AWSImageBuilderFullAccess AWSImageBuilderReadOnlyAccess AWSServiceRoleForImageBuilder Ec2ImageBuilderCrossAccountDistributionAccess EC2ImageBuilderLifecycleExecutionPolicy EC2InstanceProfileForImageBuilder EC2InstanceProfileForImageBuilderECRContainerBuilds Aggiornamenti alle policy

Usa politiche AWS gestite per EC2 Image Builder

Una policy AWS gestita è una policy autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consulta Policy gestite da AWSnella Guida per l'utente di IAM.

AWSImageBuilderFullAccess policy

Il AWSImageBuilderFullAccessla politica garantisce l'accesso completo alle risorse di Image Builder per il ruolo a cui è associato, consentendo al ruolo di elencare, descrivere, creare, aggiornare ed eliminare le risorse di Image Builder. La politica concede inoltre autorizzazioni mirate alle risorse correlate Servizi AWS necessarie, ad esempio, per verificare le risorse o per visualizzare le risorse correnti per l'account in. AWS Management Console

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

Image Builder: viene concesso l'accesso amministrativo, in modo che il ruolo possa elencare, descrivere, creare, aggiornare ed eliminare le risorse di Image Builder.
Amazon EC2: viene concesso l'accesso alle azioni di Amazon EC2 Descrivi necessarie per verificare l'esistenza delle risorse o ottenere elenchi di risorse appartenenti all'account.
IAM: viene concesso l'accesso per ottenere e utilizzare profili di istanza il cui nome contiene «imagebuilder», per verificare l'esistenza del ruolo collegato al servizio Image Builder tramite l'azione iam:GetRole API e per creare il ruolo collegato al servizio Image Builder.
License Manager: viene concesso l'accesso per elencare le configurazioni di licenza o le licenze per una risorsa.
Amazon S3: è consentito l'accesso ai bucket di elenco appartenenti all'account e anche ai bucket Image Builder con «imagebuilder» nel nome.
Amazon SNS: le autorizzazioni di scrittura vengono concesse ad Amazon SNS per verificare la proprietà degli argomenti contenenti «imagebuilder».

Per visualizzare le autorizzazioni relative a questa politica, consulta AWSImageBuilderFullAccessnel AWS Managed Policy Reference.

AWSImageBuilderReadOnlyAccess policy

Il AWSImageBuilderReadOnlyAccessla policy fornisce l'accesso in sola lettura a tutte le risorse di Image Builder. Vengono concesse le autorizzazioni per verificare l'esistenza del ruolo collegato al servizio Image Builder tramite l'azione API. iam:GetRole

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

Image Builder: l'accesso è concesso per l'accesso in sola lettura alle risorse di Image Builder.
IAM: viene concesso l'accesso per verificare l'esistenza del ruolo collegato al servizio Image Builder tramite l'azione API. iam:GetRole

Per visualizzare le autorizzazioni relative a questa politica, consulta AWSImageBuilderReadOnlyAccessnel AWS Managed Policy Reference.

AWSServiceRoleForImageBuilder policy

Il AWSServiceRoleForImageBuilderla politica consente a Image Builder di chiamare per Servizi AWS conto dell'utente.

Dettagli dell'autorizzazione

Questa policy è associata al ruolo collegato al servizio Image Builder quando il ruolo viene creato tramite Systems Manager. Per ulteriori informazioni sul ruolo collegato al servizio Image Builder, vedere. Usa i ruoli collegati ai servizi IAM per Image Builder

La politica include le seguenti autorizzazioni:

CloudWatch Registri: l'accesso è concesso per creare e caricare CloudWatch registri in qualsiasi gruppo di log il cui nome inizia con. /aws/imagebuilder/
Amazon EC2 — Image Builder consente di creare, scattare istantanee e registrare le immagini (AMIs) create e avviare EC2 istanze nel tuo account. Image Builder utilizza istantanee, volumi, interfacce di rete, sottoreti, gruppi di sicurezza, configurazione delle licenze e coppie di chiavi correlati come richiesto, purché l'immagine, l'istanza e i volumi che vengono creati o utilizzati siano contrassegnati con o. CreatedBy: EC2 Image Builder CreatedBy: EC2 Fast Launch

Image Builder può ottenere informazioni su EC2 immagini Amazon, attributi delle istanze, stato dell'istanza, tipi di istanza disponibili per il tuo account, modelli di avvio, sottoreti, host e tag sulle tue risorse Amazon. EC2

Image Builder può aggiornare le impostazioni dell'immagine per abilitare o disabilitare l'avvio più rapido delle istanze di Windows nell'account, dove l'immagine è contrassegnata con. CreatedBy: EC2 Image Builder

Inoltre, Image Builder può avviare, arrestare e terminare le istanze in esecuzione nel tuo account, condividere istantanee di Amazon EBS, creare e aggiornare immagini e avviare modelli, annullare la registrazione di immagini esistenti, aggiungere tag e replicare immagini tra account a cui hai concesso le autorizzazioni tramite il Ec2ImageBuilderCrossAccountDistributionAccesspolitica. Il tagging di Image Builder è necessario per tutte queste azioni, come descritto in precedenza.
Amazon ECR — Image Builder ha accesso per creare un repository, se necessario, per le scansioni delle vulnerabilità delle immagini dei container e contrassegnare le risorse che crea per limitare l'ambito delle sue operazioni. A Image Builder viene inoltre concesso l'accesso per eliminare le immagini del contenitore che ha creato per le scansioni dopo aver scattato istantanee delle vulnerabilità.
EventBridge— A Image Builder viene concesso l'accesso per creare e gestire EventBridge regole.
IAM: Image Builder consente di trasferire qualsiasi ruolo del tuo account ad Amazon e a VM EC2 Import/Export.
Amazon Inspector: a Image Builder viene concesso l'accesso per determinare quando Amazon Inspector completa le scansioni delle istanze di build e per raccogliere i risultati delle immagini configurate per consentirlo.
AWS KMS— L'accesso è concesso ad Amazon EBS per crittografare, decrittografare o ricrittografare i volumi Amazon EBS. Questo è fondamentale per garantire il funzionamento dei volumi crittografati quando Image Builder crea un'immagine.
License Manager: Image Builder consente di aggiornare le specifiche del License Manager tramite. license-manager:UpdateLicenseSpecificationsForResource
Amazon SNS: le autorizzazioni di scrittura sono concesse per qualsiasi argomento di Amazon SNS nel tuo account.
Systems Manager: a Image Builder viene concesso l'accesso per elencare i comandi di Systems Manager e le relative chiamate, le voci di inventario, descrivere le informazioni sull'istanza e gli stati di esecuzione dell'automazione, descrivere gli host per il supporto del posizionamento delle istanze e ottenere dettagli sulla chiamata dei comandi. Image Builder può anche inviare segnali di automazione e interrompere le esecuzioni di automazione per qualsiasi risorsa del tuo account.

Image Builder è in grado di emettere chiamate di comando run a qualsiasi istanza contrassegnata "CreatedBy": "EC2 Image Builder" per i seguenti file di script:AWS-RunPowerShellScript,, o. AWS-RunShellScript AWSEC2-RunSysprep Image Builder è in grado di avviare un'esecuzione di automazione di Systems Manager nell'account per i documenti di automazione il cui nome inizia con. ImageBuilder

Image Builder è anche in grado di creare o eliminare associazioni di State Manager per qualsiasi istanza dell'account, purché il documento di associazione sia presenteAWS-GatherSoftwareInventory, e di creare il ruolo collegato al servizio Systems Manager nell'account.
AWS STS— A Image Builder viene concesso l'accesso per assumere ruoli denominati EC2ImageBuilderDistributionCrossAccountRoledal tuo account a qualsiasi account in cui la politica di fiducia relativa al ruolo lo consenta. Viene utilizzato per la distribuzione di immagini tra account.

Per visualizzare le autorizzazioni relative a questa politica, vedere AWSServiceRoleForImageBuildernel AWS Managed Policy Reference.

Ec2ImageBuilderCrossAccountDistributionAccess policy

Il Ec2ImageBuilderCrossAccountDistributionAccessla politica concede a Image Builder le autorizzazioni per distribuire immagini tra account nelle regioni di destinazione. Inoltre, Image Builder può descrivere, copiare e applicare tag a qualsiasi EC2 immagine Amazon nell'account. La policy garantisce inoltre la possibilità di modificare le autorizzazioni AMI tramite l'azione ec2:ModifyImageAttribute API.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

Amazon EC2: Amazon ha accesso per EC2 descrivere, copiare e modificare gli attributi di un'immagine e per creare tag per tutte EC2 le immagini Amazon presenti nell'account.

Per visualizzare le autorizzazioni relative a questa politica, consulta Ec2ImageBuilderCrossAccountDistributionAccessnel AWS Managed Policy Reference.

EC2ImageBuilderLifecycleExecutionPolicy policy

Il EC2ImageBuilderLifecycleExecutionPolicyla policy concede a Image Builder le autorizzazioni per eseguire azioni come deprecare, disabilitare o eliminare le risorse di immagine di Image Builder e le relative risorse sottostanti AMIs (istantanee) per supportare regole automatizzate per le attività di gestione del ciclo di vita delle immagini.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

Amazon EC2: ad Amazon viene concesso l'accesso EC2 per eseguire le seguenti azioni per Amazon Machine Images (AMIs) nell'account contrassegnatoCreatedBy: EC2 Image Builder.
- Abilita e disabilita un AMI.
- Abilita e disabilita la deprecazione delle immagini.
- Descrivi e annulla la registrazione di un AMI.
- Descrivi e modifica gli attributi delle immagini AMI.
- Elimina le istantanee del volume associate all'AMI.
- Recupera i tag per una risorsa.
- Aggiungi o rimuovi tag da un'AMI per renderli obsoleti.
Amazon ECR: Amazon ECR consente ad Amazon ECR di eseguire le seguenti azioni batch sui repository ECR con il tag. LifecycleExecutionAccess: EC2 Image Builder Le azioni Batch supportano le regole automatizzate del ciclo di vita delle immagini dei container.
- ecr:BatchGetImage
- ecr:BatchDeleteImage
L'accesso è concesso a livello di repository per gli archivi ECR contrassegnati con. LifecycleExecutionAccess: EC2 Image Builder
AWS Gruppi di risorse: a Image Builder viene concesso l'accesso per ottenere risorse basate sui tag.
EC2 Image Builder: Image Builder ha accesso per eliminare le risorse di immagini di Image Builder.

Per visualizzare le autorizzazioni relative a questa politica, vedere EC2ImageBuilderLifecycleExecutionPolicynel AWS Managed Policy Reference.

EC2InstanceProfileForImageBuilder policy

Il EC2InstanceProfileForImageBuilderla policy concede le autorizzazioni minime necessarie affinché un' EC2 istanza funzioni con Image Builder. Ciò non include le autorizzazioni necessarie per utilizzare l'agente Systems Manager.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

CloudWatch Registri: è consentito creare e caricare CloudWatch registri in qualsiasi gruppo di log il cui nome inizia con. /aws/imagebuilder/
Amazon EC2 — Access è concesso per descrivere volumi e istantanee, per creare istantanee di volumi o risorse snapshot create da Image Builder e per creare tag per le risorse Image Builder.
Image Builder: l'accesso è concesso per ottenere qualsiasi Image Marketplace AWS Builder o componente.
AWS KMS— L'accesso è concesso per decrittografare un componente Image Builder, se è stato crittografato tramite. AWS KMS
Amazon S3: l'accesso è concesso per ottenere oggetti archiviati in un bucket Amazon S3 il cui nome inizia ec2imagebuilder- con o risorse con estensione di file ISO.

Per visualizzare le autorizzazioni relative a questa politica, consulta EC2InstanceProfileForImageBuildernel AWS Managed Policy Reference.

EC2InstanceProfileForImageBuilderECRContainerBuilds policy

Il EC2InstanceProfileForImageBuilderECRContainerBuildsquesta policy concede le autorizzazioni minime richieste per un' EC2 istanza quando si lavora con Image Builder per creare immagini Docker e quindi registrare e archiviare le immagini in un repository di contenitori Amazon ECR. Ciò non include le autorizzazioni necessarie per utilizzare l'agente Systems Manager.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

CloudWatch Registri: è consentito creare e caricare CloudWatch registri in qualsiasi gruppo di log il cui nome inizia con. /aws/imagebuilder/
Amazon ECR: Amazon ECR consente di ottenere, registrare e archiviare un'immagine del contenitore e ottenere un token di autorizzazione.
Image Builder: è consentito l'accesso per ottenere un componente Image Builder o una ricetta del contenitore.
AWS KMS— L'accesso è concesso per decrittografare un componente Image Builder o una ricetta contenitore, se è stato crittografato tramite. AWS KMS
Amazon S3: l'accesso è concesso per archiviare oggetti in un bucket Amazon S3 il cui nome inizia con. ec2imagebuilder-

Per visualizzare le autorizzazioni relative a questa politica, consulta EC2InstanceProfileForImageBuilderECRContainerBuildsnel AWS Managed Policy Reference.

Image Builder aggiorna le politiche gestite AWS

Questa sezione fornisce informazioni sugli aggiornamenti delle politiche AWS gestite per Image Builder da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, abbonatevi al feed RSS nella pagina della cronologia dei documenti di Image Builder.

Modifica	Descrizione	Data
AWSServiceRoleForImageBuilder: aggiornamento a una policy esistente	Image Builder ha apportato le seguenti modifiche al ruolo di servizio per supportare l'importazione di file ISO del sistema operativo client Microsoft come immagine di base. Aggiunto ec2: RegisterImage per consentire a Image Builder di creare un'istantanea e creare e registrare un AMI il cui sistema operativo di base è stato importato da file disco ISO verificati.	30 dicembre 2024
EC2InstanceProfileForImageBuilder: aggiornamento a una policy esistente	Image Builder ha apportato le seguenti modifiche alla politica del profilo dell'istanza per supportare la creazione di immagini dai file di immagine del disco. Sono state aggiunte le seguenti azioni ec2: DescribeVolumes e DescribeSnapshots su tutte le risorse per recuperare i dettagli. Sono state inoltre aggiunte le seguenti azioni per le risorse create da Image Builder: CreateSnapshot per le risorse di volume e istantanee e. CreateTags Aggiunto s3: GetObject per le risorse con estensione di file «ISO».	30 dicembre 2024
EC2InstanceProfileForImageBuilder— Politica aggiornata	Image Builder ha aggiornato la `EC2InstanceProfileForImageBuilder` politica per consentire a Image Builder di ottenere componenti. Marketplace AWS	2 dicembre 2024
EC2ImageBuilderLifecycleExecutionPolicy: nuova policy	Image Builder ha aggiunto la nuova `EC2ImageBuilderLifecycleExecutionPolicy` politica che contiene le autorizzazioni per la gestione del ciclo di vita delle immagini.	17 novembre 2023
AWSServiceRoleForImageBuilder: aggiornamento a una policy esistente	Image Builder ha apportato le seguenti modifiche al ruolo di servizio per fornire supporto per il posizionamento delle istanze. Aggiunto ec2: DescribeHosts consente a Image Builder di eseguire il polling dell'HostID per determinare quando è in uno stato valido per avviare un'istanza. Aggiunta l'azione ssm:GetCommandInvocation, API per migliorare il metodo utilizzato da Image Builder per ottenere dettagli sulla chiamata del comando.	19 ottobre 2023
AWSServiceRoleForImageBuilder: aggiornamento a una policy esistente	Image Builder ha apportato le seguenti modifiche al ruolo di servizio per fornire supporto per il posizionamento delle istanze. Aggiunto ec2: DescribeHosts abilita Image Builder per eseguire il polling dell'HostID per determinare quando è in uno stato valido per avviare un'istanza. Aggiunta l'azione ssm:GetCommandInvocation, API per migliorare il metodo utilizzato da Image Builder per ottenere dettagli sulla chiamata del comando.	28 settembre 2023
AWSServiceRoleForImageBuilder: aggiornamento a una policy esistente	Image Builder ha apportato le seguenti modifiche al ruolo di servizio per consentire ai flussi di lavoro di Image Builder di raccogliere i risultati delle vulnerabilità per le build di immagini dei contenitori AMI ed ECR. Le nuove autorizzazioni supportano la funzionalità di rilevamento e segnalazione CVE. Sono stati aggiunti inspector2: ListCoverage e inspector2: per consentire a ListFindings Image Builder di determinare quando Amazon Inspector completa le scansioni delle istanze di test e per raccogliere i risultati per le immagini configurate per consentirlo. Aggiunto ecr:CreateRepository, con l'obbligo per Image Builder di etichettare il repository `CreatedBy: EC2 Image Builder` con (). tag-on-create È stato inoltre aggiunto ecr: TagResource (obbligatorio per tag-on-create) con lo stesso vincolo di CreatedBy tag e un vincolo aggiuntivo che richiede il nome del repository con cui iniziare. `image-builder-` Il vincolo del nome impedisce l'aumento dei privilegi e impedisce le modifiche ai repository non creati da Image Builder. Aggiunto ecr: per i repository ECR contrassegnati con. BatchDeleteImage `CreatedBy: EC2 Image Builder` Questa autorizzazione richiede il nome del repository con cui iniziare. `image-builder-` Sono state aggiunte le autorizzazioni agli eventi per Image Builder per creare e gestire le regole gestite da EventBridge Amazon `ImageBuilder-*` incluse nel nome.	30 marzo 2023
AWSServiceRoleForImageBuilder: aggiornamento a una policy esistente	Image Builder ha apportato le seguenti modifiche al ruolo di servizio: Aggiunte le licenze License Manager come risorsa per la RunInstance chiamata ec2: per consentire ai clienti di utilizzare l'immagine AMIs di base associata a una configurazione di licenza.	22 marzo 2022
AWSServiceRoleForImageBuilder: aggiornamento a una policy esistente	Image Builder ha apportato le seguenti modifiche al ruolo di servizio: Sono state aggiunte le autorizzazioni per l'azione delle EC2 EnableFastLaunch API, per abilitare e disabilitare l'avvio più rapido per le istanze Windows. Ambito di applicazione più ristretto per ec2: condizioni per i tag delle CreateTags azioni e delle risorse.	21 febbraio 2022
AWSServiceRoleForImageBuilder: aggiornamento a una policy esistente	Image Builder ha apportato le seguenti modifiche al ruolo di servizio: Sono state aggiunte le autorizzazioni per chiamare il servizio VMIE per importare una VM e creare da essa un'AMI di base. Ambito di applicazione più ristretto per ec2: condizioni per i tag delle CreateTags azioni e delle risorse.	20 novembre 2021
AWSServiceRoleForImageBuilder: aggiornamento a una policy esistente	Image Builder ha aggiunto nuove autorizzazioni per risolvere i problemi in cui più di un'associazione di inventario causa il blocco della creazione dell'immagine.	11 agosto 2021
AWSImageBuilderFullAccess: aggiornamento a una policy esistente	Image Builder ha apportato le seguenti modifiche al ruolo di accesso completo: Sono state aggiunte le autorizzazioni da consentire. `ec2:DescribeInstanceTypeOffereings` Sono state aggiunte le autorizzazioni `ec2:DescribeInstanceTypeOffereings` alla chiamata per consentire alla console Image Builder di riflettere accuratamente i tipi di istanza disponibili nell'account.	13 aprile 2021
Image Builder ha iniziato a tracciare le modifiche	Image Builder ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.	02 aprile 2021

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Policy basate sulle identità

Ruoli collegati ai servizi