Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utiliser des politiques AWS gérées pour EC2 Image Builder
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.
Pour plus d'informations, consultez la section Politiques AWS gérées dans le Guide de IAM l'utilisateur.
AWSImageBuilderFullAccess politique
L'interface AWSImageBuilderFullAccessLa politique accorde un accès complet aux ressources d'Image Builder pour le rôle auquel il est rattaché, permettant au rôle de répertorier, de décrire, de créer, de mettre à jour et de supprimer les ressources d'Image Builder. La politique accorde également des autorisations ciblées aux personnes associées Services AWS qui sont nécessaires, par exemple, pour vérifier les ressources ou pour afficher les ressources actuelles du compte dans le AWS Management Console.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes :
-
Image Builder : l'accès administratif est accordé afin que le rôle puisse répertorier, décrire, créer, mettre à jour et supprimer des ressources Image Builder.
-
Amazon EC2 — L'accès est accordé pour les actions Amazon EC2 Describe nécessaires pour vérifier l'existence des ressources ou obtenir des listes de ressources appartenant au compte.
-
IAM— L'accès est accordé pour obtenir et utiliser des profils d'instance dont le nom contient « imagebuilder », pour vérifier l'existence du rôle lié au service Image Builder via l'
iam:GetRole
APIaction et pour créer le rôle lié au service Image Builder. -
License Manager — L'accès est accordé pour répertorier les configurations de licence ou les licences pour une ressource.
-
Amazon S3 — L'accès est accordé pour répertorier les buckets appartenant au compte, ainsi que les buckets Image Builder dont le nom contient « imagebuilder ».
-
Amazon SNS — Les autorisations d'écriture sont accordées SNS à Amazon pour vérifier la propriété des sujets contenant « imagebuilder ».
Exemple de stratégie
Voici un exemple de AWSImageBuilderFullAccess politique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "arn:aws:sns:*:*:*imagebuilder*" }, { "Effect": "Allow", "Action": [ "license-manager:ListLicenseConfigurations", "license-manager:ListLicenseSpecificationsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" }, { "Effect": "Allow", "Action": [ "iam:GetInstanceProfile" ], "Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*" }, { "Effect": "Allow", "Action": [ "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:instance-profile/*imagebuilder*", "arn:aws:iam::*:role/*imagebuilder*" ], "Condition": { "StringEquals": { "iam:PassedToService": "ec2.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3::*:*imagebuilder*" }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder", "Condition": { "StringLike": { "iam:AWSServiceName": "imagebuilder.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeSnapshots", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeVolumes", "ec2:DescribeSubnets", "ec2:DescribeKeyPairs", "ec2:DescribeSecurityGroups", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeLaunchTemplates" ], "Resource": "*" } ] }
AWSImageBuilderReadOnlyAccess politique
L'interface AWSImageBuilderReadOnlyAccesscette politique fournit un accès en lecture seule à toutes les ressources d'Image Builder. Des autorisations sont accordées pour vérifier que le rôle lié au service Image Builder existe via l'iam:GetRole
APIaction.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes :
-
Image Builder : l'accès est accordé pour un accès en lecture seule aux ressources Image Builder.
-
IAM— L'accès est accordé pour vérifier l'existence du rôle lié au service Image Builder via l'
iam:GetRole
APIaction.
Exemple de stratégie
Voici un exemple de AWSImageBuilderReadOnlyAccess politique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:Get*", "imagebuilder:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" } ] }
AWSServiceRoleForImageBuilder politique
L'interface AWSServiceRoleForImageBuilderCette politique permet à Image Builder d'appeler Services AWS en votre nom.
Détails de l’autorisation
Cette politique est attachée au rôle lié au service Image Builder lorsque le rôle est créé via Systems Manager. Pour plus d'informations sur le rôle lié au service Image Builder, consultez. Utiliser des rôles IAM liés à un service pour Image Builder
La politique inclut les autorisations suivantes :
-
CloudWatch Journaux — L'accès est accordé pour créer et télécharger CloudWatch des journaux dans tout groupe de journaux dont le nom commence par
/aws/imagebuilder/
. -
Amazon EC2 — L'accès est accordé à Image Builder pour créer des images et lancer des EC2 instances dans votre compte, en utilisant les instantanés, les volumes, les interfaces réseau, les sous-réseaux, les groupes de sécurité, la configuration des licences et les paires de clés connexes selon les besoins, à condition que l'image, l'instance et les volumes créés ou utilisés soient étiquetés avec
CreatedBy: EC2 Image Builder
ou.CreatedBy: EC2 Fast Launch
Image Builder peut obtenir des informations sur les EC2 images Amazon, les attributs des instances, le statut des instances, les types d'instances disponibles pour votre compte, les modèles de lancement, les sous-réseaux, les hôtes et les balises sur vos EC2 ressources Amazon.
Image Builder peut mettre à jour les paramètres de l'image pour activer ou désactiver le lancement plus rapide des instances Windows dans votre compte, où l'image est associée à un tag
CreatedBy: EC2 Image Builder
.Image Builder peut également démarrer, arrêter et mettre fin à des instances exécutées sur votre compte, partager des EBS instantanés Amazon, créer et mettre à jour des images et lancer des modèles, annuler l'enregistrement d'images existantes, ajouter des balises et répliquer des images sur des comptes auxquels vous avez accordé des autorisations via le Ec2ImageBuilderCrossAccountDistributionAccesspolitique. Le balisage Image Builder est obligatoire pour toutes ces actions, comme décrit précédemment.
-
Amazon ECR — L'accès est accordé à Image Builder pour créer un référentiel si nécessaire pour les analyses de vulnérabilité des images de conteneurs, et pour étiqueter les ressources qu'il crée afin de limiter la portée de ses opérations. Image Builder est également autorisé à supprimer les images de conteneur qu'il a créées pour les scans après avoir pris des instantanés des vulnérabilités.
-
EventBridge— L'accès est accordé à Image Builder pour créer et gérer EventBridge des règles.
-
IAM— L'accès est accordé à Image Builder pour transmettre n'importe quel rôle de votre compte à Amazon EC2 et à VM Import/Export.
-
Amazon Inspector — L'accès est accordé à Image Builder pour déterminer quand Amazon Inspector termine les scans des instances de build et pour recueillir les résultats des images configurées pour l'autoriser.
-
AWS KMS— L'accès est accordé EBS à Amazon pour chiffrer, déchiffrer ou rechiffrer les volumes Amazon. EBS Cela est essentiel pour garantir que les volumes chiffrés fonctionnent lorsque Image Builder crée une image.
-
License Manager — L'accès est accordé à Image Builder pour mettre à jour les spécifications du License Manager via
license-manager:UpdateLicenseSpecificationsForResource
. -
Amazon SNS — Les autorisations d'écriture sont accordées pour n'importe quel SNS sujet Amazon de votre compte.
-
Systems Manager — L'accès est accordé à Image Builder pour répertorier les commandes de Systems Manager et leurs invocations, les entrées d'inventaire, décrire les informations sur les instances et les états d'exécution de l'automatisation, décrire les hôtes pour l'assistance au placement des instances et obtenir des informations détaillées sur l'invocation des commandes. Image Builder peut également envoyer des signaux d'automatisation et arrêter les exécutions automatisées pour toutes les ressources de votre compte.
Image Builder est capable d'envoyer des appels de commande d'exécution à toute instance étiquetée
"CreatedBy": "EC2 Image Builder"
pour les fichiers de script suivants :AWS-RunPowerShellScript
AWS-RunShellScript
, ou.AWSEC2-RunSysprep
Image Builder est capable de lancer une exécution automatisée de Systems Manager dans votre compte pour les documents d'automatisation dont le nom commence parImageBuilder
.Image Builder est également capable de créer ou de supprimer des associations State Manager pour n'importe quelle instance de votre compte, à condition que le document d'association le soit
AWS-GatherSoftwareInventory
, et de créer le rôle lié au service Systems Manager dans votre compte. -
AWS STS— L'accès est accordé à Image Builder pour qu'il assume les rôles nommés EC2ImageBuilderDistributionCrossAccountRolede votre compte vers n'importe quel compte où la politique de confiance relative au rôle l'autorise. Ceci est utilisé pour la distribution d'images entre comptes.
Pour consulter les autorisations associées à cette politique, voir AWSServiceRoleForImageBuilderdans le AWS Managed Policy Reference.
Ec2ImageBuilderCrossAccountDistributionAccess politique
L'interface Ec2ImageBuilderCrossAccountDistributionAccessLa politique autorise Image Builder à distribuer des images entre les comptes des régions cibles. Image Builder peut également décrire, copier et appliquer des balises à n'importe quelle EC2 image Amazon du compte. La politique donne également la possibilité de modifier AMI les autorisations via l'ec2:ModifyImageAttribute
APIaction.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes :
-
Amazon EC2 — L'accès est accordé EC2 à Amazon pour décrire, copier et modifier les attributs d'une image, et pour créer des balises pour toutes les EC2 images Amazon présentes dans le compte.
Exemple de stratégie
Voici un exemple de Ec2ImageBuilderCrossAccountDistributionAccess politique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*::image/*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" } ] }
EC2ImageBuilderLifecycleExecutionPolicy politique
L'interface EC2ImageBuilderLifecycleExecutionPolicyLa politique autorise Image Builder à effectuer des actions telles que la dépréciation, la désactivation ou la suppression des ressources d'image Image Builder et de leurs ressources sous-jacentes (AMIsinstantanés) afin de prendre en charge les règles automatisées pour les tâches de gestion du cycle de vie des images.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes :
-
Amazon EC2 — L'accès est accordé EC2 à Amazon pour effectuer les actions suivantes pour Amazon Machine Images (AMIs) dans le compte associé au tag
CreatedBy: EC2 Image Builder
.-
Activez et désactivez unAMI.
-
Activez et désactivez la dépréciation des images.
-
Décrivez et désenregistrez un. AMI
-
Décrivez et modifiez les attributs de AMI l'image.
-
Supprimez les instantanés de volume associés auAMI.
-
Récupérez les balises d'une ressource.
-
Ajoutez ou supprimez des balises dans et AMI pour cause de dépréciation.
-
-
Amazon ECR — L'accès est accordé ECR à Amazon pour effectuer les actions par lots suivantes sur les ECR référentiels dotés du
LifecycleExecutionAccess: EC2 Image Builder
tag. Les actions par lots prennent en charge les règles de cycle de vie automatisées des images des conteneurs.-
ecr:BatchGetImage
-
ecr:BatchDeleteImage
L'accès est accordé au niveau du référentiel pour les ECR référentiels étiquetés avec
LifecycleExecutionAccess: EC2 Image Builder
. -
-
AWS Groupes de ressources — L'accès est accordé à Image Builder pour obtenir des ressources en fonction de balises.
-
EC2Image Builder — L'accès est accordé à Image Builder pour supprimer les ressources d'image Image Builder.
Exemple de stratégie
Voici un exemple de EC2ImageBuilderLifecycleExecutionPolicy politique.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Ec2ImagePermission", "Effect": "Allow", "Action": [ "ec2:EnableImage", "ec2:DeregisterImage", "ec2:EnableImageDeprecation", "ec2:DescribeImageAttribute", "ec2:DisableImage", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2DeleteSnapshotPermission", "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2TagsPermission", "Effect": "Allow", "Action": [ "ec2:DeleteTags", "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ], "Condition": { "StringEquals": { "aws:RequestTag/DeprecatedBy": "EC2 Image Builder", "aws:ResourceTag/CreatedBy": "EC2 Image Builder" }, "ForAllValues:StringEquals": { "aws:TagKeys": "DeprecatedBy" } } }, { "Sid": "ECRImagePermission", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:BatchDeleteImage" ], "Resource": "arn:aws:ecr:*:*:repository/*", "Condition": { "StringEquals": { "ecr:ResourceTag/LifecycleExecutionAccess": "EC2 Image Builder" } } }, { "Sid": "ImageBuilderEC2TagServicePermission", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "tag:GetResources", "imagebuilder:DeleteImage" ], "Resource": "*" } ] }
EC2InstanceProfileForImageBuilder politique
L'interface EC2InstanceProfileForImageBuilderLa politique accorde les autorisations minimales requises pour qu'une EC2 instance fonctionne avec Image Builder. Cela n'inclut pas les autorisations requises pour utiliser l'agent Systems Manager.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes :
-
CloudWatch Journaux — L'accès est accordé pour créer et télécharger CloudWatch des journaux dans tout groupe de journaux dont le nom commence par
/aws/imagebuilder/
. -
Image Builder — L'accès est accordé pour obtenir n'importe quel composant Image Builder.
-
AWS KMS— L'accès est accordé pour déchiffrer un composant Image Builder, s'il a été chiffré via AWS KMS.
-
Amazon S3 — L'accès est accordé pour obtenir des objets stockés dans un compartiment Amazon S3 dont le nom commence par
ec2imagebuilder-
.
Exemple de stratégie
Voici un exemple de EC2InstanceProfileForImageBuilder politique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
EC2InstanceProfileForImageBuilderECRContainerBuilds politique
L'interface EC2InstanceProfileForImageBuilderECRContainerBuildsLa politique accorde les autorisations minimales requises pour une EC2 instance lorsque vous travaillez avec Image Builder pour créer des images Docker, puis enregistrer et stocker les images dans un référentiel de ECR conteneurs Amazon. Cela n'inclut pas les autorisations requises pour utiliser l'agent Systems Manager.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes :
-
CloudWatch Journaux — L'accès est accordé pour créer et télécharger CloudWatch des journaux dans tout groupe de journaux dont le nom commence par
/aws/imagebuilder/
. -
Amazon ECR — L'accès est accordé ECR à Amazon pour obtenir, enregistrer et stocker une image de conteneur, ainsi que pour obtenir un jeton d'autorisation.
-
Image Builder — L'accès est accordé pour obtenir un composant Image Builder ou une recette de conteneur.
-
AWS KMS— L'accès est accordé pour déchiffrer un composant ou une recette de conteneur Image Builder, s'il a été chiffré via AWS KMS.
-
Amazon S3 — L'accès est accordé pour obtenir des objets stockés dans un compartiment Amazon S3 dont le nom commence par
ec2imagebuilder-
.
Exemple de stratégie
Voici un exemple de EC2InstanceProfileForImageBuilderECRContainerBuilds politique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent", "imagebuilder:GetContainerRecipe", "ecr:GetAuthorizationToken", "ecr:BatchGetImage", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:PutImage" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
Image Builder met à jour les politiques AWS gérées
Cette section fournit des informations sur les mises à jour apportées aux politiques AWS gérées pour Image Builder depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS flux sur la page d'historique des documents d'Image Builder.
Modification | Description | Date |
---|---|---|
EC2ImageBuilderLifecycleExecutionPolicy : nouvelle politique |
Image Builder a ajouté la nouvelle |
17 novembre 2023 |
AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante |
Image Builder a apporté les modifications suivantes au rôle de service afin de fournir une assistance au placement d'instances.
|
19 octobre 2023 |
AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante |
Image Builder a apporté les modifications suivantes au rôle de service afin de fournir une assistance au placement d'instances.
|
28 septembre 2023 |
AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante |
Image Builder a apporté les modifications suivantes au rôle de service afin de permettre aux flux de travail d'Image Builder de collecter des informations sur les vulnérabilités à la fois pour les builds d'images AMI et pour les builds d'images de ECR conteneur. Les nouvelles autorisations prennent en charge la fonctionnalité CVE de détection et de signalement.
|
30 mars 2023 |
AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante |
Image Builder a apporté les modifications suivantes au rôle de service :
|
22 mars 2022 |
AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante |
Image Builder a apporté les modifications suivantes au rôle de service :
|
21 février 2022 |
AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante |
Image Builder a apporté les modifications suivantes au rôle de service :
|
20 novembre 2021 |
AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante |
Image Builder a ajouté de nouvelles autorisations pour résoudre les problèmes liés au blocage de la création de l'image par plusieurs associations d'inventaire. |
11 août 2021 |
AWSImageBuilderFullAccess – Mise à jour d’une politique existante |
Image Builder a apporté les modifications suivantes au rôle d'accès complet :
|
13 avril 2021 |
Image Builder a commencé à suivre les modifications |
Image Builder a commencé à suivre les modifications apportées AWS à ses politiques gérées. |
2 avril 2021 |