EC2 Image Builder dan antarmuka titik akhir VPC () AWS PrivateLink - EC2 Image Builder
Pertimbangan untuk titik akhir VPC Image BuilderBuat antarmuka VPC endpoint untuk Image BuilderMembuat kebijakan titik akhir VPC untuk Image Builder

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

EC2 Image Builder dan antarmuka titik akhir VPC () AWS PrivateLink

Anda dapat membuat koneksi pribadi antara VPC dan EC2 Image Builder dengan membuat antarmuka VPC endpoint. Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses Image Builder API secara pribadi tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan Image Builder API. Lalu lintas antara VPC dan Image Builder Anda tidak meninggalkan jaringan Amazon.

Setiap titik akhir antarmuka diwakili oleh satu atau beberapa Antarmuka Jaringan Elastis di subnet Anda. Saat Anda membuat gambar baru, Anda dapat menentukan subnet-id VPC dalam konfigurasi infrastruktur Anda.

catatan

Setiap layanan yang Anda akses dari dalam VPC memiliki endpoint antarmuka sendiri, dengan kebijakan endpoint sendiri. Image Builder mengunduh aplikasi pengelola AWSTOE komponen dan mengakses sumber daya terkelola dari bucket S3 untuk membuat gambar khusus. Untuk memberikan akses ke bucket tersebut, Anda harus memperbarui kebijakan endpoint S3 untuk mengizinkannya. Untuk informasi selengkapnya, lihat Kebijakan khusus untuk akses bucket S3.

Untuk informasi selengkapnya tentang titik akhir VPC, lihat Titik akhir VPC Antarmuka () di AWS PrivateLink Panduan Pengguna Amazon VPC.

Pertimbangan untuk titik akhir VPC Image Builder

Sebelum menyiapkan titik akhir VPC antarmuka untuk Image Builder, pastikan Anda meninjau properti dan batasan titik akhir Antarmuka di Panduan Pengguna Amazon VPC.

Image Builder mendukung panggilan ke semua tindakan API-nya dari VPC Anda.

Buat antarmuka VPC endpoint untuk Image Builder

Untuk membuat titik akhir VPC untuk layanan Image Builder, Anda dapat menggunakan konsol Amazon VPC atau (). AWS Command Line Interface AWS CLI Untuk informasi lebih lanjut, lihat Membuat titik akhir antarmuka di Panduan Pengguna Amazon VPC.

Buat endpoint VPC untuk Image Builder menggunakan nama layanan berikut:

  • com.amazonaws. wilayah .imagebuilder

Jika Anda mengaktifkan DNS pribadi untuk titik akhir, Anda dapat membuat permintaan API ke Image Builder menggunakan nama DNS default untuk Wilayah, misalnya:. imagebuilder.us-east-1.amazonaws.com Untuk mencari titik akhir yang berlaku untuk Wilayah target Anda, lihat titik akhir dan kuota EC2 Image Builder di. Referensi Umum Amazon Web

Untuk informasi lebih lanjut, lihat Mengakses layanan melalui titik akhir antarmuka di Panduan Pengguna Amazon VPC.

Membuat kebijakan titik akhir VPC untuk Image Builder

Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC yang mengontrol akses ke Image Builder. Kebijakan menentukan informasi berikut ini:

  • Prinsip-prinsip yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan.

  • Sumber daya yang dapat digunakan untuk mengambil tindakan.

Jika Anda menggunakan komponen yang dikelola Amazon dalam resep Anda, titik akhir VPC untuk Image Builder harus mengizinkan akses ke pustaka komponen milik layanan berikut:

arn:aws:imagebuilder:region:aws:component/*

penting

Jika kebijakan non-default diterapkan ke titik akhir VPC antarmuka untuk EC2 Image Builder, permintaan API tertentu yang gagal, seperti yang RequestLimitExceeded gagal, mungkin tidak dicatat atau Amazon. AWS CloudTrail CloudWatch

Untuk informasi lebih lanjut, lihat Mengendalikan akses ke layanan dengan VPC endpoint di Panduan Pengguna Amazon VPC.

Kebijakan khusus untuk akses bucket S3

Image Builder menggunakan bucket S3 yang tersedia untuk umum untuk menyimpan dan mengakses sumber daya terkelola, seperti komponen. Ini juga mengunduh aplikasi manajemen AWSTOE komponen dari bucket S3 terpisah. Jika Anda menggunakan titik akhir VPC untuk Amazon S3 di lingkungan Anda, Anda harus memastikan bahwa kebijakan titik akhir VPC S3 memungkinkan Image Builder mengakses bucket S3 berikut. Nama bucket unik per AWS Wilayah (wilayah) dan lingkungan aplikasi (lingkungan). Image Builder dan AWSTOE mendukung lingkungan aplikasi berikut:prod,preprod, danbeta.

  • Bucket manajer AWSTOE komponen:

    s3://ec2imagebuilder-toe-region-environment

    Contoh: s3://ec2 imagebuilder-toe-us-west -2-prod/*

  • Bucket sumber daya terkelola Image Builder:

    s3://ec2imagebuilder-managed-resources-region-environment/components

    Contoh: s3://ec2 imagebuilder-managed-resources-us -west-2-prod/components/*

Contoh kebijakan titik akhir VPC

Bagian ini mencakup contoh kebijakan titik akhir VPC kustom.

Kebijakan titik akhir VPC umum untuk tindakan Image Builder

Contoh kebijakan endpoint berikut untuk Image Builder menolak izin untuk menghapus image dan komponen Image Builder. Kebijakan contoh juga memberikan izin untuk melakukan semua tindakan EC2 Image Builder lainnya.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "imagebuilder:*",
        "Effect": "Allow",
        "Resource": "*"
    },
    {
        "Action": [
            "imagebuilder: DeleteImage"
        ],
        "Effect": "Deny",
        "Resource": "*",
    },
    {
        "Action": [
            "imagebuilder: DeleteComponent"
        ],
        "Effect": "Deny",
        "Resource": "*",
    }]
}
Batasi akses menurut organisasi, izinkan akses komponen terkelola

Contoh kebijakan endpoint berikut menunjukkan cara membatasi akses ke identitas dan sumber daya milik organisasi Anda dan menyediakan akses ke komponen yang dikelola Amazon. AWSTOE Ganti wilayah principal-org-id,, dan resource-org-iddengan nilai-nilai organisasi Anda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "principal-org-id",
          "aws:ResourceOrgID": "resource-org-id"
        }
      }
    },
    {
      "Sid": "AllowAccessToEC2ImageBuilderComponents",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "imagebuilder:GetComponent"
      ],
      "Resource": [
        "arn:aws:imagebuilder:region:aws:component/*"
      ]
    }
  ]
}
Kebijakan titik akhir VPC untuk akses bucket Amazon S3

Contoh kebijakan titik akhir S3 berikut menunjukkan cara menyediakan akses ke bucket S3 yang digunakan Image Builder untuk membuat gambar kustom. Ganti wilayah dan lingkungan dengan nilai-nilai organisasi Anda. Tambahkan izin lain yang diperlukan ke kebijakan berdasarkan persyaratan aplikasi Anda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowImageBuilderAccessToAppAndComponentBuckets",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::ec2imagebuilder-toe-region-environment/*",
        "arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*"
      ]
    }
  ]
}