Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Image Builder y puntos VPC finales AWS PrivateLink de interfaz
Puede establecer una conexión privada entre EC2 Image Builder VPC y usted creando un VPCpunto final de interfaz. Los puntos finales de la interfaz funcionan con una tecnología que le permite acceder de forma privada a Image Builder APIs sin una puerta de enlace, NAT dispositivo o VPN AWS Direct Connect conexión a Internet. AWS PrivateLink
Cada punto de conexión de la interfaz está representado por una o más interfaces de red elásticas en las subredes. Al crear una imagen nueva, puede especificar el VPC identificador de subred en la configuración de su infraestructura.
nota
Cada servicio al que se accede desde un punto de conexión VPC tiene su propio punto de conexión de interfaz, con su propia política de punto final. Image Builder descarga la aplicación de administrador de TOE de AWS componentes y accede a los recursos gestionados desde los buckets de S3 para crear imágenes personalizadas. Para conceder el acceso a esos buckets, debe actualizar la política de puntos de conexión de S3 para permitirlo. Para obtener más información, consulte Políticas personalizadas para el acceso al bucket de S3.
Para obtener más información sobre los VPC puntos de enlace, consulte los VPCpuntos de enlace de la interfaz (AWS PrivateLink) en la Guía VPCdel usuario de Amazon.
Consideraciones sobre los puntos VPC finales de Image Builder
Antes de configurar un VPC punto final de interfaz para Image Builder, asegúrese de revisar las propiedades y limitaciones del punto final de interfaz en la Guía del VPC usuario de Amazon.
Image Builder permite realizar llamadas a todas sus API acciones desde suVPC.
Crear un VPC punto final de interfaz para Image Builder
Para crear un VPC punto final para el servicio Image Builder, puedes usar la VPC consola de Amazon o el AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Creación de un punto final de interfaz en la Guía del VPC usuario de Amazon.
Cree un VPC punto final para Image Builder con el siguiente nombre de servicio:
-
com.amazonaws.
region.imagebuilder
Si habilita la privacidad DNS para el punto final, puede realizar API solicitudes a Image Builder utilizando su DNS nombre predeterminado para la región, por ejemplo:imagebuilder.us-east-1.amazonaws.com. Para buscar el punto de conexión que se aplica a la región de destino, consulte los puntos de enlace y las cuotas de EC2 Image Builder en. Referencia general de Amazon Web Services
Para obtener más información, consulte Acceder a un servicio a través de un punto final de interfaz en la Guía del VPC usuario de Amazon.
Crear una política VPC de puntos finales para Image Builder
Puede adjuntar una política de punto final a su VPC punto final que controle el acceso a Image Builder. La política especifica la siguiente información:
-
La entidad principal que puede realizar acciones.
-
Las acciones que se pueden realizar.
-
Los recursos en los que se pueden llevar a cabo las acciones.
Si utilizas componentes gestionados por Amazon en tu receta, el VPC punto final de Image Builder debe permitir el acceso a la siguiente biblioteca de componentes propiedad del servicio:
arn:aws:imagebuilder:region:aws:component/*
importante
Cuando se aplica una política no predeterminada a un VPC punto final de interfaz para EC2 Image Builder, es posible que algunas API solicitudes fallidas, como las que no lleganRequestLimitExceeded, no se registren en Amazon AWS CloudTrail o en Amazon CloudWatch.
Para obtener más información, consulta Cómo controlar el acceso a los servicios con VPC puntos de conexión en la Guía del VPC usuario de Amazon.
Políticas personalizadas para el acceso al bucket de S3
Generador de Imágenes utiliza un bucket de S3 disponible públicamente para almacenar y acceder a los recursos administrados, como los componentes. También descarga la aplicación de administración de TOE de AWS componentes desde un bucket S3 independiente. Si utiliza un VPC punto de conexión para Amazon S3 en su entorno, tendrá que asegurarse de que su política de VPC puntos de conexión de S3 permita a Image Builder acceder a los siguientes buckets de S3. Los nombres de los buckets son únicos por AWS región (region) y el entorno de la aplicación (environment). Image Builder y TOE de AWS son compatibles con los siguientes entornos de aplicaciones: prodpreprod, ybeta.
-
El depósito TOE de AWS del administrador de componentes:
s3://ec2imagebuilder-toe-region-environmentEjemplo: s3://ec2 imagebuilder-toe-us-west -2-prod/*
-
El bucket de recursos administrados por Generador de Imágenes:
s3://ec2imagebuilder-managed-resources-region-environment/componentsEjemplo: s3://ec2 -west-2-prod/components/* imagebuilder-managed-resources-us
VPCejemplos de políticas de puntos finales
En esta sección se incluyen ejemplos de políticas de VPC puntos finales personalizadas.
Política general VPC de puntos finales para las acciones de Image Builder
El siguiente ejemplo de política de punto de conexión para Generador de Imágenes deniega el permiso para eliminar imágenes y componentes de Generador de Imágenes. La política de ejemplo también concede permiso para realizar todas las demás acciones EC2 de Image Builder.
{ "Version": "2012-10-17", "Statement": [ { "Action": "imagebuilder:*", "Effect": "Allow", "Resource": "*" }, { "Action": [ "imagebuilder: DeleteImage" ], "Effect": "Deny", "Resource": "*", }, { "Action": [ "imagebuilder: DeleteComponent" ], "Effect": "Deny", "Resource": "*", }] }
Restricción del acceso por organización, permiso a acceder a los componentes administrados
El siguiente ejemplo de política de puntos finales muestra cómo restringir el acceso a las identidades y los recursos que pertenecen a su organización y cómo proporcionar acceso a los componentes de Image Builder gestionados por Amazon. Reemplazar region,
principal-org-id, y resource-org-id con los valores de su organización.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "principal-org-id", "aws:ResourceOrgID": "resource-org-id" } } }, { "Sid": "AllowAccessToEC2ImageBuilderComponents", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "imagebuilder:GetComponent" ], "Resource": [ "arn:aws:imagebuilder:region:aws:component/*" ] } ] }
VPCpolítica de puntos finales para el acceso al bucket de Amazon S3
El siguiente ejemplo de política de punto de conexión de S3 muestra cómo proporcionar acceso a los buckets de S3 que Generador de Imágenes utiliza para crear imágenes personalizadas. Reemplazar region y environment con los valores de su organización. Añada cualquier otro permiso necesario a la política en función de los requisitos de su aplicación.
nota
En el caso de las imágenes de Linux, si no especifica los datos de usuario en la receta de la imagen, Image Builder añade un script para descargar e instalar el agente de Systems Manager en las instancias de compilación y prueba de la imagen. Para descargar el agente, Image Builder accede al bucket de S3 de su región de compilación.
Para garantizar que Image Builder pueda iniciar las instancias de compilación y prueba, añada el siguiente recurso adicional a su política de puntos finales de S3:
"arn:aws:s3:::amazon-ssm-region/*"
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowImageBuilderAccessToAppAndComponentBuckets", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::ec2imagebuilder-toe-region-environment/*", "arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*" ] } ] }
