Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Integration von Identity and Access Management für Image Builder
<a name="security-iam"></a>

**Topics**
+ [Zielgruppe](#security-iam-audience)
+ [Authentifizierung mit Identitäten](#security-iam-authentication)
+ [So funktioniert Image Builder mit IAM-Richtlinien und -Rollen](security_iam_service-with-iam.md)
+ [Datenperimeter für den S3-Bucket-Download-Zugriff in Image Builder verwalten](security-iam-data-perimeter.md)
+ [Identitätsbasierte Richtlinien von Image Builder](security-iam-identity-based-policies.md)
+ [IAM-Berechtigungen für benutzerdefinierte Workflows](#security-iam-custom-workflows)
+ [Ressourcenbasierte Richtlinien von Image Builder](#security-iam-resource-based-policies)
+ [AWS Verwaltete Richtlinien für EC2 Image Builder verwenden](security-iam-awsmanpol.md)
+ [Verwenden Sie mit dem IAM-Dienst verknüpfte Rollen für Image Builder](image-builder-service-linked-role.md)
+ [Behebung von IAM-Problemen in Image Builder](security_iam_troubleshoot.md)

## Zielgruppe
<a name="security-iam-audience"></a>

Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Behebung von IAM-Problemen in Image Builder](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Image Builder mit IAM-Richtlinien und -Rollen](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Identitätsbasierte Richtlinien von Image Builder](security_iam_service-with-iam.md#security_iam_id-based-policy-examples)).

## Authentifizierung mit Identitäten
<a name="security-iam-authentication"></a>

Ausführliche Informationen zur Authentifizierung von Personen und Prozessen in Ihrem AWS-Konto Bereich finden Sie unter [Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*. 

## IAM-Berechtigungen für benutzerdefinierte Workflows
<a name="security-iam-custom-workflows"></a>

Wenn Sie benutzerdefinierte Workflows mit bestimmten Schrittaktionen verwenden[RegisterImage](wfdoc-step-actions.md#wfdoc-step-action-register-image), wie z. B., können zusätzliche IAM-Berechtigungen erforderlich sein, die über die standardmäßigen verwalteten Richtlinien von Image Builder hinausgehen. In diesem Abschnitt werden die zusätzlichen Berechtigungen beschrieben, die für benutzerdefinierte Workflow-Schrittaktionen erforderlich sind.

### RegisterImage Berechtigungen für Schrittaktionen
<a name="security-iam-registerimage-permissions"></a>

Für die `RegisterImage` Schrittaktion sind spezielle Amazon EC2 EC2-Berechtigungen erforderlich, um Snapshot-Tags zu registrieren AMIs und optional abzurufen. Bei Verwendung des `includeSnapshotTags` Parameters sind zusätzliche Berechtigungen zur Beschreibung von Snapshots erforderlich.

**Erforderliche Berechtigungen für die RegisterImage Schrittaktion:**

Erlauben Sie für alle Ressourcen die folgenden Aktionen:
+ `ec2:RegisterImage`
+ `ec2:DescribeSnapshots`

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:RegisterImage",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "RegisterImage"
                }
            }
        }
    ]
}
```

**Einzelheiten zur Genehmigung:**
+ `ec2:RegisterImage`- Erforderlich, um neue Daten AMIs aus Snapshots zu registrieren
+ `ec2:DescribeSnapshots`- Erforderlich, wenn Snapshot-Tags `includeSnapshotTags: true` zum Zusammenführen mit AMI-Tags abgerufen werden sollen
+ `ec2:CreateTags`- Erforderlich, um Tags auf das registrierte AMI anzuwenden, einschließlich Image Builder Builder-Standard-Tags und zusammengeführter Snapshot-Tags

**Anmerkung**  
Die `ec2:DescribeSnapshots` Berechtigung wird nur verwendet, wenn der `includeSnapshotTags` Parameter auf gesetzt ist`true`. Wenn Sie diese Funktion nicht verwenden, können Sie diese Berechtigung weglassen.

**Verhalten beim Zusammenführen von Tags:**

Wenn diese Option aktiviert `includeSnapshotTags` ist, wird die RegisterImage Schrittaktion:
+ Ruft Tags aus dem ersten Snapshot ab, der in der Blockgeräte-Zuordnung angegeben wurde
+ Schließt alle AWS reservierten Tags aus (solche, deren Schlüssel mit „aws:“ beginnen)
+ Snapshot-Tags mit den Standard-AMI-Registrierungs-Tags von Image Builder zusammenführen
+ Geben Sie Image Builder Builder-Tags Vorrang, wenn Tagschlüssel miteinander kollidieren

## Ressourcenbasierte Richtlinien von Image Builder
<a name="security-iam-resource-based-policies"></a>

Informationen zum Erstellen einer Komponente finden Sie unter. [Verwenden Sie Komponenten, um Ihr Image Builder Builder-Image anzupassen](manage-components.md)

### Beschränken des Zugriffs auf Image Builder Builder-Komponenten auf bestimmte IP-Adressen
<a name="sec-iam-resourcepol-restrict-component-by-ip"></a>

Im folgenden Beispiel wird jedem Benutzer die Berechtigung erteilt, alle Image Builder Builder-Operationen an Komponenten auszuführen. Die Anfrage muss jedoch aus dem in der Bedingung angegebenen IP-Adressbereich stammen.

Die Bedingung in dieser Anweisung identifiziert den Bereich 54.240.143.\$1 der zulässigen IP-Adressen der Internetprotokoll-Version 4 (IPv4), mit einer Ausnahme: 54.240.143.188.

Der `Condition` Block verwendet die `NotIpAddress` Bedingungen `IpAddress` und und den Bedingungsschlüssel, bei dem es sich um einen -weiten Bedingungsschlüssel handelt`aws:SourceIp`. AWS Weitere Informationen zu diesen Bedingungsschlüsseln finden Sie unter [Bedingungen in einer Richtlinie angeben](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html). Die `aws:sourceIp` IPv4 Werte verwenden die Standard-CIDR-Notation. Weitere Informationen finden Sie unter [IP-Adressen-Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) im *IAM-Benutzerhandbuch*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id": "IBPolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Action": "imagebuilder:GetComponent",
      "Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}
```

------