль службы, вам будет предоставлена опция «Создать новую роль». Консоль позволяет создать роль службы, требуемую beanstalk, одним нажатием кнопки. Вы можете просмотреть разрешения перед созданием роли.
После первого создания консоль представит вам раскрывающийся список с той ролью, которую вы создали ранее (обычно с именем aws-elasticbeanstalk-service-role), и вы можете повторно использовать эту роль службы.
Из документации: «Роль службы - это роль IAM, которую Elastic Beanstalk предполагает при вызове других сервисов от вашего имени. Эластичный Beanstalk использует роль службы, которую вы указываете при создании среды эластичного beanstalk при вызове Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing и Auto Scaling API для сбора информации о состоянии ресурсов AWS ».
При создании/использовании роли вам необходимо убедиться, что пользователь IAM имеет разрешение на ролевую роль для созданной роли. Если вы не используете учетную запись root, убедитесь, что у пользователя IAM есть correct policies. Обратите внимание на разрешение iam: PassRole позволяет вашему пользователю IAM передавать роль beanstalk-сервису.
Подробнее о ролях обслуживания и профиле профиля here.
Если вам нужна безопасность, вам придется как-то использовать криптографию, но переменные среды используются довольно часто. Я думаю, что такие вещи, как https://learn.chef.io/, используются, чтобы избежать всех ручных компонентов настройки поля. – Catalyst