AWSImageBuilderFullAccess AWSImageBuilderReadOnlyAccess AWSServiceRoleForImageBuilder Ec2ImageBuilderCrossAccountDistributionAccess EC2ImageBuilderLifecycleExecutionPolicy EC2InstanceProfileForImageBuilder EC2InstanceProfileForImageBuilderECRContainerBuilds Richtlinienaktualisierungen

AWS Verwaltete Richtlinien für EC2 Image Builder verwenden

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS -Service wird oder neue API Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.

AWSImageBuilderFullAccess-Richtlinie

Die AWSImageBuilderFullAccessRichtlinie gewährt vollen Zugriff auf Image Builder Builder-Ressourcen für die Rolle, der sie zugeordnet ist, sodass die Rolle Image Builder Builder-Ressourcen auflisten, beschreiben, erstellen, aktualisieren und löschen kann. Die Richtlinie gewährt außerdem gezielte Berechtigungen für verwandte Benutzer, AWS -Services die beispielsweise zur Überprüfung von Ressourcen oder zur Anzeige der aktuellen Ressourcen für das Konto in der erforderlich sind AWS Management Console.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

Image Builder — Administratorzugriff wird gewährt, sodass die Rolle Image Builder Builder-Ressourcen auflisten, beschreiben, erstellen, aktualisieren und löschen kann.
Amazon EC2 — Zugriff wird für Amazon EC2 Describe-Aktionen gewährt, die erforderlich sind, um das Vorhandensein von Ressourcen zu überprüfen oder Listen der Ressourcen abzurufen, die zu dem Konto gehören.
IAM— Zugriff wird gewährt, um Instanzprofile abzurufen und zu verwenden, deren Name „imagebuilder“ enthält, um das Vorhandensein der mit dem Service verknüpften Image Builder Builder-Rolle über die iam:GetRole API Aktion zu überprüfen und um die mit dem Service verknüpfte Image Builder Builder-Rolle zu erstellen.
License Manager — Zugriff wird gewährt, um Lizenzkonfigurationen oder Lizenzen für eine Ressource aufzulisten.
Amazon S3 — Zugriff wird auf Listen-Buckets gewährt, die zum Konto gehören, sowie auf Image Builder Builder-Buckets, deren Namen „imagebuilder“ enthalten.
Amazon SNS — Amazon erhält Schreibberechtigungen, um die Inhaberschaft von Themen SNS zu überprüfen, die „Imagebuilder“ enthalten.

Beispiel für eine Richtlinie

Im Folgenden finden Sie ein Beispiel AWSImageBuilderFullAccess für die Richtlinie.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "imagebuilder:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:ListTopics"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": "arn:aws:sns:*:*:*imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "license-manager:ListLicenseConfigurations",
                "license-manager:ListLicenseSpecificationsForResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetInstanceProfile"
            ],
            "Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListInstanceProfiles",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::*:instance-profile/*imagebuilder*",
                "arn:aws:iam::*:role/*imagebuilder*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ec2.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3::*:*imagebuilder*"
        },
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "imagebuilder.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeSnapshots",
                "ec2:DescribeVpcs",
                "ec2:DescribeRegions",
                "ec2:DescribeVolumes",
                "ec2:DescribeSubnets",
                "ec2:DescribeKeyPairs",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeInstanceTypeOfferings",
                "ec2:DescribeLaunchTemplates"
            ],
            "Resource": "*"
        }
    ]
}

AWSImageBuilderReadOnlyAccess-Richtlinie

Die AWSImageBuilderReadOnlyAccessRichtlinie bietet schreibgeschützten Zugriff auf alle Image Builder Builder-Ressourcen. Über die iam:GetRole API Aktion werden Berechtigungen erteilt, um zu überprüfen, ob die mit dem Image Builder Builder-Dienst verknüpfte Rolle vorhanden ist.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

Image Builder — Der Zugriff wird für den schreibgeschützten Zugriff auf Image Builder Builder-Ressourcen gewährt.
IAM— Der Zugriff wird gewährt, um das Vorhandensein der mit dem Dienst verknüpften Image Builder Builder-Rolle über die iam:GetRole API Aktion zu überprüfen.

Beispiel für eine Richtlinie

Im Folgenden finden Sie ein Beispiel AWSImageBuilderReadOnlyAccess für die Richtlinie.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "imagebuilder:Get*",
                "imagebuilder:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder"
        }
    ]
}

AWSServiceRoleForImageBuilder-Richtlinie

Die AWSServiceRoleForImageBuilderRichtlinie ermöglicht es Image Builder, in AWS -Services Ihrem Namen anzurufen.

Details zu Berechtigungen

Diese Richtlinie wird der mit dem Dienst verknüpften Image Builder Builder-Rolle zugewiesen, wenn die Rolle über Systems Manager erstellt wird. Weitere Informationen zur dienstverknüpften Image Builder Builder-Rolle finden Sie unterVerwenden Sie IAM serviceverknüpfte Rollen für Image Builder.

Die Richtlinie umfasst die folgenden Berechtigungen:

CloudWatch Protokolle — Zugriff auf das Erstellen und Hochladen von CloudWatch Protokollen in jede Protokollgruppe, deren Name mit beginnt, wird gewährt/aws/imagebuilder/.
Amazon EC2 — Image Builder erhält Zugriff, um Images zu erstellen und EC2 Instances in Ihrem Konto zu starten, wobei nach Bedarf zugehörige Snapshots, Volumes, Netzwerkschnittstellen, Subnetze, Sicherheitsgruppen, Lizenzkonfigurationen und Schlüsselpaare verwendet werden, sofern das Image, die Instance und die Volumes, die erstellt oder verwendet werden, mit CreatedBy: EC2 Image Builder oder gekennzeichnet sind. CreatedBy: EC2 Fast Launch

Image Builder kann Informationen über EC2 Amazon-Images, Instance-Attribute, Instance-Status, die für Ihr Konto verfügbaren Instance-Typen, Startvorlagen, Subnetze, Hosts und Tags auf Ihren EC2 Amazon-Ressourcen abrufen.

Image Builder kann die Bildeinstellungen aktualisieren, um das schnellere Starten von Windows-Instanzen in Ihrem Konto zu aktivieren oder zu deaktivieren, mit denen das Bild gekennzeichnet istCreatedBy: EC2 Image Builder.

Darüber hinaus kann Image Builder Instances, die in Ihrem Konto ausgeführt werden, starten, stoppen und beenden, EBS Amazon-Snapshots teilen, Images erstellen und aktualisieren und Vorlagen starten, bestehende Images deregistrieren, Tags hinzufügen und Bilder zwischen Konten replizieren, denen Sie über die Richtlinie Berechtigungen erteilt haben. Ec2ImageBuilderCrossAccountDistributionAccess Image Builder Builder-Tagging ist für all diese Aktionen erforderlich, wie zuvor beschrieben.
Amazon ECR — Image Builder erhält Zugriff, um bei Bedarf ein Repository für Container-Image-Schwachstellenscans zu erstellen und die erstellten Ressourcen zu taggen, um den Umfang seiner Operationen einzuschränken. Image Builder erhält außerdem Zugriff auf das Löschen der Container-Images, die es für die Scans erstellt hat, nachdem es Schnappschüsse der Sicherheitsanfälligkeiten erstellt hat.
EventBridge— Image Builder erhält Zugriff zum Erstellen und Verwalten von EventBridge Regeln.
IAM— Image Builder erhält Zugriff, um alle Rollen in Ihrem Konto an Amazon EC2 und VM Import/Export weiterzugeben.
Amazon Inspector — Image Builder erhält Zugriff, um festzustellen, wann Amazon Inspector Build-Instance-Scans abschließt, und um Ergebnisse für Images zu sammeln, die so konfiguriert sind, dass dies zulässig ist.
AWS KMS— Amazon wird Zugriff gewährt, um EBS Amazon-Volumes zu verschlüsseln, zu entschlüsseln oder erneut zu verschlüsseln. EBS Dies ist wichtig, um sicherzustellen, dass verschlüsselte Volumes funktionieren, wenn Image Builder ein Image erstellt.
License Manager — Image Builder erhält Zugriff, um die License Manager Manager-Spezifikationen über zu aktualisierenlicense-manager:UpdateLicenseSpecificationsForResource.
Amazon SNS — Schreibberechtigungen werden für jedes SNS Amazon-Thema in Ihrem Konto gewährt.
Systems Manager — Image Builder erhält Zugriff, um Systems Manager Manager-Befehle und deren Aufrufe sowie Inventareinträge aufzulisten, Instanzinformationen und den Status der Automatisierungsausführung zu beschreiben, Hosts zur Unterstützung der Instanzplatzierung zu beschreiben und Details zum Befehlsaufruf abzurufen. Image Builder kann auch Automatisierungssignale senden und Automatisierungsausführungen für jede Ressource in Ihrem Konto beenden.

Image Builder kann Ausführungsbefehle für jede Instanz ausgeben, die "CreatedBy": "EC2 Image Builder" für die folgenden Skriptdateien gekennzeichnet ist:AWS-RunPowerShellScript,AWS-RunShellScript, oder. AWSEC2-RunSysprep Image Builder kann in Ihrem Konto eine Systems Manager Manager-Automatisierungsausführung für Automatisierungsdokumente starten, bei denen der Name mit beginntImageBuilder.

Image Builder ist auch in der Lage, State Manager-Zuordnungen für jede Instanz in Ihrem Konto zu erstellen oder zu löschen, sofern das Zuordnungsdokument vorhanden istAWS-GatherSoftwareInventory, und die mit dem Service verknüpfte Systems Manager Manager-Rolle in Ihrem Konto zu erstellen.
AWS STS— Image Builder hat Zugriff darauf, EC2ImageBuilderDistributionCrossAccountRolevon Ihrem Konto benannte Rollen auf jedes Konto zu übertragen, sofern die Vertrauensrichtlinie für die Rolle dies zulässt. Dies wird für die kontoübergreifende Verteilung von Images verwendet.

Die Berechtigungen für diese Richtlinie finden Sie AWSServiceRoleForImageBuilderin der Referenz zu AWS verwalteten Richtlinien.

Ec2ImageBuilderCrossAccountDistributionAccess-Richtlinie

Die Ec2ImageBuilderCrossAccountDistributionAccessRichtlinie gewährt Image Builder die Erlaubnis, Bilder auf Konten in Zielregionen zu verteilen. Darüber hinaus kann Image Builder jedes EC2 Amazon-Bild im Konto beschreiben, kopieren und mit Tags versehen. Die Richtlinie gewährt auch die Möglichkeit, AMI Berechtigungen über die ec2:ModifyImageAttribute API Aktion zu ändern.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

Amazon EC2 — Amazon erhält Zugriff, EC2 um Attribute für ein Bild zu beschreiben, zu kopieren und zu ändern und Tags für alle EC2 Amazon-Bilder im Konto zu erstellen.

Beispiel für eine Richtlinie

Das Folgende ist ein Beispiel für die Ec2ImageBuilderCrossAccountDistributionAccess Richtlinie.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*::image/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:CopyImage",
                "ec2:ModifyImageAttribute"
            ],
            "Resource": "*"
        }
    ]
}

EC2ImageBuilderLifecycleExecutionPolicy-Richtlinie

Die EC2ImageBuilderLifecycleExecutionPolicyRichtlinie gewährt Image Builder die Erlaubnis, Aktionen wie das Verwerfen, Deaktivieren oder Löschen von Image Builder Builder-Image-Ressourcen und den ihnen zugrunde liegenden Ressourcen (AMIs, Snapshots) auszuführen, um automatisierte Regeln für Image-Lebenszyklusverwaltungsaufgaben zu unterstützen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

Amazon EC2 — Amazon wird Zugriff gewährtEC2, um die folgenden Aktionen für Amazon Machine Images (AMIs) in dem Konto durchzuführen, das mit gekennzeichnet istCreatedBy: EC2 Image Builder.
- Aktivieren und deaktivieren Sie eineAMI.
- Aktiviert und deaktiviert die Abwertung von Bildern.
- Beschreiben und deregistrieren Sie einen. AMI
- Beschreiben und ändern Sie AMI Bildattribute.
- Löschen Sie Volume-Snapshots, die mit dem AMI verknüpft sind.
- Ruft Tags für eine Ressource ab.
- Fügen Sie Tags hinzu oder entfernen Sie sie aus einer Datei, AMI die veraltet ist.
Amazon ECR — Amazon wird Zugriff gewährtECR, um die folgenden Batch-Aktionen für ECR Repositorys mit dem LifecycleExecutionAccess: EC2 Image Builder Tag durchzuführen. Batch-Aktionen unterstützen automatisierte Lebenszyklusregeln für Container-Images.
- ecr:BatchGetImage
- ecr:BatchDeleteImage
Der Zugriff wird auf Repository-Ebene für ECR Repositorys gewährt, die mit LifecycleExecutionAccess: EC2 Image Builder gekennzeichnet sind.
AWS Ressourcengruppen — Image Builder erhält Zugriff, um Ressourcen auf der Grundlage von Tags abzurufen.
EC2Image Builder — Image Builder erhält Zugriff zum Löschen von Image Builder-Image-Ressourcen.

Beispiel für eine Richtlinie

Im Folgenden finden Sie ein Beispiel für die EC2ImageBuilderLifecycleExecutionPolicy Richtlinie.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2ImagePermission",
            "Effect": "Allow",
            "Action": [
                "ec2:EnableImage",
                "ec2:DeregisterImage",
                "ec2:EnableImageDeprecation",
                "ec2:DescribeImageAttribute",
                "ec2:DisableImage",
                "ec2:DisableImageDeprecation"
            ],
            "Resource": "arn:aws:ec2:*::image/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CreatedBy": "EC2 Image Builder"
                }
            }
        },
        {
            "Sid": "EC2DeleteSnapshotPermission",
            "Effect": "Allow",
            "Action": "ec2:DeleteSnapshot",
            "Resource": "arn:aws:ec2:*::snapshot/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CreatedBy": "EC2 Image Builder"
                }
            }
        },
        {
            "Sid": "EC2TagsPermission",
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteTags",
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*::image/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/DeprecatedBy": "EC2 Image Builder",
                    "aws:ResourceTag/CreatedBy": "EC2 Image Builder"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "DeprecatedBy"
                }
            }
        },
        {
            "Sid": "ECRImagePermission",
            "Effect": "Allow",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:BatchDeleteImage"
            ],
            "Resource": "arn:aws:ecr:*:*:repository/*",
            "Condition": {
                "StringEquals": {
                    "ecr:ResourceTag/LifecycleExecutionAccess": "EC2 Image Builder"
                }
            }
        },
        {
            "Sid": "ImageBuilderEC2TagServicePermission",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "tag:GetResources",
                "imagebuilder:DeleteImage"
            ],
            "Resource": "*"
        }
    ]
}

EC2InstanceProfileForImageBuilder-Richtlinie

Die EC2InstanceProfileForImageBuilderRichtlinie gewährt die Mindestberechtigungen, die für die EC2 Verwendung einer Instanz mit Image Builder erforderlich sind. Dies schließt nicht die Berechtigungen ein, die für die Verwendung des Systems Manager Agent erforderlich sind.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

CloudWatch Protokolle — Es wird Zugriff gewährt, um CloudWatch Protokolle zu erstellen und in jede Protokollgruppe hochzuladen, deren Name mit beginnt/aws/imagebuilder/.
Image Builder — Zugriff wird gewährt, um jede Image Builder Builder-Komponente abzurufen.
AWS KMS— Zugriff wird gewährt, um eine Image Builder Builder-Komponente zu entschlüsseln, wenn sie über AWS KMS verschlüsselt wurde.
Amazon S3 — Zugriff wird gewährt, um Objekte abzurufen, die in einem Amazon S3 S3-Bucket gespeichert sind, dessen Name mit beginntec2imagebuilder-.

Beispiel für eine Richtlinie

Im Folgenden finden Sie ein Beispiel EC2InstanceProfileForImageBuilder für die Richtlinie.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "imagebuilder:GetComponent"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": "aws:imagebuilder:arn",
                    "aws:CalledVia": [
                        "imagebuilder.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::ec2imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*"
        }
    ]
}

EC2InstanceProfileForImageBuilderECRContainerBuilds-Richtlinie

Die EC2InstanceProfileForImageBuilderECRContainerBuildsRichtlinie gewährt die Mindestberechtigungen, die für eine EC2 Instance erforderlich sind, wenn mit Image Builder Docker-Images erstellt und die Images anschließend in einem ECR Amazon-Container-Repository registriert und gespeichert werden. Dies schließt nicht die Berechtigungen ein, die für die Verwendung des Systems Manager Agent erforderlich sind.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

CloudWatch Protokolle — Es wird Zugriff gewährt, um CloudWatch Protokolle zu erstellen und in jede Protokollgruppe hochzuladen, deren Name mit beginnt/aws/imagebuilder/.
Amazon ECR — Amazon wird Zugriff gewährt, ECR um ein Container-Image abzurufen, zu registrieren und zu speichern und ein Autorisierungstoken zu erhalten.
Image Builder — Zugriff wird gewährt, um eine Image Builder Builder-Komponente oder ein Container-Rezept abzurufen.
AWS KMS— Zugriff wird gewährt, um eine Image Builder Builder-Komponente oder ein Container-Rezept zu entschlüsseln, sofern es über AWS KMS verschlüsselt wurde.
Amazon S3 — Zugriff wird gewährt, um Objekte abzurufen, die in einem Amazon S3 S3-Bucket gespeichert sind, dessen Name mit beginntec2imagebuilder-.

Beispiel für eine Richtlinie

Im Folgenden finden Sie ein Beispiel für die EC2InstanceProfileForImageBuilderECRContainerBuilds Richtlinie.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "imagebuilder:GetComponent",
                "imagebuilder:GetContainerRecipe",
                "ecr:GetAuthorizationToken",
                "ecr:BatchGetImage",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:PutImage"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": "aws:imagebuilder:arn",
                    "aws:CalledVia": [
                        "imagebuilder.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::ec2imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*"
        }
    ]
}

Image Builder Builder-Updates für AWS verwaltete Richtlinien

Dieser Abschnitt enthält Informationen zu Aktualisierungen der AWS verwalteten Richtlinien für Image Builder, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS Feed auf der Seite Image Builder Builder-Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderung	Beschreibung	Datum
EC2ImageBuilderLifecycleExecutionPolicy – Neue Richtlinie.	Image Builder hat die neue `EC2ImageBuilderLifecycleExecutionPolicy` Richtlinie hinzugefügt, die Berechtigungen für das Image-Lebenszyklusmanagement enthält.	17. November 2023
AWSServiceRoleForImageBuilder – Aktualisierung auf eine bestehende Richtlinie	Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen, um die Instanzplatzierung zu unterstützen. ec2 hinzugefügt: DescribeHosts aktiviert Image Builder, um das abzufragen, hostId um festzustellen, wann es sich in einem gültigen Status befindet, um eine Instance zu starten. Die API Aktion ssm: wurde hinzugefügtGetCommandInvocation, um die Methode zu verbessern, die Image Builder verwendet, um Details zum Befehlsaufruf abzurufen.	19. Oktober 2023
AWSServiceRoleForImageBuilder – Aktualisierung auf eine bestehende Richtlinie	Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen, um die Instanzplatzierung zu unterstützen. ec2 hinzugefügt: DescribeHosts aktiviert Image Builder, um das abzufragen, hostId um festzustellen, wann es sich in einem gültigen Status befindet, um eine Instance zu starten. Die API Aktion ssm: wurde hinzugefügtGetCommandInvocation, um die Methode zu verbessern, die Image Builder verwendet, um Details zum Befehlsaufruf abzurufen.	28. September 2023
AWSServiceRoleForImageBuilder – Aktualisierung auf eine bestehende Richtlinie	Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen, damit Image Builder-Workflows Schwachstellen sowohl AMI für Container-Image-Builds als auch für ECR Container-Image-Builds sammeln können. Die neuen Berechtigungen unterstützen die CVE Erkennungs- und Berichtsfunktion. inspector2: ListCoverage und inspector2: hinzugefügt, damit Image Builder feststellen kannListFindings , wann Amazon Inspector Testinstance-Scans abschließt, und Ergebnisse für Bilder sammeln kann, die so konfiguriert sind, dass dies zulässig ist. ecr: hinzugefügtCreateRepository, mit der Anforderung, dass Image Builder das Repository mit `CreatedBy: EC2 Image Builder` (tag-on-create) kennzeichnen muss. Außerdem wurde ecr: TagResource (erforderlich für tag-on-create) mit derselben CreatedBy Tag-Einschränkung und einer zusätzlichen Einschränkung hinzugefügt, bei der der Repository-Name beginnen muss. `image-builder-` Die Namensbeschränkung verhindert die Eskalation von Rechten und verhindert Änderungen an Repositorys, die Image Builder nicht erstellt hat. ecr: BatchDeleteImage für ECR Repositorys hinzugefügt, die mit gekennzeichnet sind. `CreatedBy: EC2 Image Builder` Diese Berechtigung erfordert zunächst den Namen des Repositorys. `image-builder-` Es wurden Ereignisberechtigungen für Image Builder hinzugefügt, um von Amazon EventBridge verwaltete Regeln zu erstellen und zu verwalten, die `ImageBuilder-*` im Namen enthalten sind.	30. März 2023
AWSServiceRoleForImageBuilder – Aktualisierung auf eine bestehende Richtlinie	Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen: License Manager Manager-Lizenzen wurden als Ressource für den ec2: RunInstance -Aufruf hinzugefügt, damit Kunden das Basis-Image verwenden könnenAMIs, das mit einer Lizenzkonfiguration verknüpft ist.	22. März 2022
AWSServiceRoleForImageBuilder – Aktualisierung auf eine bestehende Richtlinie	Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen: Es wurden EC2 EnableFastLaunch API Aktionsberechtigungen hinzugefügt, um das schnellere Starten für Windows-Instanzen zu aktivieren und zu deaktivieren. Eingeschränkter Anwendungsbereich für ec2: Bedingungen für CreateTags Aktionen und Ressourcen-Tags.	21. Februar 2022
AWSServiceRoleForImageBuilder – Aktualisierung auf eine bestehende Richtlinie	Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen: Es wurden Berechtigungen hinzugefügt, um den VMIE Dienst aufzurufen, um eine VM zu importieren und daraus eine Basis AMI zu erstellen. Eingeschränkter Geltungsbereich für ec2: Bedingungen für CreateTags Aktionen und Ressourcen-Tags.	20. November 2021
AWSServiceRoleForImageBuilder – Aktualisierung auf eine bestehende Richtlinie	Image Builder hat neue Berechtigungen hinzugefügt, um Probleme zu beheben, bei denen mehrere Inventarzuordnungen dazu führen, dass der Image-Build hängen bleibt.	11. August 2021
AWSImageBuilderFullAccess – Aktualisierung auf eine bestehende Richtlinie	Image Builder hat die folgenden Änderungen an der Vollzugriffsrolle vorgenommen: Es wurden Berechtigungen zum Zulassen hinzugefügt`ec2:DescribeInstanceTypeOffereings`. Es wurden Aufrufberechtigungen hinzugefügt`ec2:DescribeInstanceTypeOffereings`, damit die Image Builder Builder-Konsole die Instanztypen, die im Konto verfügbar sind, genau wiedergeben kann.	13. April 2021
Image Builder hat mit der Nachverfolgung von Änderungen begonnen	Image Builder hat damit begonnen, Änderungen für seine AWS verwalteten Richtlinien nachzuverfolgen.	02. April 2021

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Identitätsbasierte Richtlinien

Service-verknüpfte Rollen