Image Builder e AWS PrivateLink endpoint di interfaccia VPC - EC2Image Builder
Considerazioni sugli endpoint Image Builder VPCCreare un VPC endpoint di interfaccia per Image BuilderCreare una policy per VPC gli endpoint per Image Builder

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Image Builder e AWS PrivateLink endpoint di interfaccia VPC

È possibile stabilire una connessione privata tra l'utente VPC e EC2 Image Builder creando un endpoint di interfaccia VPC. Gli endpoint dell'interfaccia sono alimentati da AWS PrivateLink, una tecnologia che consente di accedere in modo privato a Image APIs Builder senza un gateway Internet, un dispositivo NATVPN, una connessione o AWS Direct Connect connessione. Le istanze in uso VPC non necessitano di indirizzi IP pubblici per comunicare con Image APIs Builder. Il traffico tra te VPC e Image Builder non esce dalla rete Amazon.

Ogni endpoint dell'interfaccia è rappresentato da una o più interfacce di rete elastiche nelle tue sottoreti. Quando crei una nuova immagine, puoi specificare il VPC subnet-id nella configurazione dell'infrastruttura.

Nota

Ogni servizio a cui si accede dall'interno di un VPC ha il proprio endpoint di interfaccia, con una propria policy per gli endpoint. Image Builder scarica il AWSTOE applicazione di gestione dei componenti e accede alle risorse gestite dai bucket S3 per creare immagini personalizzate. Per concedere l'accesso a tali bucket, devi aggiornare la policy degli endpoint S3 per consentirlo. Per ulteriori informazioni, consulta Politiche personalizzate per l'accesso ai bucket S3.

Per ulteriori informazioni sugli VPC endpoint, consulta Interface endpoints (VPC AWS PrivateLink) nella Amazon VPC User Guide.

Considerazioni sugli endpoint Image Builder VPC

Prima di configurare un VPC endpoint di interfaccia per Image Builder, assicurati di esaminare le proprietà e le limitazioni degli endpoint dell'interfaccia nella Amazon VPC User Guide.

Image Builder supporta l'esecuzione di chiamate a tutte le sue API azioni dal tuo. VPC

Creare un VPC endpoint di interfaccia per Image Builder

Per creare un VPC endpoint per il servizio Image Builder, puoi utilizzare la console VPC Amazon o il AWS Command Line Interface (AWS CLI). Per ulteriori informazioni, consulta Creazione di un endpoint di interfaccia nella Amazon VPC User Guide.

Creare un VPC endpoint per Image Builder utilizzando il seguente nome di servizio:

  • com.amazonaws.region.generatore di immagini

Se abiliti private DNS per l'endpoint, puoi effettuare API richieste a Image Builder utilizzando il nome DNS predefinito per la regione, ad esempio:. imagebuilder.us-east-1.amazonaws.com Per cercare l'endpoint applicabile alla regione di destinazione, consulta Endpoint e quote di EC2 Image Builder nel Riferimenti generali di Amazon Web Services.

Per ulteriori informazioni, consulta Accedere a un servizio tramite un endpoint di interfaccia nella Amazon VPC User Guide.

Creare una policy per VPC gli endpoint per Image Builder

È possibile allegare all'endpoint una policy per gli VPC endpoint che controlli l'accesso a Image Builder. La policy specifica le informazioni riportate di seguito:

  • Il principale che può eseguire operazioni.

  • Le azioni che possono essere eseguite.

  • Le risorse sui cui si possono eseguire azioni.

Se utilizzi componenti gestiti da Amazon nella tua ricetta, l'VPCendpoint per Image Builder deve consentire l'accesso alla seguente libreria di componenti di proprietà del servizio:

arn:aws:imagebuilder:region:aws:component/*

Importante

Quando viene applicata una policy non predefinita a un VPC endpoint di interfaccia per Image EC2 Builder, alcune richieste API non riuscite, ad esempio quelle RequestLimitExceeded provenienti da, potrebbero non essere registrate su AWS CloudTrail o Amazon CloudWatch.

Per ulteriori informazioni, consulta Controllare l'accesso ai servizi con VPC endpoint nella Amazon VPC User Guide.

Politiche personalizzate per l'accesso ai bucket S3

Image Builder utilizza un bucket S3 disponibile pubblicamente per archiviare e accedere a risorse gestite, come i componenti. Inoltre scarica il AWSTOE applicazione per la gestione dei componenti da un bucket S3 separato. Se utilizzi un VPC endpoint per Amazon S3 nel tuo ambiente, dovrai assicurarti che la tua policy sugli endpoint VPC S3 consenta a Image Builder di accedere ai seguenti bucket S3. I nomi dei bucket sono univoci per AWS Regione (region) e l'ambiente applicativo (environment). Image Builder e AWSTOE supportano i seguenti ambienti applicativi: prodpreprod, ebeta.

  • Il AWSTOE bucket per la gestione dei componenti:

    s3://ec2imagebuilder-toe-region-environment

    Esempio: s3://ec2 imagebuilder-toe-us-west -2-prod/*

  • Il bucket di risorse gestite di Image Builder:

    s3://ec2imagebuilder-managed-resources-region-environment/components

    Esempio: s3://ec2 -west-2-prod/components/* imagebuilder-managed-resources-us

VPCesempi di policy sugli endpoint

Questa sezione include esempi di policy personalizzate per gli VPC endpoint.

Criteri generali VPC sugli endpoint per le azioni di Image Builder

L'esempio seguente di policy endpoint per Image Builder nega l'autorizzazione all'eliminazione di immagini e componenti di Image Builder. La politica di esempio concede inoltre il permesso di eseguire tutte le altre azioni di EC2 Image Builder.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "imagebuilder:*",
        "Effect": "Allow",
        "Resource": "*"
    },
    {
        "Action": [
            "imagebuilder: DeleteImage"
        ],
        "Effect": "Deny",
        "Resource": "*",
    },
    {
        "Action": [
            "imagebuilder: DeleteComponent"
        ],
        "Effect": "Deny",
        "Resource": "*",
    }]
}
Limita l'accesso per organizzazione, consenti l'accesso gestito ai componenti

Il seguente esempio di policy sugli endpoint mostra come limitare l'accesso alle identità e alle risorse che appartengono alla tua organizzazione e fornire l'accesso ai componenti di Image Builder gestiti da Amazon. Replace (Sostituisci) region, principal-org-ide resource-org-id con i valori della tua organizzazione.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "principal-org-id",
          "aws:ResourceOrgID": "resource-org-id"
        }
      }
    },
    {
      "Sid": "AllowAccessToEC2ImageBuilderComponents",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "imagebuilder:GetComponent"
      ],
      "Resource": [
        "arn:aws:imagebuilder:region:aws:component/*"
      ]
    }
  ]
}
VPCpolicy sugli endpoint per l'accesso ai bucket Amazon S3

Il seguente esempio di policy per gli endpoint S3 mostra come fornire l'accesso ai bucket S3 utilizzati da Image Builder per creare immagini personalizzate. Replace (Sostituisci) region e environment con i valori della tua organizzazione. Aggiungi eventuali altre autorizzazioni richieste alla policy in base ai requisiti dell'applicazione.

Nota

Per le immagini Linux, se non specificate i dati utente nella ricetta dell'immagine, Image Builder aggiunge uno script per scaricare e installare l'agente Systems Manager sulle istanze di compilazione e test dell'immagine. Per scaricare l'agente, Image Builder accede al bucket S3 della regione di compilazione.

Per garantire che Image Builder possa avviare le istanze di build e test, aggiungi la seguente risorsa aggiuntiva alla tua policy sugli endpoint S3:

"arn:aws:s3:::amazon-ssm-region/*"

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowImageBuilderAccessToAppAndComponentBuckets",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::ec2imagebuilder-toe-region-environment/*",
        "arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*"
      ]
    }
  ]
}