AWSImageBuilderFullAccess AWSImageBuilderReadOnlyAccess AWSServiceRoleForImageBuilder Ec2ImageBuilderCrossAccountDistributionAccess EC2ImageBuilderLifecycleExecutionPolicy EC2InstanceProfileForImageBuilder EC2InstanceProfileForImageBuilderECRContainerBuilds Mises à jour des politiques

Utiliser AWS politiques gérées pour EC2 Image Builder

Un AWS une politique gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

Gardez à l'esprit que AWS les politiques gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont disponibles pour tous AWS clients à utiliser. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans AWS politiques gérées. If AWS met à jour les autorisations définies dans un AWS stratégie gérée, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour un AWS politique gérée lors d'un nouveau Service AWS est lancé ou de nouvelles API opérations deviennent disponibles pour les services existants.

Pour plus d’informations, consultez .AWS politiques gérées dans le guide de IAM l'utilisateur.

AWSImageBuilderFullAccess politique

L'interface AWSImageBuilderFullAccessLa politique accorde un accès complet aux ressources d'Image Builder pour le rôle auquel il est rattaché, permettant au rôle de répertorier, de décrire, de créer, de mettre à jour et de supprimer les ressources d'Image Builder. La politique accorde également des autorisations ciblées aux Services AWS nécessaires, par exemple, pour vérifier les ressources ou pour afficher les ressources actuelles du compte dans le AWS Management Console.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

Image Builder : l'accès administratif est accordé afin que le rôle puisse répertorier, décrire, créer, mettre à jour et supprimer des ressources Image Builder.
Amazon EC2 — L'accès est accordé pour les actions Amazon EC2 Describe nécessaires pour vérifier l'existence des ressources ou obtenir des listes de ressources appartenant au compte.
IAM— L'accès est accordé pour obtenir et utiliser des profils d'instance dont le nom contient « imagebuilder », pour vérifier l'existence du rôle lié au service Image Builder via l'iam:GetRoleAPIaction et pour créer le rôle lié au service Image Builder.
License Manager — L'accès est accordé pour répertorier les configurations de licence ou les licences pour une ressource.
Amazon S3 — L'accès est accordé pour répertorier les buckets appartenant au compte, ainsi que les buckets Image Builder dont le nom contient « imagebuilder ».
Amazon SNS — Les autorisations d'écriture sont accordées SNS à Amazon pour vérifier la propriété des sujets contenant « imagebuilder ».

Exemple de stratégie

Ce qui suit est un exemple de AWSImageBuilderFullAccess politique.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "imagebuilder:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:ListTopics"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": "arn:aws:sns:*:*:*imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "license-manager:ListLicenseConfigurations",
                "license-manager:ListLicenseSpecificationsForResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetInstanceProfile"
            ],
            "Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListInstanceProfiles",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::*:instance-profile/*imagebuilder*",
                "arn:aws:iam::*:role/*imagebuilder*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ec2.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3::*:*imagebuilder*"
        },
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "imagebuilder.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeSnapshots",
                "ec2:DescribeVpcs",
                "ec2:DescribeRegions",
                "ec2:DescribeVolumes",
                "ec2:DescribeSubnets",
                "ec2:DescribeKeyPairs",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeInstanceTypeOfferings",
                "ec2:DescribeLaunchTemplates"
            ],
            "Resource": "*"
        }
    ]
}

AWSImageBuilderReadOnlyAccess politique

L'interface AWSImageBuilderReadOnlyAccesscette politique fournit un accès en lecture seule à toutes les ressources d'Image Builder. Des autorisations sont accordées pour vérifier que le rôle lié au service Image Builder existe via l'iam:GetRoleAPIaction.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

Image Builder : l'accès est accordé pour un accès en lecture seule aux ressources Image Builder.
IAM— L'accès est accordé pour vérifier l'existence du rôle lié au service Image Builder via l'iam:GetRoleAPIaction.

Exemple de stratégie

Ce qui suit est un exemple de AWSImageBuilderReadOnlyAccess politique.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "imagebuilder:Get*",
                "imagebuilder:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder"
        }
    ]
}

AWSServiceRoleForImageBuilder politique

L'interface AWSServiceRoleForImageBuildercette politique permet à Image Builder d'appeler Services AWS en votre nom.

Détails de l’autorisation

Cette politique est attachée au rôle lié au service Image Builder lorsque le rôle est créé via Systems Manager. Pour plus d'informations sur le rôle lié au service Image Builder, consultez. Utiliser des rôles IAM liés à un service pour Image Builder

La politique inclut les autorisations suivantes :

CloudWatch Journaux — L'accès est accordé pour créer et télécharger CloudWatch des journaux dans tout groupe de journaux dont le nom commence par/aws/imagebuilder/.
Amazon EC2 — L'accès est accordé à Image Builder pour créer des images et lancer des EC2 instances dans votre compte, en utilisant les instantanés, les volumes, les interfaces réseau, les sous-réseaux, les groupes de sécurité, la configuration des licences et les paires de clés connexes selon les besoins, à condition que l'image, l'instance et les volumes créés ou utilisés soient étiquetés avec CreatedBy: EC2 Image Builder ou. CreatedBy: EC2 Fast Launch

Image Builder peut obtenir des informations sur les EC2 images Amazon, les attributs des instances, le statut des instances, les types d'instances disponibles pour votre compte, les modèles de lancement, les sous-réseaux, les hôtes et les balises sur vos EC2 ressources Amazon.

Image Builder peut mettre à jour les paramètres de l'image pour activer ou désactiver le lancement plus rapide des instances Windows dans votre compte, où l'image est étiquetée avecCreatedBy: EC2 Image Builder.

Image Builder peut également démarrer, arrêter et mettre fin à des instances exécutées sur votre compte, partager des EBS instantanés Amazon, créer et mettre à jour des images et lancer des modèles, annuler l'enregistrement d'images existantes, ajouter des balises et répliquer des images sur des comptes auxquels vous avez accordé des autorisations via le Ec2ImageBuilderCrossAccountDistributionAccesspolitique. Le balisage Image Builder est obligatoire pour toutes ces actions, comme décrit précédemment.
Amazon ECR — L'accès est accordé à Image Builder pour créer un référentiel si nécessaire pour les analyses de vulnérabilité des images de conteneurs, et pour étiqueter les ressources qu'il crée afin de limiter la portée de ses opérations. Image Builder est également autorisé à supprimer les images de conteneur qu'il a créées pour les scans après avoir pris des instantanés des vulnérabilités.
EventBridge— L'accès est accordé à Image Builder pour créer et gérer EventBridge des règles.
IAM— L'accès est accordé à Image Builder pour transmettre n'importe quel rôle de votre compte à Amazon EC2 et à VM Import/Export.
Amazon Inspector — L'accès est accordé à Image Builder pour déterminer quand Amazon Inspector termine les scans des instances de build et pour recueillir les résultats des images configurées pour l'autoriser.
AWS KMS— L'accès est accordé EBS à Amazon pour chiffrer, déchiffrer ou rechiffrer les volumes Amazon. EBS Cela est essentiel pour garantir que les volumes chiffrés fonctionnent lorsque Image Builder crée une image.
License Manager — L'accès est accordé à Image Builder pour mettre à jour les spécifications du License Manager vialicense-manager:UpdateLicenseSpecificationsForResource.
Amazon SNS — Les autorisations d'écriture sont accordées pour n'importe quel SNS sujet Amazon de votre compte.
Systems Manager — L'accès est accordé à Image Builder pour répertorier les commandes de Systems Manager et leurs invocations, les entrées d'inventaire, décrire les informations sur les instances et les états d'exécution de l'automatisation, décrire les hôtes pour l'assistance au placement des instances et obtenir des informations détaillées sur l'invocation des commandes. Image Builder peut également envoyer des signaux d'automatisation et arrêter les exécutions automatisées pour toutes les ressources de votre compte.

Image Builder est capable d'envoyer des appels de commande d'exécution à toute instance étiquetée "CreatedBy": "EC2 Image Builder" pour les fichiers de script suivants : AWS-RunPowerShellScriptAWS-RunShellScript, ou. AWSEC2-RunSysprep Image Builder est capable de lancer une exécution automatisée de Systems Manager dans votre compte pour les documents d'automatisation dont le nom commence parImageBuilder.

Image Builder est également capable de créer ou de supprimer des associations State Manager pour n'importe quelle instance de votre compte, à condition que le document d'association le soitAWS-GatherSoftwareInventory, et de créer le rôle lié au service Systems Manager dans votre compte.
AWS STS— L'accès est accordé à Image Builder pour qu'il assume les rôles nommés EC2ImageBuilderDistributionCrossAccountRolede votre compte vers n'importe quel compte où la politique de confiance relative au rôle l'autorise. Ceci est utilisé pour la distribution d'images entre comptes.

Pour consulter les autorisations associées à cette politique, voir AWSServiceRoleForImageBuilder dans le .AWS Référence de politique gérée.

Ec2ImageBuilderCrossAccountDistributionAccess politique

L'interface Ec2ImageBuilderCrossAccountDistributionAccessLa politique autorise Image Builder à distribuer des images entre les comptes des régions cibles. Image Builder peut également décrire, copier et appliquer des balises à n'importe quelle EC2 image Amazon du compte. La politique donne également la possibilité de modifier AMI les autorisations via l'ec2:ModifyImageAttributeAPIaction.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

Amazon EC2 — L'accès est accordé EC2 à Amazon pour décrire, copier et modifier les attributs d'une image, et pour créer des balises pour toutes les EC2 images Amazon présentes dans le compte.

Exemple de stratégie

Ce qui suit est un exemple de Ec2ImageBuilderCrossAccountDistributionAccess politique.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*::image/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:CopyImage",
                "ec2:ModifyImageAttribute"
            ],
            "Resource": "*"
        }
    ]
}

EC2ImageBuilderLifecycleExecutionPolicy politique

L'interface EC2ImageBuilderLifecycleExecutionPolicyLa politique autorise Image Builder à effectuer des actions telles que la dépréciation, la désactivation ou la suppression des ressources d'image Image Builder et de leurs ressources sous-jacentes (AMIsinstantanés) afin de prendre en charge les règles automatisées pour les tâches de gestion du cycle de vie des images.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

Amazon EC2 — L'accès est accordé EC2 à Amazon pour effectuer les actions suivantes pour Amazon Machine Images (AMIs) dans le compte associé au tagCreatedBy: EC2 Image Builder.
- Activez et désactivez unAMI.
- Activez et désactivez la dépréciation des images.
- Décrivez et désenregistrez un. AMI
- Décrivez et modifiez les attributs de AMI l'image.
- Supprimez les instantanés de volume associés auAMI.
- Récupérez les balises d'une ressource.
- Ajoutez ou supprimez des balises dans et AMI pour cause de dépréciation.
Amazon ECR — L'accès est accordé ECR à Amazon pour effectuer les actions par lots suivantes sur les ECR référentiels dotés du LifecycleExecutionAccess: EC2 Image Builder tag. Les actions par lots prennent en charge les règles de cycle de vie automatisées des images des conteneurs.
- ecr:BatchGetImage
- ecr:BatchDeleteImage
L'accès est accordé au niveau du référentiel pour ECR les référentiels marqués avecLifecycleExecutionAccess: EC2 Image Builder.
AWS Groupes de ressources — L'accès est accordé à Image Builder pour obtenir des ressources en fonction de balises.
EC2Image Builder — L'accès est accordé à Image Builder pour supprimer les ressources d'image Image Builder.

Exemple de stratégie

Ce qui suit est un exemple de EC2ImageBuilderLifecycleExecutionPolicy politique.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2ImagePermission",
            "Effect": "Allow",
            "Action": [
                "ec2:EnableImage",
                "ec2:DeregisterImage",
                "ec2:EnableImageDeprecation",
                "ec2:DescribeImageAttribute",
                "ec2:DisableImage",
                "ec2:DisableImageDeprecation"
            ],
            "Resource": "arn:aws:ec2:*::image/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CreatedBy": "EC2 Image Builder"
                }
            }
        },
        {
            "Sid": "EC2DeleteSnapshotPermission",
            "Effect": "Allow",
            "Action": "ec2:DeleteSnapshot",
            "Resource": "arn:aws:ec2:*::snapshot/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CreatedBy": "EC2 Image Builder"
                }
            }
        },
        {
            "Sid": "EC2TagsPermission",
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteTags",
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*::image/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/DeprecatedBy": "EC2 Image Builder",
                    "aws:ResourceTag/CreatedBy": "EC2 Image Builder"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "DeprecatedBy"
                }
            }
        },
        {
            "Sid": "ECRImagePermission",
            "Effect": "Allow",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:BatchDeleteImage"
            ],
            "Resource": "arn:aws:ecr:*:*:repository/*",
            "Condition": {
                "StringEquals": {
                    "ecr:ResourceTag/LifecycleExecutionAccess": "EC2 Image Builder"
                }
            }
        },
        {
            "Sid": "ImageBuilderEC2TagServicePermission",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "tag:GetResources",
                "imagebuilder:DeleteImage"
            ],
            "Resource": "*"
        }
    ]
}

EC2InstanceProfileForImageBuilder politique

L'interface EC2InstanceProfileForImageBuilderLa politique accorde les autorisations minimales requises pour qu'une EC2 instance fonctionne avec Image Builder. Cela n'inclut pas les autorisations requises pour utiliser l'agent Systems Manager.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

CloudWatch Journaux — L'accès est accordé pour créer et télécharger CloudWatch des journaux dans tout groupe de journaux dont le nom commence par/aws/imagebuilder/.
Image Builder — L'accès est accordé pour obtenir n'importe quel composant Image Builder.
AWS KMS— L'accès est accordé pour déchiffrer un composant Image Builder, s'il a été chiffré via AWS KMS.
Amazon S3 — L'accès est accordé pour obtenir des objets stockés dans un compartiment Amazon S3 dont le nom commence parec2imagebuilder-.

Exemple de stratégie

Ce qui suit est un exemple de EC2InstanceProfileForImageBuilder politique.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "imagebuilder:GetComponent"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": "aws:imagebuilder:arn",
                    "aws:CalledVia": [
                        "imagebuilder.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::ec2imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*"
        }
    ]
}

EC2InstanceProfileForImageBuilderECRContainerBuilds politique

L'interface EC2InstanceProfileForImageBuilderECRContainerBuildsLa politique accorde les autorisations minimales requises pour une EC2 instance lorsque vous travaillez avec Image Builder pour créer des images Docker, puis enregistrer et stocker les images dans un référentiel de ECR conteneurs Amazon. Cela n'inclut pas les autorisations requises pour utiliser l'agent Systems Manager.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

CloudWatch Journaux — L'accès est accordé pour créer et télécharger CloudWatch des journaux dans tout groupe de journaux dont le nom commence par/aws/imagebuilder/.
Amazon ECR — L'accès est accordé ECR à Amazon pour obtenir, enregistrer et stocker une image de conteneur, ainsi que pour obtenir un jeton d'autorisation.
Image Builder — L'accès est accordé pour obtenir un composant Image Builder ou une recette de conteneur.
AWS KMS— L'accès est accordé pour déchiffrer un composant ou une recette de conteneur Image Builder, s'il a été chiffré via AWS KMS.
Amazon S3 — L'accès est accordé pour obtenir des objets stockés dans un compartiment Amazon S3 dont le nom commence parec2imagebuilder-.

Exemple de stratégie

Ce qui suit est un exemple de EC2InstanceProfileForImageBuilderECRContainerBuilds politique.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "imagebuilder:GetComponent",
                "imagebuilder:GetContainerRecipe",
                "ecr:GetAuthorizationToken",
                "ecr:BatchGetImage",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:PutImage"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": "aws:imagebuilder:arn",
                    "aws:CalledVia": [
                        "imagebuilder.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::ec2imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*"
        }
    ]
}

Mise à jour d'Image Builder vers AWS stratégies gérées

Cette section fournit des informations sur les mises à jour de AWS politiques gérées pour Image Builder depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS flux sur la page d'historique des documents d'Image Builder.

Modification	Description	Date
EC2ImageBuilderLifecycleExecutionPolicy : nouvelle politique	Image Builder a ajouté la nouvelle `EC2ImageBuilderLifecycleExecutionPolicy` politique qui contient des autorisations pour la gestion du cycle de vie des images.	17 novembre 2023
AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante	Image Builder a apporté les modifications suivantes au rôle de service afin de fournir une assistance au placement d'instances. Ajout d'ec2 : DescribeHosts permet à Image Builder d'interroger le hostId pour déterminer s'il est dans un état valide pour lancer une instance. Ajout de l'APIaction ssm :GetCommandInvocation, pour améliorer la méthode utilisée par Image Builder pour obtenir les détails de l'appel de commande.	19 octobre 2023
AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante	Image Builder a apporté les modifications suivantes au rôle de service afin de fournir une assistance au placement d'instances. Ajout d'ec2 : DescribeHosts permet à Image Builder d'interroger le hostId pour déterminer s'il est dans un état valide pour lancer une instance. Ajout de l'APIaction ssm :GetCommandInvocation, pour améliorer la méthode utilisée par Image Builder pour obtenir les détails de l'appel de commande.	28 septembre 2023
AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante	Image Builder a apporté les modifications suivantes au rôle de service afin de permettre aux flux de travail d'Image Builder de collecter des informations sur les vulnérabilités à la fois pour les builds d'images AMI et pour les builds d'images de ECR conteneur. Les nouvelles autorisations prennent en charge la fonctionnalité CVE de détection et de signalement. Ajout de inspector2 : ListCoverage et inspector2 : pour permettre à ListFindings Image Builder de déterminer à quel moment Amazon Inspector effectue les scans des instances de test et de recueillir les résultats des images configurées pour l'autoriser. Ajout de ecr :CreateRepository, avec l'obligation pour Image Builder de baliser le référentiel avec `CreatedBy: EC2 Image Builder` (tag-on-create). Nous avons également ajouté ecr : TagResource (required for tag-on-create) avec la même contrainte de CreatedBy balise, et une contrainte supplémentaire qui nécessite de commencer `image-builder-` par le nom du dépôt. La contrainte de nom empêche l'augmentation des privilèges et empêche les modifications des référentiels qu'Image Builder n'a pas créés. Ajout de la commande ecr : BatchDeleteImage pour les ECR référentiels marqués avec. `CreatedBy: EC2 Image Builder` Cette autorisation nécessite de commencer par le nom du référentiel`image-builder-`. Ajout d'autorisations d'événement permettant à Image Builder de créer et de gérer les règles EventBridge gérées par Amazon qui figurent `ImageBuilder-*` dans le nom.	30 mars 2023
AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante	Image Builder a apporté les modifications suivantes au rôle de service : Ajout de licences License Manager en tant que ressource pour l'RunInstance appel ec2 : afin de permettre aux clients d'utiliser l'image AMIs de base associée à une configuration de licence.	22 mars 2022
AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante	Image Builder a apporté les modifications suivantes au rôle de service : Des autorisations d'EC2 EnableFastLaunch APIaction ont été ajoutées, afin d'activer et de désactiver le lancement plus rapide pour les instances Windows. Champ d'application plus restreint pour ec2 : conditions des balises CreateTags d'action et de ressource.	21 février 2022
AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante	Image Builder a apporté les modifications suivantes au rôle de service : Ajout d'autorisations permettant d'appeler le VMIE service pour importer une machine virtuelle et créer une base AMI à partir de celle-ci. Champ d'application renforcé pour ec2 : conditions CreateTags d'action et de balise de ressource.	20 novembre 2021
AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante	Image Builder a ajouté de nouvelles autorisations pour résoudre les problèmes liés au blocage de la création de l'image par plusieurs associations d'inventaire.	11 août 2021
AWSImageBuilderFullAccess – Mise à jour d’une politique existante	Image Builder a apporté les modifications suivantes au rôle d'accès complet : Autorisations ajoutées à autoriser`ec2:DescribeInstanceTypeOffereings`. Des autorisations d'appel ont été ajoutées `ec2:DescribeInstanceTypeOffereings` pour permettre à la console Image Builder de refléter avec précision les types d'instances disponibles dans le compte.	13 avril 2021
Image Builder a commencé à suivre les modifications	Image Builder a commencé à suivre les modifications apportées à son AWS politiques gérées.	2 avril 2021

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

politiques basées sur l’identité

Rôles liés à un service