Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Integrasi Identity and Access Management untuk Image Builder
**Topics**
+ [Audiens](#security-iam-audience)
+ [Mengautentikasi dengan identitas](#security-iam-authentication)
+ [Cara Image Builder bekerja dengan kebijakan dan peran IAM](security_iam_service-with-iam.md)
+ [Kelola perimeter data untuk akses unduhan bucket S3 di Image Builder](security-iam-data-perimeter.md)
+ [Kebijakan berbasis identitas Image Builder](security-iam-identity-based-policies.md)
+ [Izin IAM untuk alur kerja khusus](#security-iam-custom-workflows)
+ [Kebijakan berbasis sumber daya Image Builder](#security-iam-resource-based-policies)
+ [Menggunakan kebijakan AWS terkelola untuk EC2 Image Builder](security-iam-awsmanpol.md)
+ [Menggunakan peran terkait layanan IAM untuk Image Builder](image-builder-service-linked-role.md)
+ [Memecahkan masalah IAM di Image Builder](security_iam_troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah IAM di Image Builder](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Cara Image Builder bekerja dengan kebijakan dan peran IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Kebijakan berbasis identitas Image Builder](security_iam_service-with-iam.md#security_iam_id-based-policy-examples))
## Mengautentikasi dengan identitas
Untuk informasi terperinci tentang cara menyediakan otentikasi bagi orang dan proses di dalam Anda Akun AWS, lihat [Identitas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) di Panduan Pengguna *IAM*.
## Izin IAM untuk alur kerja khusus
Saat menggunakan alur kerja khusus dengan tindakan langkah tertentu seperti[RegisterImage](wfdoc-step-actions.md#wfdoc-step-action-register-image), izin IAM tambahan mungkin diperlukan di luar kebijakan terkelola Image Builder standar. Bagian ini menjelaskan izin tambahan yang diperlukan untuk tindakan langkah alur kerja kustom.
### RegisterImage izin tindakan langkah
Tindakan `RegisterImage` langkah memerlukan izin Amazon EC2 tertentu untuk mendaftar AMIs dan secara opsional mengambil tag snapshot. Saat menggunakan `includeSnapshotTags` parameter, izin tambahan diperlukan untuk menggambarkan snapshot.
**Izin yang diperlukan untuk tindakan RegisterImage langkah:**
Untuk semua sumber daya, izinkan tindakan berikut:
+ `ec2:RegisterImage`
+ `ec2:DescribeSnapshots`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RegisterImage",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::image/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "RegisterImage"
}
}
}
]
}
```
**Rincian izin:**
+ `ec2:RegisterImage`- Diperlukan untuk mendaftar baru AMIs dari snapshot
+ `ec2:DescribeSnapshots`- Diperlukan saat menggunakan `includeSnapshotTags: true` untuk mengambil tag snapshot untuk digabungkan dengan tag AMI
+ `ec2:CreateTags`- Diperlukan untuk menerapkan tag ke AMI terdaftar, termasuk tag default Image Builder dan tag snapshot gabungan
**catatan**
`ec2:DescribeSnapshots`Izin hanya digunakan ketika `includeSnapshotTags` parameter diatur ke`true`. Jika Anda tidak menggunakan fitur ini, Anda dapat menghilangkan izin ini.
**Perilaku penggabungan tag:**
Ketika `includeSnapshotTags` diaktifkan, tindakan RegisterImage langkah akan:
+ Ambil tag dari snapshot pertama yang ditentukan dalam pemetaan perangkat blok
+ Kecualikan tag yang AWS dicadangkan (tag dengan kunci yang dimulai dengan “aws:”)
+ Gabungkan tag snapshot dengan tag registrasi AMI default Image Builder
+ Berikan prioritas pada tag Image Builder saat kunci tag bertentangan
## Kebijakan berbasis sumber daya Image Builder
Untuk informasi tentang cara membuat komponen, lihat[Gunakan komponen untuk menyesuaikan image Image Builder](manage-components.md).
### Membatasi akses komponen Image Builder ke alamat IP tertentu
Contoh berikut memberikan izin kepada setiap pengguna untuk melakukan operasi Image Builder pada komponen. Namun, permintaan harus berasal dari rentang alamat IP yang ditentukan dalam syarat.
Kondisi dalam pernyataan ini mengidentifikasi rentang 54.240.143.\$1 alamat IP Internet Protocol versi 4 (IPv4) yang diizinkan, dengan satu pengecualian: 54.240.143.188.
`Condition`Blok menggunakan `IpAddress` dan `NotIpAddress` kondisi dan kunci `aws:SourceIp` kondisi, yang merupakan kunci kondisi AWS-wide. Untuk informasi selengkapnya tentang kunci kondisi ini, lihat [Menentukan Ketentuan dalam Kebijakan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html). `aws:sourceIp` IPv4 Nilai-nilai menggunakan notasi CIDR standar. Untuk informasi lebih lanjut, lihat [Operator Syarat Alamat IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) dalam *Panduan Pengguna IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "IBPolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Action": "imagebuilder:GetComponent",
"Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
```
------