Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Usa politiche AWS gestite per EC2 Image Builder
Una policy AWS gestita è una policy autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove API operazioni per i servizi esistenti.
Per ulteriori informazioni, consulta le politiche AWS gestite nella Guida IAM per l'utente.
AWSImageBuilderFullAccess policy
Il AWSImageBuilderFullAccessla politica garantisce l'accesso completo alle risorse di Image Builder per il ruolo a cui è associato, consentendo al ruolo di elencare, descrivere, creare, aggiornare ed eliminare le risorse di Image Builder. La politica concede inoltre autorizzazioni mirate alle risorse correlate Servizi AWS necessarie, ad esempio, per verificare le risorse o per visualizzare le risorse correnti per l'account in. AWS Management Console
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
Image Builder: viene concesso l'accesso amministrativo, in modo che il ruolo possa elencare, descrivere, creare, aggiornare ed eliminare le risorse di Image Builder.
-
Amazon EC2: viene concesso l'accesso alle azioni di Amazon EC2 Descrivi necessarie per verificare l'esistenza delle risorse o ottenere elenchi di risorse appartenenti all'account.
-
IAM— L'accesso è concesso per ottenere e utilizzare profili di istanza il cui nome contiene «imagebuilder», per verificare l'esistenza del ruolo collegato al servizio Image Builder tramite l'
iam:GetRole
APIazione e per creare il ruolo collegato al servizio Image Builder. -
License Manager: viene concesso l'accesso per elencare le configurazioni di licenza o le licenze per una risorsa.
-
Amazon S3: è consentito l'accesso ai bucket di elenco appartenenti all'account e anche ai bucket Image Builder con «imagebuilder» nel nome.
-
AmazonSNS: ad Amazon vengono concesse le autorizzazioni di scrittura SNS per verificare la proprietà degli argomenti contenenti «imagebuilder».
Esempio di policy
Di seguito è riportato un esempio di AWSImageBuilderFullAccess politica.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "arn:aws:sns:*:*:*imagebuilder*" }, { "Effect": "Allow", "Action": [ "license-manager:ListLicenseConfigurations", "license-manager:ListLicenseSpecificationsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" }, { "Effect": "Allow", "Action": [ "iam:GetInstanceProfile" ], "Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*" }, { "Effect": "Allow", "Action": [ "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:instance-profile/*imagebuilder*", "arn:aws:iam::*:role/*imagebuilder*" ], "Condition": { "StringEquals": { "iam:PassedToService": "ec2.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3::*:*imagebuilder*" }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder", "Condition": { "StringLike": { "iam:AWSServiceName": "imagebuilder.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeSnapshots", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeVolumes", "ec2:DescribeSubnets", "ec2:DescribeKeyPairs", "ec2:DescribeSecurityGroups", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeLaunchTemplates" ], "Resource": "*" } ] }
AWSImageBuilderReadOnlyAccess policy
Il AWSImageBuilderReadOnlyAccessla policy fornisce l'accesso in sola lettura a tutte le risorse di Image Builder. Vengono concesse le autorizzazioni per verificare l'esistenza del ruolo collegato al servizio Image Builder tramite l'azione. iam:GetRole
API
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
Image Builder: l'accesso è concesso per l'accesso in sola lettura alle risorse di Image Builder.
-
IAM— Viene concesso l'accesso per verificare l'esistenza del ruolo collegato al servizio Image Builder tramite l'azione.
iam:GetRole
API
Esempio di policy
Di seguito è riportato un esempio di AWSImageBuilderReadOnlyAccess politica.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:Get*", "imagebuilder:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" } ] }
AWSServiceRoleForImageBuilder policy
Il AWSServiceRoleForImageBuilderla politica consente a Image Builder di chiamare per Servizi AWS conto dell'utente.
Dettagli dell'autorizzazione
Questa policy è associata al ruolo collegato al servizio Image Builder quando il ruolo viene creato tramite Systems Manager. Per ulteriori informazioni sul ruolo collegato al servizio Image Builder, vedere. Usa ruoli IAM collegati ai servizi per Image Builder
La politica include le seguenti autorizzazioni:
-
CloudWatch Registri: l'accesso è concesso per creare e caricare CloudWatch registri in qualsiasi gruppo di log il cui nome inizia con.
/aws/imagebuilder/
-
Amazon EC2 — Image Builder consente di creare immagini e avviare EC2 istanze nel tuo account, utilizzando istantanee, volumi, interfacce di rete, sottoreti, gruppi di sicurezza, configurazione della licenza e coppie di chiavi correlati, a condizione che l'immagine, l'istanza e i volumi che vengono creati o utilizzati siano etichettati con o.
CreatedBy: EC2 Image Builder
CreatedBy: EC2 Fast Launch
Image Builder può ottenere informazioni sulle EC2 immagini di Amazon, gli attributi delle istanze, lo stato delle istanze, i tipi di istanza disponibili per il tuo account, i modelli di avvio, le sottoreti, gli host e i tag sulle tue risorse Amazon. EC2
Image Builder può aggiornare le impostazioni dell'immagine per abilitare o disabilitare l'avvio più rapido delle istanze di Windows nell'account, dove l'immagine è contrassegnata con.
CreatedBy: EC2 Image Builder
Inoltre, Image Builder può avviare, arrestare e terminare le istanze in esecuzione nel tuo account, condividere EBS istantanee Amazon, creare e aggiornare immagini e avviare modelli, annullare la registrazione di immagini esistenti, aggiungere tag e replicare immagini tra account a cui hai concesso le autorizzazioni tramite Ec2ImageBuilderCrossAccountDistributionAccesspolitica. Il tagging di Image Builder è necessario per tutte queste azioni, come descritto in precedenza.
-
Amazon ECR — A Image Builder viene concesso l'accesso per creare un repository, se necessario, per le scansioni delle vulnerabilità delle immagini dei container e contrassegnare le risorse che crea per limitare l'ambito delle sue operazioni. A Image Builder viene inoltre concesso l'accesso per eliminare le immagini del contenitore che ha creato per le scansioni dopo aver scattato istantanee delle vulnerabilità.
-
EventBridge— A Image Builder viene concesso l'accesso per creare e gestire EventBridge regole.
-
IAM— Image Builder consente l'accesso per trasferire qualsiasi ruolo del tuo account ad Amazon e a VM EC2 Import/Export.
-
Amazon Inspector: a Image Builder viene concesso l'accesso per determinare quando Amazon Inspector completa le scansioni delle istanze di build e per raccogliere i risultati delle immagini configurate per consentirlo.
-
AWS KMS— Ad Amazon viene concesso l'accesso per EBS crittografare, decrittografare o ricrittografare i volumi Amazon. EBS Questo è fondamentale per garantire il funzionamento dei volumi crittografati quando Image Builder crea un'immagine.
-
License Manager: Image Builder consente di aggiornare le specifiche del License Manager tramite.
license-manager:UpdateLicenseSpecificationsForResource
-
Amazon SNS: le autorizzazioni di scrittura sono concesse per qualsiasi SNS argomento Amazon nel tuo account.
-
Systems Manager: a Image Builder viene concesso l'accesso per elencare i comandi di Systems Manager e le relative chiamate, le voci di inventario, descrivere le informazioni sull'istanza e gli stati di esecuzione dell'automazione, descrivere gli host per il supporto del posizionamento delle istanze e ottenere dettagli sulla chiamata dei comandi. Image Builder può anche inviare segnali di automazione e interrompere le esecuzioni di automazione per qualsiasi risorsa del tuo account.
Image Builder è in grado di emettere chiamate di comando run a qualsiasi istanza contrassegnata
"CreatedBy": "EC2 Image Builder"
per i seguenti file di script:AWS-RunPowerShellScript
,, o.AWS-RunShellScript
AWSEC2-RunSysprep
Image Builder è in grado di avviare un'esecuzione di automazione di Systems Manager nell'account per i documenti di automazione il cui nome inizia con.ImageBuilder
Image Builder è anche in grado di creare o eliminare associazioni di State Manager per qualsiasi istanza dell'account, purché il documento di associazione sia presente
AWS-GatherSoftwareInventory
, e di creare il ruolo collegato al servizio Systems Manager nell'account. -
AWS STS— A Image Builder viene concesso l'accesso per assumere ruoli denominati EC2ImageBuilderDistributionCrossAccountRoledal tuo account a qualsiasi account in cui la politica di fiducia relativa al ruolo lo consenta. Viene utilizzato per la distribuzione di immagini tra account.
Per visualizzare le autorizzazioni relative a questa politica, vedere AWSServiceRoleForImageBuildernel AWS Managed Policy Reference.
Ec2ImageBuilderCrossAccountDistributionAccess policy
Il Ec2ImageBuilderCrossAccountDistributionAccessla politica concede a Image Builder le autorizzazioni per distribuire immagini tra account nelle regioni di destinazione. Inoltre, Image Builder può descrivere, copiare e applicare tag a qualsiasi EC2 immagine Amazon nell'account. La politica garantisce inoltre la possibilità di modificare le AMI autorizzazioni tramite l'azione. ec2:ModifyImageAttribute
API
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
AmazonEC2: Amazon ha accesso per EC2 descrivere, copiare e modificare gli attributi di un'immagine e per creare tag per qualsiasi EC2 immagine Amazon presente nell'account.
Esempio di policy
Di seguito è riportato un esempio di Ec2ImageBuilderCrossAccountDistributionAccess politica.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*::image/*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" } ] }
EC2ImageBuilderLifecycleExecutionPolicy policy
Il EC2ImageBuilderLifecycleExecutionPolicyla policy concede a Image Builder le autorizzazioni per eseguire azioni come deprecare, disabilitare o eliminare le risorse di immagine di Image Builder e le relative risorse sottostanti AMIs (istantanee) per supportare regole automatizzate per le attività di gestione del ciclo di vita delle immagini.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
Amazon EC2: ad Amazon viene concesso l'accesso EC2 per eseguire le seguenti azioni per Amazon Machine Images (AMIs) nell'account contrassegnato
CreatedBy: EC2 Image Builder
.-
Abilita e disabilita unAMI.
-
Abilita e disabilita la deprecazione delle immagini.
-
Descrivi e annulla la registrazione di un. AMI
-
Descrivi e modifica gli attributi AMI dell'immagine.
-
Eliminare le istantanee del volume associate a. AMI
-
Recupera i tag per una risorsa.
-
Aggiungi o rimuovi tag da un file AMI obsoleto.
-
-
Amazon ECR: ad Amazon viene concesso l'accesso ECR per eseguire le seguenti azioni in batch sui ECR repository con il
LifecycleExecutionAccess: EC2 Image Builder
tag. Le azioni Batch supportano le regole automatizzate del ciclo di vita delle immagini dei container.-
ecr:BatchGetImage
-
ecr:BatchDeleteImage
L'accesso è concesso a livello di repository per i ECR repository contrassegnati con.
LifecycleExecutionAccess: EC2 Image Builder
-
-
AWS Gruppi di risorse: a Image Builder viene concesso l'accesso per ottenere risorse basate sui tag.
-
EC2Image Builder: Image Builder ha accesso per eliminare le risorse di immagini di Image Builder.
Esempio di policy
Di seguito è riportato un esempio di EC2ImageBuilderLifecycleExecutionPolicy politica.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Ec2ImagePermission", "Effect": "Allow", "Action": [ "ec2:EnableImage", "ec2:DeregisterImage", "ec2:EnableImageDeprecation", "ec2:DescribeImageAttribute", "ec2:DisableImage", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2DeleteSnapshotPermission", "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2TagsPermission", "Effect": "Allow", "Action": [ "ec2:DeleteTags", "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ], "Condition": { "StringEquals": { "aws:RequestTag/DeprecatedBy": "EC2 Image Builder", "aws:ResourceTag/CreatedBy": "EC2 Image Builder" }, "ForAllValues:StringEquals": { "aws:TagKeys": "DeprecatedBy" } } }, { "Sid": "ECRImagePermission", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:BatchDeleteImage" ], "Resource": "arn:aws:ecr:*:*:repository/*", "Condition": { "StringEquals": { "ecr:ResourceTag/LifecycleExecutionAccess": "EC2 Image Builder" } } }, { "Sid": "ImageBuilderEC2TagServicePermission", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "tag:GetResources", "imagebuilder:DeleteImage" ], "Resource": "*" } ] }
EC2InstanceProfileForImageBuilder policy
Il EC2InstanceProfileForImageBuilderla policy concede le autorizzazioni minime necessarie affinché un'EC2istanza funzioni con Image Builder. Ciò non include le autorizzazioni necessarie per utilizzare l'agente Systems Manager.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
CloudWatch Registri: è consentito creare e caricare CloudWatch registri in qualsiasi gruppo di log il cui nome inizia con.
/aws/imagebuilder/
-
Image Builder: l'accesso è concesso per ottenere qualsiasi componente Image Builder.
-
AWS KMS— L'accesso è concesso per decrittografare un componente Image Builder, se è stato crittografato tramite. AWS KMS
-
Amazon S3: l'accesso è concesso per archiviare oggetti in un bucket Amazon S3 il cui nome inizia con.
ec2imagebuilder-
Esempio di policy
Di seguito è riportato un esempio di EC2InstanceProfileForImageBuilder politica.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
EC2InstanceProfileForImageBuilderECRContainerBuilds policy
Il EC2InstanceProfileForImageBuilderECRContainerBuildsquesta policy concede le autorizzazioni minime richieste per un'EC2istanza quando si lavora con Image Builder per creare immagini Docker e quindi registrare e archiviare le immagini in un repository di container Amazon. ECR Ciò non include le autorizzazioni necessarie per utilizzare l'agente Systems Manager.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
CloudWatch Registri: è consentito creare e caricare CloudWatch registri in qualsiasi gruppo di log il cui nome inizia con.
/aws/imagebuilder/
-
Amazon ECR: ad Amazon viene concesso l'accesso ECR per ottenere, registrare e archiviare un'immagine del contenitore e ottenere un token di autorizzazione.
-
Image Builder: è consentito l'accesso per ottenere un componente Image Builder o una ricetta del contenitore.
-
AWS KMS— L'accesso è concesso per decrittografare un componente Image Builder o una ricetta contenitore, se è stato crittografato tramite. AWS KMS
-
Amazon S3: l'accesso è concesso per archiviare oggetti in un bucket Amazon S3 il cui nome inizia con.
ec2imagebuilder-
Esempio di policy
Di seguito è riportato un esempio di EC2InstanceProfileForImageBuilderECRContainerBuilds politica.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent", "imagebuilder:GetContainerRecipe", "ecr:GetAuthorizationToken", "ecr:BatchGetImage", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:PutImage" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
Image Builder aggiorna le politiche gestite AWS
Questa sezione fornisce informazioni sugli aggiornamenti delle politiche AWS gestite per Image Builder da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed nella pagina della cronologia dei documenti di Image Builder.
Modifica | Descrizione | Data |
---|---|---|
EC2ImageBuilderLifecycleExecutionPolicy: nuova policy |
Image Builder ha aggiunto la nuova |
17 novembre 2023 |
AWSServiceRoleForImageBuilder: aggiornamento a una policy esistente |
Image Builder ha apportato le seguenti modifiche al ruolo di servizio per fornire supporto per il posizionamento delle istanze.
|
19 ottobre 2023 |
AWSServiceRoleForImageBuilder: aggiornamento a una policy esistente |
Image Builder ha apportato le seguenti modifiche al ruolo di servizio per fornire supporto per il posizionamento delle istanze.
|
28 settembre 2023 |
AWSServiceRoleForImageBuilder: aggiornamento a una policy esistente |
Image Builder ha apportato le seguenti modifiche al ruolo di servizio per consentire ai flussi di lavoro di Image Builder di raccogliere i risultati delle vulnerabilità sia per le build di immagini del contenitore che per AMI le build di immagini. ECR Le nuove autorizzazioni supportano la funzionalità di rilevamento e segnalazione. CVE
|
30 marzo 2023 |
AWSServiceRoleForImageBuilder: aggiornamento a una policy esistente |
Image Builder ha apportato le seguenti modifiche al ruolo di servizio:
|
22 marzo 2022 |
AWSServiceRoleForImageBuilder: aggiornamento a una policy esistente |
Image Builder ha apportato le seguenti modifiche al ruolo di servizio:
|
21 febbraio 2022 |
AWSServiceRoleForImageBuilder: aggiornamento a una policy esistente |
Image Builder ha apportato le seguenti modifiche al ruolo di servizio:
|
20 novembre 2021 |
AWSServiceRoleForImageBuilder: aggiornamento a una policy esistente |
Image Builder ha aggiunto nuove autorizzazioni per risolvere i problemi in cui più di un'associazione di inventario causa il blocco della creazione dell'immagine. |
11 agosto 2021 |
AWSImageBuilderFullAccess: aggiornamento a una policy esistente |
Image Builder ha apportato le seguenti modifiche al ruolo di accesso completo:
|
13 aprile 2021 |
Image Builder ha iniziato a tracciare le modifiche |
Image Builder ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. |
02 aprile 2021 |