Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Integrazione di Identity and Access Management per Image Builder
**Topics**
+ [Destinatari](#security-iam-audience)
+ [Autenticazione con identità](#security-iam-authentication)
+ [Come Image Builder funziona con le politiche e i ruoli IAM](security_iam_service-with-iam.md)
+ [Gestisci i perimetri dei dati per l'accesso al download dei bucket S3 in Image Builder](security-iam-data-perimeter.md)
+ [Criteri basati sull'identità di Image Builder](security-iam-identity-based-policies.md)
+ [Autorizzazioni IAM per flussi di lavoro personalizzati](#security-iam-custom-workflows)
+ [Politiche basate sulle risorse di Image Builder](#security-iam-resource-based-policies)
+ [Usa policy AWS gestite per EC2 Image Builder](security-iam-awsmanpol.md)
+ [Usa i ruoli collegati ai servizi IAM per Image Builder](image-builder-service-linked-role.md)
+ [Risolvi i problemi di IAM in Image Builder](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risolvi i problemi di IAM in Image Builder](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come Image Builder funziona con le politiche e i ruoli IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Criteri basati sull'identità di Image Builder](security_iam_service-with-iam.md#security_iam_id-based-policy-examples))
## Autenticazione con identità
Per informazioni dettagliate su come fornire l'autenticazione per persone e processi in azienda Account AWS, consulta [Identities](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) in the *IAM User* Guide.
## Autorizzazioni IAM per flussi di lavoro personalizzati
Quando si utilizzano flussi di lavoro personalizzati con azioni specifiche, ad esempio[RegisterImage](wfdoc-step-actions.md#wfdoc-step-action-register-image), potrebbero essere necessarie autorizzazioni IAM aggiuntive oltre alle policy gestite standard di Image Builder. Questa sezione descrive le autorizzazioni aggiuntive necessarie per le azioni personalizzate in fasi del flusso di lavoro.
### RegisterImage autorizzazioni relative alle azioni di fase
L'azione `RegisterImage` graduale richiede autorizzazioni specifiche di Amazon EC2 per registrare AMIs e, facoltativamente, recuperare i tag degli snapshot. Quando si utilizza il `includeSnapshotTags` parametro, sono necessarie autorizzazioni aggiuntive per descrivere le istantanee.
**Autorizzazioni richieste per RegisterImage l'azione graduale:**
Per tutte le risorse, consenti le seguenti azioni:
+ `ec2:RegisterImage`
+ `ec2:DescribeSnapshots`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RegisterImage",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::image/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "RegisterImage"
}
}
}
]
}
```
**Dettagli delle autorizzazioni:**
+ `ec2:RegisterImage`- Necessario per la registrazione AMIs di nuove istantanee
+ `ec2:DescribeSnapshots`- Richiesto quando si utilizza `includeSnapshotTags: true` per recuperare i tag snapshot per la fusione con i tag AMI
+ `ec2:CreateTags`- Necessario per applicare i tag all'AMI registrata, inclusi i tag predefiniti di Image Builder e i tag snapshot uniti
**Nota**
L'`ec2:DescribeSnapshots`autorizzazione viene utilizzata solo quando il `includeSnapshotTags` parametro è impostato su. `true` Se non utilizzi questa funzione, puoi omettere questa autorizzazione.
**Comportamento di fusione dei tag:**
Quando `includeSnapshotTags` è abilitata, l'azione RegisterImage graduale:
+ Recupera i tag dalla prima istantanea specificata nella mappatura del dispositivo a blocchi
+ Escludi tutti AWS i tag riservati (quelli con chiavi che iniziano con «aws:»)
+ Unisci i tag snapshot con i tag di registrazione AMI predefiniti di Image Builder
+ Dai la precedenza ai tag di Image Builder in caso di conflitto tra le chiavi dei tag
## Politiche basate sulle risorse di Image Builder
Per informazioni su come creare un componente, vedere. [Usa i componenti per personalizzare l'immagine di Image Builder](manage-components.md)
### Limitazione dell'accesso dei componenti Image Builder a indirizzi IP specifici
L'esempio seguente concede a qualsiasi utente le autorizzazioni per eseguire qualsiasi operazione di Image Builder sui componenti. La richiesta deve, tuttavia, avere origine dall'intervallo di indirizzi IP specificati nella condizione.
La condizione di questa istruzione identifica l'intervallo 54.240.143.\$1 di indirizzi IP consentiti per la versione 4 (IPv4) del protocollo Internet, con un'eccezione: 54.240.143.188.
Il `Condition` blocco utilizza le `NotIpAddress` condizioni `IpAddress` and e la chiave condition, che è una chiave di condizione -wide. `aws:SourceIp` AWS Per ulteriori informazioni su queste chiavi di condizione, vedere [Specificazione delle condizioni in una politica](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html). I `aws:sourceIp` IPv4 valori utilizzano la notazione CIDR standard. Per ulteriori informazioni, consulta [Operatori di condizione con indirizzo IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) nella *Guida per l'utente di IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "IBPolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Action": "imagebuilder:GetComponent",
"Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
```
------