Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Utilice políticas AWS administradas para EC2 Image Builder
Una política AWS administrada es una política independiente creada y administrada por. AWS AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando haya nuevas API operaciones disponibles para los servicios existentes.
Para obtener más información, consulte las políticas AWS administradas en la Guía del IAM usuario.
AWSImageBuilderFullAccess política
Con la AWSImageBuilderFullAccessla política otorga acceso completo a los recursos de Image Builder para el rol al que está asociado, lo que permite al rol enumerar, describir, crear, actualizar y eliminar los recursos de Image Builder. La política también concede permisos específicos a los relacionados Servicios de AWS que sean necesarios, por ejemplo, para verificar los recursos o para mostrar los recursos actuales de la cuenta en el AWS Management Console.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
Generador de Imágenes: se concede acceso administrativo para que el rol pueda enumerar, describir, crear, actualizar y eliminar los recursos de Generador de Imágenes de EC2.
-
Amazon EC2: se concede acceso a las acciones de Amazon EC2 Describe necesarias para verificar la existencia de los recursos u obtener listas de los recursos que pertenecen a la cuenta.
-
IAM— Se concede acceso para obtener y utilizar perfiles de instancia cuyo nombre contenga «imagebuilder», para comprobar la existencia del rol vinculado al servicio Image Builder mediante la
iam:GetRole
API acción y para crear el rol vinculado al servicio Image Builder. -
License Manager: se concede acceso para enumerar las configuraciones de licencia o las licencias de un recurso.
-
Amazon S3: se concede acceso a los buckets de listas que pertenecen a la cuenta y también a los buckets de Generador de Imágenes de EC2 con “imagebuilder” en sus nombres.
-
Amazon SNS: se otorgan permisos de escritura a Amazon SNS para verificar la propiedad de los temas que contienen «imagebuilder».
Ejemplo de política
A continuación se muestra un ejemplo de AWSImageBuilderFullAccess política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "arn:aws:sns:*:*:*imagebuilder*" }, { "Effect": "Allow", "Action": [ "license-manager:ListLicenseConfigurations", "license-manager:ListLicenseSpecificationsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" }, { "Effect": "Allow", "Action": [ "iam:GetInstanceProfile" ], "Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*" }, { "Effect": "Allow", "Action": [ "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:instance-profile/*imagebuilder*", "arn:aws:iam::*:role/*imagebuilder*" ], "Condition": { "StringEquals": { "iam:PassedToService": "ec2.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3::*:*imagebuilder*" }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder", "Condition": { "StringLike": { "iam:AWSServiceName": "imagebuilder.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeSnapshots", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeVolumes", "ec2:DescribeSubnets", "ec2:DescribeKeyPairs", "ec2:DescribeSecurityGroups", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeLaunchTemplates" ], "Resource": "*" } ] }
AWSImageBuilderReadOnlyAccess política
Con la AWSImageBuilderReadOnlyAccessla política proporciona acceso de solo lectura a todos los recursos de Image Builder. Se conceden permisos para comprobar que el rol vinculado al servicio Image Builder existe mediante la iam:GetRole
API acción.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
Generador de Imágenes: se concede acceso para el acceso de solo lectura a los recursos de Generador de Imágenes.
-
IAM— El acceso se concede para verificar la existencia del rol vinculado al servicio Image Builder mediante la
iam:GetRole
API acción.
Ejemplo de política
A continuación se muestra un ejemplo de AWSImageBuilderReadOnlyAccess política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:Get*", "imagebuilder:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" } ] }
AWSServiceRoleForImageBuilder política
Con la AWSServiceRoleForImageBuilderesta política permite a Image Builder llamar Servicios de AWS en su nombre.
Detalles de los permisos
Esta política se asocia al rol vinculado a servicios de Generador de Imágenes de EC2 cuando el rol se crea a través de Systems Manager. Para obtener más información sobre el rol vinculado a servicios de Generador de Imágenes, consulte Utilice funciones IAM vinculadas a servicios para Image Builder.
La política incluye los siguientes permisos:
-
CloudWatch Registros: se permite el acceso para crear y cargar CloudWatch registros en cualquier grupo de registros cuyo nombre comience por
/aws/imagebuilder/
. -
Amazon EC2: se concede acceso a Image Builder para crear imágenes y lanzar EC2 instancias en su cuenta, utilizando instantáneas, volúmenes, interfaces de red, subredes, grupos de seguridad, configuración de licencias y pares de claves relacionados, según sea necesario, siempre que la imagen, la instancia y los volúmenes que se estén creando o utilizando estén etiquetados con
CreatedBy: EC2 Image Builder
o.CreatedBy: EC2 Fast Launch
Image Builder puede obtener información sobre EC2 las imágenes de Amazon, los atributos de las instancias, el estado de las instancias, los tipos de instancias disponibles para su cuenta, las plantillas de lanzamiento, las subredes, los hosts y las etiquetas de sus EC2 recursos de Amazon.
Generador de Imágenes puede actualizar la configuración de imágenes para permitir o deshabilitar el inicio más rápido de las instancias de Windows en su cuenta, cuando la imagen tenga la etiqueta
CreatedBy: EC2 Image Builder
.Además, Image Builder puede iniciar, detener y finalizar las instancias que se estén ejecutando en su cuenta, compartir EBS instantáneas de Amazon, crear y actualizar imágenes y plantillas de lanzamiento, anular el registro de las imágenes existentes, añadir etiquetas y replicar imágenes en las cuentas a las que haya concedido permisos a través del Ec2ImageBuilderCrossAccountDistributionAccesspolítica. El etiquetado de Generador de Imágenes es necesario para todas estas acciones, como se describió anteriormente.
-
Amazon ECR: se concede acceso a Image Builder para crear un repositorio, si es necesario, para escanear las vulnerabilidades de las imágenes de contenedores y etiquetar los recursos que crea para limitar el alcance de sus operaciones. También se concede acceso a Generador de Imágenes para eliminar las imágenes de contenedor que creó para los escaneos después de tomar instantáneas de las vulnerabilidades.
-
EventBridge— Se concede acceso a Image Builder para crear y gestionar EventBridge reglas.
-
IAM— Se permite el acceso a Image Builder para transferir cualquier función de su cuenta a Amazon EC2 y a VM Import/Export.
-
Amazon Inspector: se concede acceso a Generador de Imágenes para determinar cuándo Amazon Inspector completa los escaneos de las instancias de compilación y para recopilar los resultados de las imágenes que están configuradas para permitirlo.
-
AWS KMS— Se concede acceso EBS a Amazon para cifrar, descifrar o volver a cifrar los volúmenes de Amazon. EBS Esto es crucial para garantizar que los volúmenes cifrados funcionen cuando Generador de Imágenes compile una imagen.
-
License Manager: se permite el acceso a Generador de Imágenes para actualizar las especificaciones de License Manager a través de
license-manager:UpdateLicenseSpecificationsForResource
. -
Amazon SNS: se conceden permisos de escritura para cualquier SNS tema de Amazon de tu cuenta.
-
Administrador de sistemas: se concede acceso a Image Builder para enumerar los comandos de Systems Manager y sus invocaciones, las entradas de inventario, describir la información de las instancias y los estados de ejecución de la automatización, describir los hosts para el soporte de ubicación de las instancias y obtener detalles de la invocación de comandos. Generador de Imágenes también puede enviar señales de automatización y detener las ejecuciones de automatización de cualquier recurso en su cuenta.
Generador de Imágenes puede emitir invocaciones de comandos de ejecución en cualquier instancia que esté etiquetada con
"CreatedBy": "EC2 Image Builder"
para los siguientes archivos de script:AWS-RunPowerShellScript
,AWS-RunShellScript
oAWSEC2-RunSysprep
. Generador de Imágenes puede iniciar una ejecución de automatización de Systems Manager en su cuenta para los documentos de automatización cuyo nombre comience conImageBuilder
.Generador de Imágenes también puede crear o eliminar asociaciones de State Manager para cualquier instancia en su cuenta, siempre que el documento de asociación sea
AWS-GatherSoftwareInventory
, y crear el rol vinculado a servicios de Systems Manager en su cuenta. -
AWS STS— Se concede acceso para que Image Builder asuma las funciones denominadas EC2ImageBuilderDistributionCrossAccountRoledesde tu cuenta a cualquier cuenta en la que la política de confianza del rol lo permita. Esto se utiliza para la distribución de imágenes entre cuentas.
Para ver los permisos de esta política, consulta AWSServiceRoleForImageBuilderen la Referencia de políticas AWS gestionadas.
Ec2ImageBuilderCrossAccountDistributionAccess política
Con la Ec2ImageBuilderCrossAccountDistributionAccessla política otorga permisos para que Image Builder distribuya imágenes entre las cuentas de las regiones de destino. Además, Image Builder puede describir, copiar y aplicar etiquetas a cualquier EC2 imagen de Amazon de la cuenta. La política también permite modificar los AMI permisos mediante esta ec2:ModifyImageAttribute
API acción.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
AmazonEC2: Amazon tiene acceso EC2 para describir, copiar y modificar los atributos de una imagen y para crear etiquetas para cualquier EC2 imagen de Amazon de la cuenta.
Ejemplo de política
El siguiente es un ejemplo de Ec2ImageBuilderCrossAccountDistributionAccess política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*::image/*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" } ] }
EC2ImageBuilderLifecycleExecutionPolicy política
Con la EC2ImageBuilderLifecycleExecutionPolicyla política otorga permisos para que Image Builder lleve a cabo acciones como desaprobar, deshabilitar o eliminar los recursos de imagen de Image Builder y sus recursos subyacentes (AMIsinstantáneas) para respaldar las reglas automatizadas para las tareas de administración del ciclo de vida de las imágenes.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
Amazon EC2: se concede acceso EC2 a Amazon para realizar las siguientes acciones con Amazon Machine Images (AMIs) en la cuenta con la que están etiquetadas
CreatedBy: EC2 Image Builder
.-
Habilita y deshabilita unAMI.
-
Habilitar o deshabilitar la obsolescencia de imágenes.
-
Describa y anule el registro de un. AMI
-
Describa y modifique los atributos de AMI la imagen.
-
Elimine las instantáneas de volumen asociadas a. AMI
-
Recuperar las etiquetas de un recurso.
-
Agregue o elimine etiquetas de un anuncio AMI para su obsolescencia.
-
-
AmazonECR: Amazon tiene acceso ECR para realizar las siguientes acciones por lotes en ECR los repositorios con la
LifecycleExecutionAccess: EC2 Image Builder
etiqueta. Las acciones por lotes admiten reglas automatizadas del ciclo de vida de las imágenes de contenedor.-
ecr:BatchGetImage
-
ecr:BatchDeleteImage
El acceso se concede a nivel de repositorio a los ECR repositorios etiquetados con.
LifecycleExecutionAccess: EC2 Image Builder
-
-
AWS Grupos de recursos: se concede acceso a Image Builder para obtener recursos basados en etiquetas.
-
EC2Image Builder: se concede acceso a Image Builder para eliminar los recursos de imágenes de Image Builder.
Ejemplo de política
El siguiente es un ejemplo de EC2ImageBuilderLifecycleExecutionPolicy política.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Ec2ImagePermission", "Effect": "Allow", "Action": [ "ec2:EnableImage", "ec2:DeregisterImage", "ec2:EnableImageDeprecation", "ec2:DescribeImageAttribute", "ec2:DisableImage", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2DeleteSnapshotPermission", "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2TagsPermission", "Effect": "Allow", "Action": [ "ec2:DeleteTags", "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ], "Condition": { "StringEquals": { "aws:RequestTag/DeprecatedBy": "EC2 Image Builder", "aws:ResourceTag/CreatedBy": "EC2 Image Builder" }, "ForAllValues:StringEquals": { "aws:TagKeys": "DeprecatedBy" } } }, { "Sid": "ECRImagePermission", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:BatchDeleteImage" ], "Resource": "arn:aws:ecr:*:*:repository/*", "Condition": { "StringEquals": { "ecr:ResourceTag/LifecycleExecutionAccess": "EC2 Image Builder" } } }, { "Sid": "ImageBuilderEC2TagServicePermission", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "tag:GetResources", "imagebuilder:DeleteImage" ], "Resource": "*" } ] }
EC2InstanceProfileForImageBuilder política
Con la EC2InstanceProfileForImageBuilderla política concede los permisos mínimos necesarios para que una EC2 instancia funcione con Image Builder. Esto no incluye los permisos necesarios para usar Systems Manager Agent.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
CloudWatch Registros: se permite el acceso para crear y cargar CloudWatch registros en cualquier grupo de registros cuyo nombre comience por
/aws/imagebuilder/
. -
Generador de Imágenes: se permite el acceso a cualquier componente de Generador de Imágenes.
-
AWS KMS— Se concede acceso para descifrar un componente de Image Builder, si se cifró mediante AWS KMS.
-
Amazon S3: se concede acceso para obtener objetos almacenados en un bucket de Amazon S3 cuyo nombre comience con
ec2imagebuilder-
.
Ejemplo de políticas
A continuación se muestra un ejemplo de EC2InstanceProfileForImageBuilder política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
EC2InstanceProfileForImageBuilderECRContainerBuilds política
Con la EC2InstanceProfileForImageBuilderECRContainerBuildsla política concede los permisos mínimos necesarios para que una EC2 instancia cuando se trabaja con Image Builder cree imágenes de Docker y, a continuación, registre y almacene las imágenes en un repositorio de ECR contenedores de Amazon. Esto no incluye los permisos necesarios para usar Systems Manager Agent.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
CloudWatch Registros: se permite el acceso para crear y cargar CloudWatch registros en cualquier grupo de registros cuyo nombre comience por
/aws/imagebuilder/
. -
Amazon ECR: se concede el acceso ECR a Amazon para obtener, registrar y almacenar una imagen de contenedor y para obtener un token de autorización.
-
Generador de Imágenes: se permite el acceso para obtener un componente o receta de contenedor de Generador de Imágenes.
-
AWS KMS— Se concede acceso para descifrar un componente de Image Builder o una receta de contenedor, si se cifró mediante AWS KMS.
-
Amazon S3: se concede acceso para obtener objetos almacenados en un bucket de Amazon S3 cuyo nombre comience con
ec2imagebuilder-
.
Ejemplo de políticas
El siguiente es un ejemplo de EC2InstanceProfileForImageBuilderECRContainerBuilds política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent", "imagebuilder:GetContainerRecipe", "ecr:GetAuthorizationToken", "ecr:BatchGetImage", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:PutImage" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
Image Builder actualiza las políticas AWS gestionadas
En esta sección se proporciona información sobre las actualizaciones de las políticas AWS gestionadas de Image Builder desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase al RSS feed de la página del historial de documentos de Image Builder.
Cambio | Descripción | Fecha |
---|---|---|
EC2ImageBuilderLifecycleExecutionPolicy: política nueva |
El Generador de imágenes agregó la nueva política |
17 de noviembre de 2023 |
AWSServiceRoleForImageBuilder: actualización de una política actual |
Image Builder realizó los siguientes cambios en la función de servicio para proporcionar soporte para la colocación de instancias.
|
19 de octubre de 2023 |
AWSServiceRoleForImageBuilder: actualización de una política actual |
Image Builder realizó los siguientes cambios en la función de servicio para proporcionar soporte para la colocación de instancias.
|
28 de septiembre de 2023 |
AWSServiceRoleForImageBuilder: actualización de una política actual |
Image Builder realizó los siguientes cambios en la función de servicio para permitir que los flujos de trabajo de Image Builder recopilen los hallazgos de vulnerabilidades tanto para las compilaciones de imágenes de ECR contenedores como para AMI las compilaciones de imágenes de contenedores. Los nuevos permisos admiten la función CVE de detección e informes.
|
30 de marzo de 2023 |
AWSServiceRoleForImageBuilder: actualización de una política actual |
Generador de Imágenes hizo los siguientes cambios en el rol de servicio:
|
22 de marzo de 2022 |
AWSServiceRoleForImageBuilder: actualización de una política actual |
Generador de Imágenes hizo los siguientes cambios en el rol de servicio:
|
21 de febrero de 2022 |
AWSServiceRoleForImageBuilder: actualización de una política actual |
Generador de Imágenes hizo los siguientes cambios en el rol de servicio:
|
20 de noviembre de 2021 |
AWSServiceRoleForImageBuilder: actualización de una política actual |
Generador de Imágenes agregó nuevos permisos para solucionar problemas donde más de una asociación de inventario provoca que la compilación de imágenes se bloquee. |
11 de agosto de 2021 |
AWSImageBuilderFullAccess: actualización de una política actual |
Generador de Imágenes hizo los siguientes cambios en el rol de acceso completo:
|
13 de abril de 2021 |
Generador de Imágenes comenzó el seguimiento de los cambios |
Image Builder comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. |
2 de abril de 2021 |