Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Image Builder e endpoint AWS PrivateLink VPC di interfaccia
<a name="vpc-interface-endpoints"></a>

*È possibile stabilire una connessione privata tra il VPC e EC2 Image Builder creando un endpoint VPC di interfaccia.* Gli endpoint di interfaccia sono alimentati da [AWS PrivateLink](https://aws.amazon.com/privatelink/), una tecnologia che consente di accedere in modo privato a Image APIs Builder senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare con Image Builder. APIs Il traffico tra il tuo VPC e Image Builder non esce dalla rete Amazon.

Ogni endpoint dell'interfaccia è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nelle sottoreti. Quando crei una nuova immagine, puoi specificare il subnet-id VPC nella configurazione dell'infrastruttura.

**Nota**  
Ogni servizio a cui accedi dall'interno di un VPC ha un proprio endpoint di interfaccia, con una propria policy per gli endpoint. Image Builder scarica l'applicazione di gestione AWSTOE dei componenti e accede alle risorse gestite dai bucket S3 per creare immagini personalizzate. Per concedere l'accesso a tali bucket, è necessario aggiornare la policy degli endpoint S3 per consentirlo. Per ulteriori informazioni, consulta [Politiche personalizzate per l'accesso ai bucket S3](#vpc-endpoint-policy-s3).

Per ulteriori informazioni sugli endpoint dei VPC, consulta [Endpoint VPC di interfaccia (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella *Guida per l'utente di Amazon VPC*.

## Considerazioni sugli endpoint VPC di Image Builder
<a name="vpc-endpoint-considerations"></a>

*Prima di configurare un endpoint VPC di interfaccia per Image Builder, assicurati di esaminare le proprietà [e le limitazioni degli endpoint dell'interfaccia nella Amazon VPC User Guide](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations).*

Image Builder supporta l'esecuzione di chiamate a tutte le sue azioni API dal tuo VPC. 

## Creare un endpoint VPC di interfaccia per Image Builder
<a name="vpc-endpoint-create"></a>

Per creare un endpoint VPC per il servizio Image Builder, puoi utilizzare la console Amazon VPC o (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consultare [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint) nella *Guida per l’utente di Amazon VPC*.

Crea un endpoint VPC per Image Builder utilizzando il seguente nome di servizio: 
+ com.amazonaws. *region*.generatore di immagini

Se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API a Image Builder utilizzando il nome DNS predefinito per la regione, ad esempio:. `imagebuilder.us-east-1.amazonaws.com` Per cercare l'endpoint che si applica alla tua regione di destinazione, consulta [Endpoint e quote di EC2 Image Builder](https://docs.aws.amazon.com/general/latest/gr/imagebuilder.html#imagebuilder_region) nel. *Riferimenti generali di Amazon Web Services*

Per ulteriori informazioni, consultare [Accesso a un servizio tramite un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#access-service-though-endpoint) in *Guida per l'utente di Amazon VPC*.

## Crea una policy per gli endpoint VPC per Image Builder
<a name="vpc-endpoint-policy"></a>

Puoi allegare una policy per gli endpoint all'endpoint VPC che controlla l'accesso a Image Builder. La policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.

Se utilizzi componenti gestiti da Amazon nella tua ricetta, l'endpoint VPC per Image Builder deve consentire l'accesso alla seguente libreria di componenti di proprietà del servizio:

`arn:aws:imagebuilder:region:aws:component/*`

**Importante**  
Quando viene applicata una policy non predefinita a un endpoint VPC di interfaccia per EC2 Image Builder, alcune richieste API non riuscite, come quelle che non `RequestLimitExceeded` riescono, potrebbero non essere registrate su Amazon o su Amazon. AWS CloudTrail CloudWatch

Per ulteriori informazioni, consulta [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Guida per l’utente di Amazon VPC.*

### Politiche personalizzate per l'accesso ai bucket S3
<a name="vpc-endpoint-policy-s3"></a>

Image Builder utilizza un bucket S3 disponibile pubblicamente per archiviare e accedere a risorse gestite, come i componenti. Inoltre, scarica l'applicazione per la gestione dei AWSTOE componenti da un bucket S3 separato. Se utilizzi un endpoint VPC per Amazon S3 nel tuo ambiente, dovrai assicurarti che la policy degli endpoint VPC S3 consenta a Image Builder di accedere ai seguenti bucket S3. I nomi dei bucket sono univoci per AWS regione () e ambiente applicativo (). *region* *environment* Image Builder e AWSTOE supportano i seguenti ambienti applicativi: `prod``preprod`, e. `beta`
+ Il bucket di gestione dei AWSTOE componenti:

  ```
  s3://ec2imagebuilder-toe-region-environment
  ```

  **Esempio:** s3://ec2 imagebuilder-toe-us-west -2-prod/\$1
+ Il bucket di risorse gestite di Image Builder:

  ```
  s3://ec2imagebuilder-managed-resources-region-environment/components
  ```

  **Esempio: s3://ec2** -west-2-prod/components/\$1 imagebuilder-managed-resources-us

### Esempi di policy di endpoint VPC
<a name="vpc-endpoint-policy-examples"></a>

Questa sezione include esempi di policy personalizzate per gli endpoint VPC.

**Politica generale degli endpoint VPC per le azioni di Image Builder**  
L'esempio seguente di policy endpoint per Image Builder nega l'autorizzazione all'eliminazione di immagini e componenti di Image Builder. La policy di esempio concede anche il permesso di eseguire tutte le altre azioni di EC2 Image Builder.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "imagebuilder:*",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "imagebuilder:DeleteImage",
            "Effect": "Deny",
            "Resource": "*"
        },
        {
            "Action": "imagebuilder:DeleteComponent",
            "Effect": "Deny",
            "Resource": "*"
        }
    ]
}
```

------

**Limita l'accesso per organizzazione, consenti l'accesso gestito ai componenti**  
Il seguente esempio di policy sugli endpoint mostra come limitare l'accesso alle identità e alle risorse che appartengono alla tua organizzazione e fornire l'accesso ai componenti di Image Builder gestiti da Amazon. Sostituisci *region* e *resource-org-id* con *principal-org-id* i valori della tua organizzazione.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "principal-org-id",
                    "aws:ResourceOrgID": "resource-org-id"
                }
            }
        },
        {
            "Sid": "AllowAccessToEC2ImageBuilderComponents",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "imagebuilder:GetComponent"
            ],
            "Resource": [
                "arn:aws:imagebuilder:us-east-1:aws:component/*"
            ]
        }
    ]
}
```

------

**Policy degli endpoint VPC per l'accesso ai bucket Amazon S3**  
Il seguente esempio di policy per gli endpoint S3 mostra come fornire l'accesso ai bucket S3 utilizzati da Image Builder per creare immagini personalizzate. Sostituisci *region* e *environment* con i valori della tua organizzazione. Aggiungi eventuali altre autorizzazioni richieste alla policy in base ai requisiti dell'applicazione.

**Nota**  
Per le immagini Linux, se non specificate i dati utente nella ricetta dell'immagine, Image Builder aggiunge uno script per scaricare e installare l'agente Systems Manager sulle istanze di compilazione e test dell'immagine. Per scaricare l'agente, Image Builder accede al bucket S3 della regione di compilazione.  
Per garantire che Image Builder possa avviare le istanze di build e test, aggiungi la seguente risorsa aggiuntiva alla tua policy sugli endpoint S3:  
"`arn:aws:s3:::amazon-ssm-region/*`"

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowImageBuilderAccessToAppAndComponentBuckets",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::ec2imagebuilder-toe-region-environment/*",
        "arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*"
      ]
    }
  ]
}
```

------