Claves de condición, recursos y acciones de Amazon EC2 Image Builder - Referencia de autorizaciones de servicio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Claves de condición, recursos y acciones de Amazon EC2 Image Builder

Amazon EC2 Image Builder (prefijo de servicio:imagebuilder) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en IAM las políticas de permisos.

Referencias:

Acciones definidas por Amazon EC2 Image Builder

Puede especificar las siguientes acciones en el Action elemento de una declaración de IAM política. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando se utiliza una acción en una política, normalmente se permite o deniega el acceso a la API operación o CLI comando con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar uno ARN de ese tipo en una declaración con esa acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el Resource elemento de una IAM política, debe incluir un patrón ARN o para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.

La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.

nota

Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
CancelImageCreation Concede permiso para cancelar la creación de una imagen Escritura

image*

CancelLifecycleExecution Concede permiso para cancelar la ejecución de un ciclo de vida Escritura

lifecycleExecution*

CreateComponent Concede el permiso para crear un nuevo componente Write

component*

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

CreateContainerRecipe Concede permiso para crear una nueva receta de contenedor Write

containerRecipe*

aws:RequestTag/${TagKey}

aws:TagKeys

ecr:DescribeImages

ecr:DescribeRepositories

iam:CreateServiceLinkedRole

imagebuilder:GetComponent

imagebuilder:GetImage

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

CreateDistributionConfiguration Concede permiso para crear una nueva configuración de distribución Write

distributionConfiguration*

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

imagebuilder:TagResource

CreateImage Concede permiso para crear una nueva imagen Write

image*

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

iam:PassRole

imagebuilder:GetContainerRecipe

imagebuilder:GetDistributionConfiguration

imagebuilder:GetImageRecipe

imagebuilder:GetInfrastructureConfiguration

imagebuilder:GetWorkflow

imagebuilder:TagResource

CreateImagePipeline Concede permiso para crear una canalización de imagen Write

imagePipeline*

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

iam:PassRole

imagebuilder:GetContainerRecipe

imagebuilder:GetDistributionConfiguration

imagebuilder:GetImageRecipe

imagebuilder:GetInfrastructureConfiguration

imagebuilder:GetWorkflow

imagebuilder:TagResource

CreateImageRecipe Concede permiso para crear una nueva receta de imagen Write

imageRecipe*

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:DescribeImages

iam:CreateServiceLinkedRole

imagebuilder:GetComponent

imagebuilder:GetImage

imagebuilder:TagResource

CreateInfrastructureConfiguration Concede permiso para crear una nueva configuración de infraestructura Escritura

infrastructureConfiguration*

aws:RequestTag/${TagKey}

aws:TagKeys

imagebuilder:CreatedResourceTagKeys

imagebuilder:CreatedResourceTag/<key>

imagebuilder:Ec2MetadataHttpTokens

imagebuilder:StatusTopicArn

iam:CreateServiceLinkedRole

iam:PassRole

imagebuilder:TagResource

sns:Publish

CreateLifecyclePolicy Concede permiso para crear una nueva política de ciclo de vida Escritura

lifecyclePolicy*

aws:RequestTag/${TagKey}

aws:TagKeys

imagebuilder:LifecyclePolicyResourceType

iam:PassRole

imagebuilder:TagResource

CreateWorkflow Concede permiso para crear un nuevo flujo de trabajo Escritura

workflow*

aws:RequestTag/${TagKey}

aws:TagKeys

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

s3:GetObject

s3:ListBucket

DeleteComponent Concede el permiso para eliminar un componente. Write

component*

DeleteContainerRecipe Concede permiso para eliminar una receta de contenedor Write

containerRecipe*

DeleteDistributionConfiguration Concede permiso para eliminar la configuración de distribución Write

distributionConfiguration*

DeleteImage Concede permiso para eliminar una imagen Write

image*

DeleteImagePipeline Concede permiso para eliminar una canalización de imagen Write

imagePipeline*

DeleteImageRecipe Concede permiso para eliminar una receta de imagen Write

imageRecipe*

DeleteInfrastructureConfiguration Concede permiso para eliminar una configuración de infraestructura Escritura

infrastructureConfiguration*

DeleteLifecyclePolicy Concede permiso para eliminar una política de ciclo de vida Escritura

lifecyclePolicy*

DeleteWorkflow Concede permiso para eliminar un flujo de trabajo Escritura

workflow*

GetComponent Concede permiso para ver detalles de un componente Read

component*

kms:Decrypt

GetComponentPolicy Concede permiso para ver la política de recursos asociada a un componente Read

component*

GetContainerRecipe Concede permiso para ver detalles de una canalización de contenedor Read

containerRecipe*

GetContainerRecipePolicy Concede permiso para ver la política de recursos asociada a una receta de contenedor Read

containerRecipe*

GetDistributionConfiguration Concede permiso para ver detalles de una configuración de distribución Read

distributionConfiguration*

GetImage Concede permiso para ver detalles de una imagen Read

image*

aws:ResourceTag/${TagKey}

GetImagePipeline Concede permiso para ver detalles de una canalización de imagen Read

imagePipeline*

GetImagePolicy Concede permiso para ver la política de recursos asociada a una imagen Read

image*

GetImageRecipe Concede permiso para ver detalles de la receta de una imagen Read

imageRecipe*

GetImageRecipePolicy Concede permiso para ver la política de recursos asociada a la receta de una imagen Read

imageRecipe*

GetInfrastructureConfiguration Concede permiso para ver detalles de una configuración de infraestructura Leer

infrastructureConfiguration*

GetLifecycleExecution Concede permisos para ver los detalles de la ejecución de un ciclo de vida Leer

lifecycleExecution*

GetLifecyclePolicy Concede permiso para ver detalles sobre una política de ciclo de vida Leer

lifecyclePolicy*

GetWorkflow Concede permiso para ver los detalles de un flujo de trabajo Leer

workflow*

kms:Decrypt

GetWorkflowExecution Concede permisos para ver los detalles de la ejecución de un flujo de trabajo Leer

workflowExecution*

GetWorkflowStepExecution Concede permisos para ver los detalles de la ejecución de un paso del flujo de trabajo Leer

workflowStepExecution*

ImportComponent Concede permiso para importar un nuevo componente Escritura

component*

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

ImportVmImage Concede permiso para importar una imagen Escritura

imageVersion*

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:DescribeImages

ec2:DescribeImportImageTasks

iam:CreateServiceLinkedRole

ListComponentBuildVersions Concede permiso para enumerar las versiones de compilación de componentes en su cuenta List

componentVersion*

ListComponents Concede permiso para enumerar las versiones de componente que pertenecen a o que se comparten con su cuenta List
ListContainerRecipes Concede permiso para enumerar las recetas de contenedor que pertenecen a su cuenta o que se comparten con ella List
ListDistributionConfigurations Concede permiso para enumerar las configuraciones de distribución de su cuenta List
ListImageBuildVersions Concede permiso para enumerar las versiones de compilación de imágenes en su cuenta Enumeración

imageVersion*

ListImagePackages Concede permiso para devolver una lista de paquetes instalados en la imagen especificada Enumeración

image*

aws:ResourceTag/${TagKey}

ListImagePipelineImages Concede permiso para devolver una lista de imágenes creadas por la canalización especificada Enumeración

imagePipeline*

ListImagePipelines Concede permiso para enumerar las canalizaciones de imagen de su cuenta List
ListImageRecipes Concede permiso para enumerar las recetas de imágenes que pertenecen a o que se comparten con la cuenta Enumeración
ListImageScanFindingAggregations Concede permiso para enumerar las agregaciones en los resultados del escaneo de imagen de su cuenta Enumeración

image

imagePipeline

ListImageScanFindings Concede permiso para enumerar los resultados del escaneo de imagen de las imágenes de su cuenta Enumeración

image

inspector2:ListFindings

imagePipeline

ListImages Concede permiso para enumerar las versiones de imágenes que pertenecen a o que se comparten con la cuenta List
ListInfrastructureConfigurations Concede permiso para enumerar las configuraciones de infraestructura de la cuenta Enumeración
ListLifecycleExecutionResources Concede permiso para enumerar los recursos para la ejecución de un ciclo de vida especificado Enumeración

lifecycleExecution*

ListLifecycleExecutions Concede permiso para enumerar las ejecuciones de ciclos de vida para un recurso especificado Enumeración

image

lifecyclePolicy

ListLifecyclePolicies Concede permiso para enumerar las políticas del ciclo de vida de su cuenta Enumeración
ListTagsForResource Concede permiso para enumerar las etiquetas para un recurso de Image Builder Leer

component

aws:ResourceTag/${TagKey}

containerRecipe

aws:ResourceTag/${TagKey}

distributionConfiguration

aws:ResourceTag/${TagKey}

image

aws:ResourceTag/${TagKey}

imagePipeline

aws:ResourceTag/${TagKey}

imageRecipe

aws:ResourceTag/${TagKey}

infrastructureConfiguration

aws:ResourceTag/${TagKey}

lifecyclePolicy

aws:ResourceTag/${TagKey}

workflow

aws:ResourceTag/${TagKey}

ListWaitingWorkflowSteps Concede permiso para enumerar los pasos del flujo de trabajo en espera para la cuenta de llamada Enumeración
ListWorkflowBuildVersions Concede permiso para enumerar las versiones de compilación del flujo de trabajo en tu cuenta Enumeración

workflowVersion*

ListWorkflowExecutions Concede permiso para enumerar las ejecuciones de flujo de trabajo para la imagen especificada Enumeración

image*

ListWorkflowStepExecutions Concede permiso para enumerar las ejecuciones del paso del flujo de trabajo para el flujo de trabajo especificado Enumeración

workflowExecution*

ListWorkflows Concede permiso para enumerar las versiones del flujo de trabajo que pertenecen a o que se comparten con la cuenta Enumeración
PutComponentPolicy Concede permiso para establecer la política de recursos asociada a un componente Permissions management

component*

PutContainerRecipePolicy Concede permiso para establecer la política de recursos asociada a una receta de contenedor Permissions management

containerRecipe*

PutImagePolicy Concede permiso para establecer la política de recursos asociada a una imagen Permissions management

image*

PutImageRecipePolicy Concede permiso para establecer la política de recursos asociada a una receta de imagen Administración de permisos

imageRecipe*

SendWorkflowStepAction Concede permiso para enviar una acción a un paso del flujo de trabajo Escritura

image*

workflowStepExecution*

StartImagePipelineExecution Concede permiso para crear una nueva imagen a partir de una canalización Escritura

imagePipeline*

iam:CreateServiceLinkedRole

imagebuilder:GetImagePipeline

StartResourceStateUpdate Concede permiso para iniciar una actualización del estado para el recurso especificado Escritura

image*

TagResource Concede permiso para etiquetar un recurso de Image Builder Etiquetado

component

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

containerRecipe

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

distributionConfiguration

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

image

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

imagePipeline

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

imageRecipe

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

infrastructureConfiguration

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

lifecyclePolicy

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

workflow

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource Concede permiso para desetiquetar un recurso de Image Builder Etiquetado

component

aws:ResourceTag/${TagKey}

aws:TagKeys

containerRecipe

aws:ResourceTag/${TagKey}

aws:TagKeys

distributionConfiguration

aws:ResourceTag/${TagKey}

aws:TagKeys

image

aws:ResourceTag/${TagKey}

aws:TagKeys

imagePipeline

aws:ResourceTag/${TagKey}

aws:TagKeys

imageRecipe

aws:ResourceTag/${TagKey}

aws:TagKeys

infrastructureConfiguration

aws:ResourceTag/${TagKey}

aws:TagKeys

lifecyclePolicy

aws:ResourceTag/${TagKey}

aws:TagKeys

workflow

aws:ResourceTag/${TagKey}

aws:TagKeys

UpdateDistributionConfiguration Concede permiso para actualizar una configuración de distribución existente Write

distributionConfiguration*

UpdateImagePipeline Concede permiso para actualizar una canalización de imágenes existente Write

imagePipeline*

iam:CreateServiceLinkedRole

iam:PassRole

imagebuilder:GetContainerRecipe

imagebuilder:GetDistributionConfiguration

imagebuilder:GetImageRecipe

imagebuilder:GetInfrastructureConfiguration

imagebuilder:GetWorkflow

UpdateInfrastructureConfiguration Concede permiso para actualizar una configuración de infraestructura existente Escritura

infrastructureConfiguration*

aws:ResourceTag/${TagKey}

imagebuilder:CreatedResourceTagKeys

imagebuilder:CreatedResourceTag/<key>

imagebuilder:Ec2MetadataHttpTokens

imagebuilder:StatusTopicArn

iam:PassRole

sns:Publish

UpdateLifecyclePolicy Concede permisos para actualizar una política de ciclo de vida existente Escritura

lifecyclePolicy*

imagebuilder:LifecyclePolicyResourceType

iam:PassRole

Tipos de recursos definidos por Amazon EC2 Image Builder

Este servicio define los siguientes tipos de recursos y se pueden utilizar como Resource elemento de las declaraciones de política de IAM permisos. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
component arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}/${ComponentBuildVersion}

aws:ResourceTag/${TagKey}

componentVersion arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}

aws:ResourceTag/${TagKey}

distributionConfiguration arn:${Partition}:imagebuilder:${Region}:${Account}:distribution-configuration/${DistributionConfigurationName}

aws:ResourceTag/${TagKey}

image arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}/${ImageBuildVersion}

aws:ResourceTag/${TagKey}

imageVersion arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}

aws:ResourceTag/${TagKey}

imageRecipe arn:${Partition}:imagebuilder:${Region}:${Account}:image-recipe/${ImageRecipeName}/${ImageRecipeVersion}

aws:ResourceTag/${TagKey}

containerRecipe arn:${Partition}:imagebuilder:${Region}:${Account}:container-recipe/${ContainerRecipeName}/${ContainerRecipeVersion}

aws:ResourceTag/${TagKey}

imagePipeline arn:${Partition}:imagebuilder:${Region}:${Account}:image-pipeline/${ImagePipelineName}

aws:ResourceTag/${TagKey}

infrastructureConfiguration arn:${Partition}:imagebuilder:${Region}:${Account}:infrastructure-configuration/${ResourceId}

aws:ResourceTag/${TagKey}

kmsKey arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}
lifecycleExecution arn:${Partition}:imagebuilder:${Region}:${Account}:lifecycle-execution/${LifecycleExecutionId}
lifecyclePolicy arn:${Partition}:imagebuilder:${Region}:${Account}:lifecycle-policy/${LifecyclePolicyName}

aws:ResourceTag/${TagKey}

workflow arn:${Partition}:imagebuilder:${Region}:${Account}:workflow/${WorkflowType}/${WorkflowName}/${WorkflowVersion}/${WorkflowBuildVersion}

aws:ResourceTag/${TagKey}

workflowVersion arn:${Partition}:imagebuilder:${Region}:${Account}:workflow/${WorkflowType}/${WorkflowName}/${WorkflowVersion}

aws:ResourceTag/${TagKey}

workflowExecution arn:${Partition}:imagebuilder:${Region}:${Account}:workflow-execution/${WorkflowExecutionId}
workflowStepExecution arn:${Partition}:imagebuilder:${Region}:${Account}:workflow-step-execution/${WorkflowStepExecutionId}

Claves de condición de Amazon EC2 Image Builder

Amazon EC2 Image Builder define las siguientes claves de condición que se pueden utilizar en el Condition elemento de una IAM política. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso según si hay pares de clave-valor de etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por los pares de clave-valor de etiqueta adjuntados al recurso Cadena
aws:TagKeys Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud ArrayOfString
imagebuilder:CreatedResourceTag/<key> Filtra el acceso en función de los pares clave-valor de etiqueta adjuntados al recurso creado por Image Builder Cadena
imagebuilder:CreatedResourceTagKeys Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud ArrayOfString
imagebuilder:Ec2MetadataHttpTokens Filtra el acceso según el requisito de HTTP token de metadatos de la EC2 instancia especificado en la solicitud Cadena
imagebuilder:LifecyclePolicyResourceType Filtra el acceso por el tipo de recurso de la política de ciclo de vida especificado en la solicitud Cadena
imagebuilder:StatusTopicArn Filtra el acceso por el SNS tema Arn de la solicitud en el que se publicarán las notificaciones del estado de la terminal ARN