Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Image Builder et points de AWS PrivateLink terminaison VPC d'interface
Vous pouvez établir une connexion privée entre votre VPC et EC2 Image Builder en créant un point de terminaison VPC d'interface. Les points de terminaison de l'interface sont alimentés par AWS PrivateLink
Chaque point de terminaison d’interface est représenté par une ou plusieurs interfaces réseau Elastic dans vos sous-réseaux. Lorsque vous créez une nouvelle image, vous pouvez spécifier l'identifiant de sous-réseau VPC dans la configuration de votre infrastructure.
Note
Chaque service auquel vous accédez depuis un VPC possède son propre point de terminaison d'interface, avec sa propre politique de point de terminaison. Image Builder télécharge l'application de gestion des AWSTOE composants et accède aux ressources gérées à partir de compartiments S3 pour créer des images personnalisées. Pour accorder l'accès à ces compartiments, vous devez mettre à jour la politique du point de terminaison S3 afin de l'autoriser. Pour de plus amples informations, veuillez consulter Politiques personnalisées pour l'accès au compartiment S3.
Pour plus d'informations sur les points de terminaison d'un VPC, consultez Points de terminaison de VPC d'interface (AWS PrivateLink) dans le Guide de l'utilisateur Amazon VPC.
Considérations relatives aux points de terminaison VPC Image Builder
Avant de configurer un point de terminaison VPC d'interface pour Image Builder, assurez-vous de consulter les propriétés et les limites du point de terminaison d'interface dans le guide de l'utilisateur Amazon VPC.
Image Builder permet d'appeler toutes ses actions d'API depuis votre VPC.
Création d'un point de terminaison VPC d'interface pour Image Builder
Pour créer un point de terminaison VPC pour le service Image Builder, vous pouvez utiliser la console Amazon VPC ou le (). AWS Command Line Interface AWS CLI Pour plus d’informations, consultez Création d’un point de terminaison d’interface dans le Guide de l’utilisateur Amazon VPC.
Créez un point de terminaison VPC pour Image Builder en utilisant le nom de service suivant :
-
com.amazonaws.
region.générateur d'images
Si vous activez le DNS privé pour le point de terminaison, vous pouvez envoyer des demandes d'API à Image Builder en utilisant son nom DNS par défaut pour la région, par exemple :imagebuilder.us-east-1.amazonaws.com. Pour rechercher le point de terminaison qui s'applique à votre région cible, consultez la section Points de terminaison et quotas d'EC2 Image Builder dans le Référence générale d'Amazon Web Services.
Pour plus d'informations, consultez Accès à un service via un point de terminaison d'interface dans le Guide de l'utilisateur Amazon VPC.
Création d'une politique de point de terminaison VPC pour Image Builder
Vous pouvez associer une politique de point de terminaison à votre point de terminaison VPC qui contrôle l'accès à Image Builder. La politique spécifie les informations suivantes :
-
Le principal qui peut exécuter des actions.
-
Les actions qui peuvent être effectuées.
-
Les ressources sur lesquelles les actions peuvent être exécutées.
Si vous utilisez des composants gérés par Amazon dans votre recette, le point de terminaison VPC pour Image Builder doit autoriser l'accès à la bibliothèque de composants appartenant au service suivante :
arn:aws:imagebuilder:region:aws:component/*
Important
Lorsqu'une politique autre que celle par défaut est appliquée à un point de terminaison VPC d'interface pour Image EC2 Builder, certaines demandes d'API ayant échoué, telles que celles RequestLimitExceeded provenant de, peuvent ne pas être enregistrées sur Amazon AWS CloudTrail ou sur Amazon. CloudWatch
Pour plus d’informations, consultez Contrôle de l’accès aux services avec points de terminaison d’un VPC dans le Guide de l’utilisateur Amazon VPC.
Politiques personnalisées pour l'accès au compartiment S3
Image Builder utilise un compartiment S3 accessible au public pour stocker et accéder aux ressources gérées, telles que les composants. Il télécharge également l'application de gestion des AWSTOE composants à partir d'un compartiment S3 distinct. Si vous utilisez un point de terminaison VPC pour Amazon S3 dans votre environnement, vous devez vous assurer que votre politique de point de terminaison VPC S3 autorise Image Builder à accéder aux compartiments S3 suivants. Les noms des compartiments sont uniques par AWS région (region) et par environnement d'application (environment). Image Builder AWSTOE prend en charge les environnements d'applications suivants : prodpreprod, etbeta.
-
Le bucket AWSTOE du gestionnaire de composants :
s3://ec2imagebuilder-toe-region-environmentExemple : s3://ec2 imagebuilder-toe-us-west -2-prod/*
-
Le bucket de ressources gérées par Image Builder :
s3://ec2imagebuilder-managed-resources-region-environment/componentsExemple : s3://ec2 imagebuilder-managed-resources-us -west-2-prod/components/*
Exemples de politique de point de terminaison de VPC
Cette section inclut des exemples de politiques de point de terminaison VPC personnalisées.
Politique générale des points de terminaison VPC pour les actions Image Builder
L'exemple de politique de point de terminaison suivant pour Image Builder refuse l'autorisation de supprimer des images et des composants d'Image Builder. L'exemple de politique accorde également l'autorisation d'effectuer toutes les autres actions d' EC2 Image Builder.
{ "Version": "2012-10-17", "Statement": [ { "Action": "imagebuilder:*", "Effect": "Allow", "Resource": "*" }, { "Action": [ "imagebuilder: DeleteImage" ], "Effect": "Deny", "Resource": "*", }, { "Action": [ "imagebuilder: DeleteComponent" ], "Effect": "Deny", "Resource": "*", }] }
Restreindre l'accès par organisation, autoriser l'accès aux composants gérés
L'exemple de politique de point de terminaison suivant montre comment restreindre l'accès aux identités et aux ressources appartenant à votre organisation et fournir un accès aux composants Image Builder gérés par Amazon. Remplacez regionprincipal-org-id, et resource-org-id par les valeurs de votre organisation.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "principal-org-id", "aws:ResourceOrgID": "resource-org-id" } } }, { "Sid": "AllowAccessToEC2ImageBuilderComponents", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "imagebuilder:GetComponent" ], "Resource": [ "arn:aws:imagebuilder:region:aws:component/*" ] } ] }
Politique de point de terminaison VPC pour l'accès au compartiment Amazon S3
L'exemple de politique de point de terminaison S3 suivant montre comment fournir un accès aux compartiments S3 utilisés par Image Builder pour créer des images personnalisées. Remplacez region et environment par les valeurs de votre organisation. Ajoutez toute autre autorisation requise à la politique en fonction des exigences de votre application.
Note
Pour les images Linux, si vous ne spécifiez pas de données utilisateur dans votre recette d'image, Image Builder ajoute un script pour télécharger et installer l'agent Systems Manager sur les instances de compilation et de test de votre image. Pour télécharger l'agent, Image Builder accède au compartiment S3 de votre région de construction.
Pour garantir qu'Image Builder puisse démarrer les instances de génération et de test, ajoutez la ressource supplémentaire suivante à votre politique de point de terminaison S3 :
"arn:aws:s3:::amazon-ssm-region/*"
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowImageBuilderAccessToAppAndComponentBuckets", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::ec2imagebuilder-toe-region-environment/*", "arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*" ] } ] }
