Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Integración de Identity and Access Management para Generador de imágenes
<a name="security-iam"></a>

**Topics**
+ [Público](#security-iam-audience)
+ [Autenticación con identidades](#security-iam-authentication)
+ [Funcionamiento del Generador de imágenes con las políticas y roles de IAM](security_iam_service-with-iam.md)
+ [Gestione los perímetros de datos para el acceso a la descarga de cubos de S3 en Image Builder](security-iam-data-perimeter.md)
+ [Políticas basadas en identidades de Generador de Imágenes](security-iam-identity-based-policies.md)
+ [Permisos de IAM para flujos de trabajo personalizados](#security-iam-custom-workflows)
+ [Políticas basadas en recursos de Generador de Imágenes](#security-iam-resource-based-policies)
+ [Utilice políticas AWS administradas para EC2 Image Builder](security-iam-awsmanpol.md)
+ [Uso de roles vinculados a servicios de IAM para Generador de imágenes](image-builder-service-linked-role.md)
+ [Solución de problemas de IAM en Generador de imágenes](security_iam_troubleshoot.md)

## Público
<a name="security-iam-audience"></a>

La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñe:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de IAM en Generador de imágenes](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Funcionamiento del Generador de imágenes con las políticas y roles de IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Políticas basadas en identidades de Generador de Imágenes](security_iam_service-with-iam.md#security_iam_id-based-policy-examples)).

## Autenticación con identidades
<a name="security-iam-authentication"></a>

Para obtener información detallada sobre cómo autenticar a las personas y los procesos de su empresa Cuenta de AWS, consulte [Identidades](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) en la Guía del *usuario de IAM*. 

## Permisos de IAM para flujos de trabajo personalizados
<a name="security-iam-custom-workflows"></a>

Cuando se utilizan flujos de trabajo personalizados con acciones escalonadas específicas[RegisterImage](wfdoc-step-actions.md#wfdoc-step-action-register-image), por ejemplo, es posible que se requieran permisos de IAM adicionales además de las políticas gestionadas por Image Builder estándar. En esta sección se describen los permisos adicionales necesarios para las acciones escalonadas personalizadas del flujo de trabajo.

### RegisterImage permisos de acción escalonada
<a name="security-iam-registerimage-permissions"></a>

La acción `RegisterImage` escalonada requiere permisos específicos de Amazon EC2 para registrar AMIs y, de forma opcional, recuperar etiquetas de instantáneas. Al utilizar el `includeSnapshotTags` parámetro, se necesitan permisos adicionales para describir las instantáneas.

**Permisos necesarios para la acción RegisterImage escalonada:**

Para todos los recursos, permita las siguientes acciones:
+ `ec2:RegisterImage`
+ `ec2:DescribeSnapshots`

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:RegisterImage",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "RegisterImage"
                }
            }
        }
    ]
}
```

**Detalles del permiso:**
+ `ec2:RegisterImage`- Necesario para registrar imágenes nuevas a AMIs partir de instantáneas
+ `ec2:DescribeSnapshots`- Necesario cuando se utiliza `includeSnapshotTags: true` para recuperar etiquetas de instantáneas para fusionarlas con etiquetas AMI
+ `ec2:CreateTags`- Necesario para aplicar etiquetas a la AMI registrada, incluidas las etiquetas predeterminadas de Image Builder y las etiquetas de instantáneas combinadas

**nota**  
El `ec2:DescribeSnapshots` permiso solo se usa cuando el `includeSnapshotTags` parámetro está establecido en`true`. Si no usa esta función, puede omitir este permiso.

**Comportamiento de combinación de etiquetas:**

Cuando `includeSnapshotTags` está habilitada, la acción del RegisterImage paso hará lo siguiente:
+ Recupere las etiquetas de la primera instantánea especificada en el mapeo de dispositivos de bloques
+ Excluya todas las etiquetas AWS reservadas (aquellas con claves que comiencen por «aws:»)
+ Combinar etiquetas de instantáneas con las etiquetas de registro AMI predeterminadas de Image Builder
+ Dé prioridad a las etiquetas de Image Builder cuando las claves de etiquetas entren en conflicto

## Políticas basadas en recursos de Generador de Imágenes
<a name="security-iam-resource-based-policies"></a>

Para obtener información sobre cómo crear un componente, consulte [Uso de componentes para personalizar su imagen de Generador de imágenes](manage-components.md).

### Restricción del acceso de los componentes de Generador de Imágenes a direcciones IP específicas
<a name="sec-iam-resourcepol-restrict-component-by-ip"></a>

En el siguiente ejemplo se conceden permisos a cualquier usuario para que realice operaciones de Generador de Imágenes en los componentes. Sin embargo, la solicitud debe proceder del rango de direcciones IP especificado en la condición.

La condición de esta declaración identifica el rango 54.240.143.\$1 de direcciones IP del Protocolo de Internet de la versión 4 (IPv4) permitidas, con una excepción: 54.240.143.188.

El `Condition` bloque utiliza las `NotIpAddress` condiciones `IpAddress` y y la clave de condición, que es una clave de condición que abarca todo el espacio`aws:SourceIp`. AWS Para obtener más información sobre estas claves de condición, consulte [Especificación de condiciones en una política](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html). Los `aws:sourceIp` IPv4 valores utilizan la notación CIDR estándar. Para obtener más información, consulte [Operadores de condición de dirección IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) en la *guía del usuario de IAM*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id": "IBPolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Action": "imagebuilder:GetComponent",
      "Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}
```

------