Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Intégration de la gestion des identités et des accès pour Image Builder
<a name="security-iam"></a>

**Topics**
+ [Public ciblé](#security-iam-audience)
+ [Authentification par des identités](#security-iam-authentication)
+ [Comment Image Builder fonctionne avec les politiques et les rôles IAM](security_iam_service-with-iam.md)
+ [Gérez les périmètres de données pour l'accès au téléchargement du bucket S3 dans Image Builder](security-iam-data-perimeter.md)
+ [Politiques basées sur l'identité d'Image Builder](security-iam-identity-based-policies.md)
+ [Autorisations IAM pour les flux de travail personnalisés](#security-iam-custom-workflows)
+ [Politiques basées sur les ressources d'Image Builder](#security-iam-resource-based-policies)
+ [Utiliser des politiques AWS gérées pour EC2 Image Builder](security-iam-awsmanpol.md)
+ [Utiliser des rôles liés à un service IAM pour Image Builder](image-builder-service-linked-role.md)
+ [Résoudre les problèmes d'IAM dans Image Builder](security_iam_troubleshoot.md)

## Public ciblé
<a name="security-iam-audience"></a>

La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résoudre les problèmes d'IAM dans Image Builder](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment Image Builder fonctionne avec les politiques et les rôles IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Politiques basées sur l'identité d'Image Builder](security_iam_service-with-iam.md#security_iam_id-based-policy-examples))

## Authentification par des identités
<a name="security-iam-authentication"></a>

Pour obtenir des informations détaillées sur la manière de fournir une authentification aux personnes et aux processus de votre entreprise Compte AWS, consultez la section [Identités](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dans le *guide de l'utilisateur IAM*. 

## Autorisations IAM pour les flux de travail personnalisés
<a name="security-iam-custom-workflows"></a>

Lorsque vous utilisez des flux de travail personnalisés comportant des étapes spécifiques[RegisterImage](wfdoc-step-actions.md#wfdoc-step-action-register-image), par exemple, des autorisations IAM supplémentaires peuvent être requises au-delà des politiques gérées par Image Builder standard. Cette section décrit les autorisations supplémentaires nécessaires pour les actions d'étapes de flux de travail personnalisées.

### RegisterImage autorisations relatives aux actions par étapes
<a name="security-iam-registerimage-permissions"></a>

L'action de l'`RegisterImage`étape nécessite des autorisations Amazon EC2 spécifiques pour enregistrer AMIs et éventuellement récupérer les balises de capture instantanée. Lorsque vous utilisez le `includeSnapshotTags` paramètre, des autorisations supplémentaires sont nécessaires pour décrire les instantanés.

**Autorisations requises pour effectuer une action par RegisterImage étapes :**

Pour toutes les ressources, autorisez les actions suivantes :
+ `ec2:RegisterImage`
+ `ec2:DescribeSnapshots`

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:RegisterImage",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "RegisterImage"
                }
            }
        }
    ]
}
```

**Détails de l'autorisation :**
+ `ec2:RegisterImage`- Nécessaire pour enregistrer de nouvelles données AMIs à partir de snapshots
+ `ec2:DescribeSnapshots`- Nécessaire lors de l'utilisation `includeSnapshotTags: true` pour récupérer des balises de capture en vue de les fusionner avec des balises AMI
+ `ec2:CreateTags`- Nécessaire pour appliquer des balises à l'AMI enregistrée, y compris les balises par défaut d'Image Builder et les balises de capture d'écran fusionnées

**Note**  
L'`ec2:DescribeSnapshots`autorisation n'est utilisée que lorsque le `includeSnapshotTags` paramètre est défini sur`true`. Si vous n'utilisez pas cette fonctionnalité, vous pouvez omettre cette autorisation.

**Comportement de fusion de balises :**

Lorsque cette option `includeSnapshotTags` est activée, l'action de l' RegisterImage étape permet de :
+ Récupérez les balises à partir du premier instantané spécifié dans le mappage des périphériques en mode bloc
+ Exclure toutes les balises AWS réservées (celles dont les clés commencent par « aws : »)
+ Fusionnez les balises de capture d'écran avec les balises d'enregistrement AMI par défaut d'Image Builder
+ Donnez la priorité aux balises Image Builder en cas de conflit entre les clés de balise

## Politiques basées sur les ressources d'Image Builder
<a name="security-iam-resource-based-policies"></a>

Pour plus d'informations sur la création d'un composant, consultez[Utilisez des composants pour personnaliser votre image Image Builder](manage-components.md).

### Restreindre l'accès aux composants Image Builder à des adresses IP spécifiques
<a name="sec-iam-resourcepol-restrict-component-by-ip"></a>

L'exemple suivant autorise tout utilisateur à effectuer des opérations Image Builder sur des composants. Toutefois, la demande doit provenir de la plage d'adresses IP indiquée dans la condition.

La condition contenue dans cette déclaration identifie la plage 54.240.143.\$1 d'adresses IP autorisées du protocole Internet version 4 (IPv4), à une exception près : 54.240.143.188.

Le `Condition` bloc utilise les `NotIpAddress` conditions `IpAddress` et et la clé de `aws:SourceIp` condition, qui est une clé AWS de condition étendue. Pour plus d'informations sur ces clés de condition, consultez la section [Spécification de conditions dans une politique](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html). Les `aws:sourceIp` IPv4 valeurs utilisent la notation CIDR standard. Pour plus d’informations, consultez [Opérateurs de condition d’adresse IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) dans le *Guide de l’utilisateur IAM*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id": "IBPolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Action": "imagebuilder:GetComponent",
      "Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}
```

------