Uso AWS políticas gestionadas para EC2 Image Builder - EC2Image Builder
AWSImageBuilderFullAccessAWSImageBuilderReadOnlyAccessAWSServiceRoleForImageBuilderEc2ImageBuilderCrossAccountDistributionAccessEC2ImageBuilderLifecycleExecutionPolicyEC2InstanceProfileForImageBuilderEC2InstanceProfileForImageBuilderECRContainerBuildsActualizaciones de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso AWS políticas gestionadas para EC2 Image Builder

Un registro AWS la política administrada es una política independiente creada y administrada por AWS. AWS las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que AWS Es posible que las políticas gestionadas no concedan permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para todos AWS clientes para usar. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puede cambiar los permisos definidos en AWS políticas gestionadas. Si AWS actualiza los permisos definidos en un AWS política gestionada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS lo más probable es que actualice una AWS política gestionada cuando es nueva Servicio de AWS se lanza o hay nuevas API operaciones disponibles para los servicios existentes.

Para obtener más información, consulte AWS políticas gestionadas en la Guía IAM del usuario.

AWSImageBuilderFullAccess política

Con la AWSImageBuilderFullAccessla política otorga acceso completo a los recursos de Image Builder para el rol al que está asociado, lo que permite al rol enumerar, describir, crear, actualizar y eliminar los recursos de Image Builder. La política también otorga permisos específicos a personas relacionadas Servicios de AWS que son necesarios, por ejemplo, para verificar los recursos o para mostrar los recursos actuales de la cuenta en el AWS Management Console.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • Generador de Imágenes: se concede acceso administrativo para que el rol pueda enumerar, describir, crear, actualizar y eliminar los recursos de Generador de Imágenes de EC2.

  • Amazon EC2: se concede acceso a las acciones de Amazon EC2 Describe necesarias para verificar la existencia de los recursos u obtener listas de los recursos que pertenecen a la cuenta.

  • IAM— Se concede acceso para obtener y utilizar perfiles de instancia cuyo nombre contenga «imagebuilder», para comprobar la existencia del rol vinculado al servicio Image Builder mediante la iam:GetRole API acción y para crear el rol vinculado al servicio Image Builder.

  • License Manager: se concede acceso para enumerar las configuraciones de licencia o las licencias de un recurso.

  • Amazon S3: se concede acceso a los buckets de listas que pertenecen a la cuenta y también a los buckets de Generador de Imágenes de EC2 con “imagebuilder” en sus nombres.

  • Amazon SNS: se otorgan permisos de escritura a Amazon SNS para verificar la propiedad de los temas que contienen «imagebuilder».

Ejemplo de política

A continuación se muestra un ejemplo de AWSImageBuilderFullAccess política.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "imagebuilder:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:ListTopics"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": "arn:aws:sns:*:*:*imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "license-manager:ListLicenseConfigurations",
                "license-manager:ListLicenseSpecificationsForResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetInstanceProfile"
            ],
            "Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListInstanceProfiles",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::*:instance-profile/*imagebuilder*",
                "arn:aws:iam::*:role/*imagebuilder*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ec2.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3::*:*imagebuilder*"
        },
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "imagebuilder.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeSnapshots",
                "ec2:DescribeVpcs",
                "ec2:DescribeRegions",
                "ec2:DescribeVolumes",
                "ec2:DescribeSubnets",
                "ec2:DescribeKeyPairs",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeInstanceTypeOfferings",
                "ec2:DescribeLaunchTemplates"
            ],
            "Resource": "*"
        }
    ]
}

AWSImageBuilderReadOnlyAccess política

Con la AWSImageBuilderReadOnlyAccessla política proporciona acceso de solo lectura a todos los recursos de Image Builder. Se conceden permisos para comprobar que el rol vinculado al servicio Image Builder existe mediante la iam:GetRole API acción.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • Generador de Imágenes: se concede acceso para el acceso de solo lectura a los recursos de Generador de Imágenes.

  • IAM— El acceso se concede para verificar la existencia del rol vinculado al servicio Image Builder mediante la iam:GetRole API acción.

Ejemplo de política

A continuación se muestra un ejemplo de AWSImageBuilderReadOnlyAccess política.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "imagebuilder:Get*",
                "imagebuilder:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder"
        }
    ]
}

AWSServiceRoleForImageBuilder política

Con la AWSServiceRoleForImageBuilderla política permite a Image Builder llamar Servicios de AWS en su nombre.

Detalles de los permisos

Esta política se asocia al rol vinculado a servicios de Generador de Imágenes de EC2 cuando el rol se crea a través de Systems Manager. Para obtener más información sobre el rol vinculado a servicios de Generador de Imágenes, consulte Utilice funciones IAM vinculadas a servicios para Image Builder.

La política incluye los siguientes permisos:

  • CloudWatch Registros: se permite el acceso para crear y cargar CloudWatch registros en cualquier grupo de registros cuyo nombre comience por/aws/imagebuilder/.

  • Amazon EC2: se concede acceso a Image Builder para crear imágenes y lanzar EC2 instancias en su cuenta, utilizando instantáneas, volúmenes, interfaces de red, subredes, grupos de seguridad, configuración de licencias y pares de claves relacionados, según sea necesario, siempre que la imagen, la instancia y los volúmenes que se estén creando o utilizando estén etiquetados con CreatedBy: EC2 Image Builder o. CreatedBy: EC2 Fast Launch

    Image Builder puede obtener información sobre EC2 las imágenes de Amazon, los atributos de las instancias, el estado de las instancias, los tipos de instancias disponibles para su cuenta, las plantillas de lanzamiento, las subredes, los hosts y las etiquetas de sus EC2 recursos de Amazon.

    Generador de Imágenes puede actualizar la configuración de imágenes para permitir o deshabilitar el inicio más rápido de las instancias de Windows en su cuenta, cuando la imagen tenga la etiqueta CreatedBy: EC2 Image Builder.

    Además, Image Builder puede iniciar, detener y finalizar las instancias que se estén ejecutando en su cuenta, compartir EBS instantáneas de Amazon, crear y actualizar imágenes y plantillas de lanzamiento, anular el registro de las imágenes existentes, añadir etiquetas y replicar imágenes en las cuentas a las que haya concedido permisos a través del Ec2ImageBuilderCrossAccountDistributionAccesspolítica. El etiquetado de Generador de Imágenes es necesario para todas estas acciones, como se describió anteriormente.

  • Amazon ECR: se concede acceso a Image Builder para crear un repositorio, si es necesario, para escanear las vulnerabilidades de las imágenes de contenedores y etiquetar los recursos que crea para limitar el alcance de sus operaciones. También se concede acceso a Generador de Imágenes para eliminar las imágenes de contenedor que creó para los escaneos después de tomar instantáneas de las vulnerabilidades.

  • EventBridge— Se concede acceso a Image Builder para crear y gestionar EventBridge reglas.

  • IAM— Se permite el acceso a Image Builder para transferir cualquier función de su cuenta a Amazon EC2 y a VM Import/Export.

  • Amazon Inspector: se concede acceso a Generador de Imágenes para determinar cuándo Amazon Inspector completa los escaneos de las instancias de compilación y para recopilar los resultados de las imágenes que están configuradas para permitirlo.

  • AWS KMS— Se concede acceso EBS a Amazon para cifrar, descifrar o volver a cifrar los volúmenes de Amazon. EBS Esto es crucial para garantizar que los volúmenes cifrados funcionen cuando Generador de Imágenes compile una imagen.

  • License Manager: se permite el acceso a Generador de Imágenes para actualizar las especificaciones de License Manager a través de license-manager:UpdateLicenseSpecificationsForResource.

  • Amazon SNS: se conceden permisos de escritura para cualquier SNS tema de Amazon de tu cuenta.

  • Administrador de sistemas: se concede acceso a Image Builder para enumerar los comandos de Systems Manager y sus invocaciones, las entradas de inventario, describir la información de las instancias y los estados de ejecución de la automatización, describir los hosts para el soporte de ubicación de las instancias y obtener detalles de la invocación de comandos. Generador de Imágenes también puede enviar señales de automatización y detener las ejecuciones de automatización de cualquier recurso en su cuenta.

    Generador de Imágenes puede emitir invocaciones de comandos de ejecución en cualquier instancia que esté etiquetada con "CreatedBy": "EC2 Image Builder" para los siguientes archivos de script: AWS-RunPowerShellScript, AWS-RunShellScript o AWSEC2-RunSysprep. Generador de Imágenes puede iniciar una ejecución de automatización de Systems Manager en su cuenta para los documentos de automatización cuyo nombre comience con ImageBuilder.

    Generador de Imágenes también puede crear o eliminar asociaciones de State Manager para cualquier instancia en su cuenta, siempre que el documento de asociación sea AWS-GatherSoftwareInventory, y crear el rol vinculado a servicios de Systems Manager en su cuenta.

  • AWS STS— Se concede acceso para que Image Builder asuma las funciones denominadas EC2ImageBuilderDistributionCrossAccountRoledesde tu cuenta a cualquier cuenta en la que la política de confianza del rol lo permita. Esto se utiliza para la distribución de imágenes entre cuentas.

Para ver los permisos de esta política, consulta AWSServiceRoleForImageBuilder en la AWS Referencia de políticas gestionadas.

Ec2ImageBuilderCrossAccountDistributionAccess política

Con la Ec2ImageBuilderCrossAccountDistributionAccessla política otorga permisos para que Image Builder distribuya imágenes entre las cuentas de las regiones de destino. Además, Image Builder puede describir, copiar y aplicar etiquetas a cualquier EC2 imagen de Amazon de la cuenta. La política también permite modificar los AMI permisos mediante esta ec2:ModifyImageAttribute API acción.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • AmazonEC2: Amazon tiene acceso EC2 para describir, copiar y modificar los atributos de una imagen y para crear etiquetas para cualquier EC2 imagen de Amazon de la cuenta.

Ejemplo de política

El siguiente es un ejemplo de Ec2ImageBuilderCrossAccountDistributionAccess política.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*::image/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:CopyImage",
                "ec2:ModifyImageAttribute"
            ],
            "Resource": "*"
        }
    ]
}

EC2ImageBuilderLifecycleExecutionPolicy política

Con la EC2ImageBuilderLifecycleExecutionPolicyla política otorga permisos para que Image Builder lleve a cabo acciones como desaprobar, deshabilitar o eliminar los recursos de imagen de Image Builder y sus recursos subyacentes (AMIsinstantáneas) para respaldar las reglas automatizadas para las tareas de administración del ciclo de vida de las imágenes.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • Amazon EC2: se concede acceso EC2 a Amazon para realizar las siguientes acciones con Amazon Machine Images (AMIs) en la cuenta con la que están etiquetadasCreatedBy: EC2 Image Builder.

    • Habilita y deshabilita unAMI.

    • Habilitar o deshabilitar la obsolescencia de imágenes.

    • Describa y anule el registro de un. AMI

    • Describa y modifique los atributos de AMI la imagen.

    • Elimine las instantáneas de volumen asociadas a. AMI

    • Recuperar las etiquetas de un recurso.

    • Agregue o elimine etiquetas de un anuncio AMI para su obsolescencia.

  • AmazonECR: Amazon tiene acceso ECR para realizar las siguientes acciones por lotes en ECR los repositorios con la LifecycleExecutionAccess: EC2 Image Builder etiqueta. Las acciones por lotes admiten reglas automatizadas del ciclo de vida de las imágenes de contenedor.

    • ecr:BatchGetImage

    • ecr:BatchDeleteImage

    El acceso se concede a nivel de repositorio a los ECR repositorios etiquetados con. LifecycleExecutionAccess: EC2 Image Builder

  • AWS Grupos de recursos: se concede acceso a Image Builder para obtener recursos basados en etiquetas.

  • EC2Image Builder: se concede acceso a Image Builder para eliminar los recursos de imágenes de Image Builder.

Ejemplo de política

El siguiente es un ejemplo de EC2ImageBuilderLifecycleExecutionPolicy política.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2ImagePermission",
            "Effect": "Allow",
            "Action": [
                "ec2:EnableImage",
                "ec2:DeregisterImage",
                "ec2:EnableImageDeprecation",
                "ec2:DescribeImageAttribute",
                "ec2:DisableImage",
                "ec2:DisableImageDeprecation"
            ],
            "Resource": "arn:aws:ec2:*::image/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CreatedBy": "EC2 Image Builder"
                }
            }
        },
        {
            "Sid": "EC2DeleteSnapshotPermission",
            "Effect": "Allow",
            "Action": "ec2:DeleteSnapshot",
            "Resource": "arn:aws:ec2:*::snapshot/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CreatedBy": "EC2 Image Builder"
                }
            }
        },
        {
            "Sid": "EC2TagsPermission",
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteTags",
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*::image/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/DeprecatedBy": "EC2 Image Builder",
                    "aws:ResourceTag/CreatedBy": "EC2 Image Builder"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "DeprecatedBy"
                }
            }
        },
        {
            "Sid": "ECRImagePermission",
            "Effect": "Allow",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:BatchDeleteImage"
            ],
            "Resource": "arn:aws:ecr:*:*:repository/*",
            "Condition": {
                "StringEquals": {
                    "ecr:ResourceTag/LifecycleExecutionAccess": "EC2 Image Builder"
                }
            }
        },
        {
            "Sid": "ImageBuilderEC2TagServicePermission",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "tag:GetResources",
                "imagebuilder:DeleteImage"
            ],
            "Resource": "*"
        }
    ]
}

EC2InstanceProfileForImageBuilder política

Con la EC2InstanceProfileForImageBuilderla política concede los permisos mínimos necesarios para que una EC2 instancia funcione con Image Builder. Esto no incluye los permisos necesarios para usar Systems Manager Agent.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • CloudWatch Registros: se permite el acceso para crear y cargar CloudWatch registros en cualquier grupo de registros cuyo nombre comience por/aws/imagebuilder/.

  • Generador de Imágenes: se permite el acceso a cualquier componente de Generador de Imágenes.

  • AWS KMS— Se concede acceso para descifrar un componente de Image Builder, si se cifró mediante AWS KMS.

  • Amazon S3: se concede acceso para obtener objetos almacenados en un bucket de Amazon S3 cuyo nombre comience con ec2imagebuilder-.

Ejemplo de políticas

A continuación se muestra un ejemplo de EC2InstanceProfileForImageBuilder política.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "imagebuilder:GetComponent"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": "aws:imagebuilder:arn",
                    "aws:CalledVia": [
                        "imagebuilder.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::ec2imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*"
        }
    ]
}

EC2InstanceProfileForImageBuilderECRContainerBuilds política

Con la EC2InstanceProfileForImageBuilderECRContainerBuildsla política concede los permisos mínimos necesarios para que una EC2 instancia cuando se trabaja con Image Builder cree imágenes de Docker y, a continuación, registre y almacene las imágenes en un repositorio de ECR contenedores de Amazon. Esto no incluye los permisos necesarios para usar Systems Manager Agent.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • CloudWatch Registros: se permite el acceso para crear y cargar CloudWatch registros en cualquier grupo de registros cuyo nombre comience por/aws/imagebuilder/.

  • Amazon ECR: se concede el acceso ECR a Amazon para obtener, registrar y almacenar una imagen de contenedor y para obtener un token de autorización.

  • Generador de Imágenes: se permite el acceso para obtener un componente o receta de contenedor de Generador de Imágenes.

  • AWS KMS— Se concede acceso para descifrar un componente de Image Builder o una receta de contenedor, si se cifró mediante AWS KMS.

  • Amazon S3: se concede acceso para obtener objetos almacenados en un bucket de Amazon S3 cuyo nombre comience con ec2imagebuilder-.

Ejemplo de políticas

El siguiente es un ejemplo de EC2InstanceProfileForImageBuilderECRContainerBuilds política.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "imagebuilder:GetComponent",
                "imagebuilder:GetContainerRecipe",
                "ecr:GetAuthorizationToken",
                "ecr:BatchGetImage",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:PutImage"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": "aws:imagebuilder:arn",
                    "aws:CalledVia": [
                        "imagebuilder.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::ec2imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*"
        }
    ]
}

Image Builder se actualiza a AWS políticas administradas

En esta sección se proporciona información sobre las actualizaciones de AWS administró políticas para Image Builder desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase al RSS feed de la página del historial de documentos de Image Builder.

Cambio Descripción Fecha

EC2ImageBuilderLifecycleExecutionPolicy: política nueva

El Generador de imágenes agregó la nueva política EC2ImageBuilderLifecycleExecutionPolicy que contiene permisos para la administración del ciclo de vida de las imágenes.

 17 de noviembre de 2023

AWSServiceRoleForImageBuilder: actualización de una política actual

Image Builder realizó los siguientes cambios en la función de servicio para proporcionar soporte para la colocación de instancias.

  • Se agregó ec2: DescribeHosts permite que Image Builder hostId sondee el para determinar cuándo está en un estado válido para lanzar una instancia.

  • Se agregó la API acción ssm:GetCommandInvocation, para mejorar el método que utiliza Image Builder para obtener detalles de la invocación de comandos.

 19 de octubre de 2023

AWSServiceRoleForImageBuilder: actualización de una política actual

Image Builder realizó los siguientes cambios en la función de servicio para proporcionar soporte para la colocación de instancias.

  • Se agregó ec2: DescribeHosts permite que Image Builder hostId sondee el para determinar cuándo está en un estado válido para lanzar una instancia.

  • Se agregó la API acción ssm:GetCommandInvocation, para mejorar el método que utiliza Image Builder para obtener detalles de la invocación de comandos.

 28 de septiembre de 2023

AWSServiceRoleForImageBuilder: actualización de una política actual

Image Builder realizó los siguientes cambios en la función de servicio para permitir que los flujos de trabajo de Image Builder recopilen los hallazgos de vulnerabilidades tanto para las compilaciones de imágenes de ECR contenedores como para AMI las compilaciones de imágenes de contenedores. Los nuevos permisos admiten la función CVE de detección e informes.

  • Se agregaron inspector2: ListCoverage e inspector2: para permitir a ListFindings Image Builder determinar cuándo Amazon Inspector completa los escaneos de las instancias de prueba y recopilar los resultados de las imágenes que están configuradas para permitirlo.

  • Se agregó ecr:CreateRepository, con el requisito de que Image Builder etiquete el repositorio con CreatedBy: EC2 Image Builder (tag-on-create). También se agregó ecr: TagResource (obligatorio para tag-on-create) con la misma restricción de CreatedBy etiqueta, y una restricción adicional que requiere empezar por el nombre del repositorio. image-builder-* La restricción de nombre impide el escalado de privilegios y evita cambios en los repositorios que Generador de Imágenes no creó.

  • Se agregó ecr: BatchDeleteImage para ECR los repositorios etiquetados con. CreatedBy: EC2 Image Builder Este permiso requiere que el nombre del repositorio empiece con image-builder-*.

  • Se han añadido permisos de eventos para que Image Builder cree y gestione las reglas EventBridge gestionadas por Amazon que incluyen ImageBuilder-* el nombre.

 30 de marzo de 2023

AWSServiceRoleForImageBuilder: actualización de una política actual

Generador de Imágenes hizo los siguientes cambios en el rol de servicio:

  • Se agregaron las licencias de License Manager como recurso para la RunInstance llamada ec2: para permitir a los clientes utilizar la imagen AMIs base asociada a una configuración de licencia.

 22 de marzo de 2022

AWSServiceRoleForImageBuilder: actualización de una política actual

Generador de Imágenes hizo los siguientes cambios en el rol de servicio:

  • Se agregaron permisos de EC2 EnableFastLaunch API acción para habilitar y deshabilitar el inicio más rápido de las instancias de Windows.

  • Se ha reducido aún más el alcance de ec2: condiciones de etiquetas de CreateTags acciones y recursos.

 21 de febrero de 2022

AWSServiceRoleForImageBuilder: actualización de una política actual

Generador de Imágenes hizo los siguientes cambios en el rol de servicio:

  • Se agregaron permisos para llamar al VMIE servicio a fin de importar una máquina virtual y crear una base a AMI partir de ella.

  • Se ha reducido el alcance de ec2: condiciones de etiqueta de CreateTags acción y recurso.

 20 de noviembre de 2021

AWSServiceRoleForImageBuilder: actualización de una política actual

Generador de Imágenes agregó nuevos permisos para solucionar problemas donde más de una asociación de inventario provoca que la compilación de imágenes se bloquee.

 11 de agosto de 2021

AWSImageBuilderFullAccess: actualización de una política actual

Generador de Imágenes hizo los siguientes cambios en el rol de acceso completo:

  • Permisos añadidos para permitir ec2:DescribeInstanceTypeOffereings.

  • Se agregaron permisos para llamar a ec2:DescribeInstanceTypeOffereings para permitir que la consola de Generador de Imágenes refleje con precisión los tipos de instancias disponibles en la cuenta.

 13 de abril de 2021

Generador de Imágenes comenzó el seguimiento de los cambios

Image Builder comenzó a rastrear los cambios en su AWS políticas gestionadas.

 2 de abril de 2021