EC2 Image Builder에 AWS 관리형 정책 사용 - EC2 이미지 빌더

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

EC2 Image Builder에 AWS 관리형 정책 사용

AWS 관리형 정책은 에서 생성 및 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수 있다는 점에 유의하세요. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 AWS 권한을 AWS 업데이트하면 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS 는 새 AWS 서비스 가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하세요.

AWSImageBuilderFullAccess 정책

은AWSImageBuilderFullAccess 정책은 연결된 역할에 대한 Image Builder 리소스에 대한 전체 액세스 권한을 부여하여 역할이 Image Builder 리소스를 나열, 설명, 생성, 업데이트 및 삭제할 수 있도록 허용합니다. 또한 이 정책은 리소스를 확인하거나 에 계정의 현재 리소스를 표시하는 데 AWS 서비스 필요한 관련 에 대상 권한을 부여합니다 AWS Management Console.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • Image Builder - 관리 권한이 부여되어 해당 역할이 Image Builder 리소스를 나열, 설명, 생성, 업데이트 및 삭제할 수 있습니다.

  • Amazon EC2 – 리소스 존재를 확인하거나 계정에 속한 리소스 목록을 가져오는 데 필요한 Amazon EC2 Describe 작업에 대한 액세스 권한이 부여됩니다.

  • IAM - 이름이 'imagebuilder'인 인스턴스 프로파일을 가져오고 사용하고, iam:GetRole API 작업을 통해 Image Builder 서비스 연결 역할의 존재를 확인하고, Image Builder 서비스 연결 역할을 생성할 수 있는 액세스 권한이 부여됩니다.

  • License Manager - 리소스에 대한 라이선스 구성 또는 라이선스를 나열할 수 있는 액세스 권한이 부여됩니다.

  • Amazon S3 - 계정에 속한 버킷과 이름에 ‘imagebuilder’가 포함된 Image Builder 버킷을 나열할 수 있는 액세스 권한이 부여됩니다.

  • Amazon SNS – “imagebuilder”가 포함된 주제에 대한 주제 소유권SNS을 확인할 수 있는 쓰기 권한이 Amazon에 부여됩니다.

정책 예제

다음은 의 예입니다.AWSImageBuilderFullAccess 정책.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "arn:aws:sns:*:*:*imagebuilder*" }, { "Effect": "Allow", "Action": [ "license-manager:ListLicenseConfigurations", "license-manager:ListLicenseSpecificationsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" }, { "Effect": "Allow", "Action": [ "iam:GetInstanceProfile" ], "Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*" }, { "Effect": "Allow", "Action": [ "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:instance-profile/*imagebuilder*", "arn:aws:iam::*:role/*imagebuilder*" ], "Condition": { "StringEquals": { "iam:PassedToService": "ec2.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3::*:*imagebuilder*" }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder", "Condition": { "StringLike": { "iam:AWSServiceName": "imagebuilder.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeSnapshots", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeVolumes", "ec2:DescribeSubnets", "ec2:DescribeKeyPairs", "ec2:DescribeSecurityGroups", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeLaunchTemplates" ], "Resource": "*" } ] }

AWSImageBuilderReadOnlyAccess 정책

은AWSImageBuilderReadOnlyAccess 정책은 모든 Image Builder 리소스에 대한 읽기 전용 액세스를 제공합니다. iam:GetRole API 작업을 통해 Image Builder 서비스 연결 역할이 존재하는지 확인할 수 있는 권한이 부여됩니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • Image Builder - Image Builder 리소스에 대한 읽기 전용 액세스 권한이 부여됩니다.

  • IAM - iam:GetRole API 작업을 통해 Image Builder 서비스 연결 역할의 존재를 확인할 수 있는 액세스 권한이 부여됩니다.

정책 예제

다음은 의 예입니다.AWSImageBuilderReadOnlyAccess 정책.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:Get*", "imagebuilder:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" } ] }

AWSServiceRoleForImageBuilder 정책

은AWSServiceRoleForImageBuilder 정책은 Image Builder AWS 서비스 가 사용자를 대신하여 호출할 수 있도록 허용합니다.

권한 세부 정보

이 정책은 Image Builder 서비스 연결 역할이 Systems Manager를 통해 생성될 때 해당 역할에 연결됩니다. Image Builder 서비스 연결 역할에 대한 자세한 내용은 Image Builder에 IAM 서비스 연결 역할 사용 섹션을 참조하세요.

다음 정책에는 이러한 권한이 포함됩니다.

  • CloudWatch 로그 - 이름이 로 시작하는 모든 로그 그룹에 CloudWatch 로그를 생성하고 업로드할 수 있는 액세스 권한이 부여됩니다/aws/imagebuilder/.

  • Amazon EC2 - 생성 또는 사용 중인 이미지, EC2 인스턴스 및 볼륨에 CreatedBy: EC2 Image Builder 또는 가 태그되어 있는 한 필요에 따라 관련 스냅샷, 볼륨, 네트워크 인터페이스, 서브넷, 보안 그룹, 라이선스 구성 및 키 페어를 사용하여 Image Builder가 계정에서 이미지를 생성하고 인스턴스를 시작할 수 있는 액세스 권한이 부여됩니다CreatedBy: EC2 Fast Launch.

    Image Builder는 Amazon EC2 이미지, 인스턴스 속성, 인스턴스 상태, 계정에서 사용할 수 있는 인스턴스 유형, 시작 템플릿, 서브넷, 호스트 및 Amazon EC2 리소스의 태그에 대한 정보를 가져올 수 있습니다.

    Image Builder는 이미지 설정을 업데이트하여 이미지에 CreatedBy: EC2 Image Builder 태그가 지정된 계정에서 Windows 인스턴스의 빠른 실행을 활성화하거나 비활성화할 수 있습니다.

    또한 Image Builder는 계정에서 실행 중인 인스턴스를 시작, 중지 및 종료하고, Amazon EBS 스냅샷을 공유하고, 이미지를 생성 및 업데이트하고, 템플릿을 시작하고, 기존 이미지를 등록 취소하고, 태그를 추가하고, 를 통해 권한을 부여한 계정 전체에서 이미지를 복제할 수 있습니다. Ec2ImageBuilderCrossAccountDistributionAccess 정책. 앞에서 설명한 대로 이러한 모든 작업에는 Image Builder 태그 지정이 필요합니다.

  • Amazon ECR - 컨테이너 이미지 취약성 스캔에 필요한 경우 Image Builder가 리포지토리를 생성하고 생성된 리소스에 태그를 지정하여 작업 범위를 제한할 수 있는 액세스 권한이 부여됩니다. 또한 Image Builder가 취약성 스냅샷을 생성한 후 스캔을 위해 생성한 컨테이너 이미지를 삭제할 수 있는 액세스 권한도 부여됩니다.

  • EventBridge – Image Builder가 EventBridge 규칙을 생성하고 관리할 수 있는 액세스 권한이 부여됩니다.

  • IAM - Image Builder가 계정의 모든 역할을 Amazon EC2, VM Import/Export에 전달할 수 있는 액세스 권한이 부여됩니다.

  • Amazon Inspector - Image Builder는 Amazon Inspector가 빌드 인스턴스 스캔을 완료하는 시점을 결정하고 이를 허용하도록 구성된 이미지에 대한 결과를 수집할 수 있는 액세스 권한이 부여됩니다.

  • AWS KMS - Amazon EBS 볼륨을 암호화, 복호화 또는 재암호화EBS할 수 있는 액세스 권한이 Amazon에 부여됩니다. 이는 Image Builder가 이미지를 빌드할 때 암호화된 볼륨이 작동하도록 하는 데 매우 중요합니다.

  • 라이선스 관리자 - Image Builder에 license-manager:UpdateLicenseSpecificationsForResource를 통해 라이선스 관리자 사양을 업데이트할 수 있는 액세스 권한이 부여됩니다.

  • Amazon SNS – 계정의 모든 Amazon SNS 주제에 대해 쓰기 권한이 부여됩니다.

  • Systems Manager – Image Builder가 Systems Manager 명령 및 해당 호출, 인벤토리 항목 을 나열하고, 인스턴스 정보 및 자동화 실행 상태를 설명하고, 인스턴스 배치 지원을 위한 호스트를 설명하고, 명령 호출 세부 정보를 가져올 수 있는 액세스 권한이 부여됩니다. 또한 Image Builder는 자동화 신호를 보내고 계정의 모든 리소스에 대한 자동화 실행을 중지할 수 있습니다.

    Image Builder는 AWS-RunPowerShellScript, AWS-RunShellScript 또는 AWSEC2-RunSysprep 스크립트 파일에 "CreatedBy": "EC2 Image Builder" 태그가 지정된 모든 인스턴스에 실행 명령 간접 호출을 실행할 수 있습니다. Image Builder를 사용하면 사용자 계정에서 이름이 ImageBuilder로 시작하는 자동화 문서에 대해 Systems Manager 자동화 실행을 시작할 수 있습니다.

    Image Builder는 또한 연결 문서가 AWS-GatherSoftwareInventory인 경우에 한해 사용자 계정의 모든 인스턴스에 대해 상태 관리자 연결을 만들거나 삭제할 수 있으며 사용자 계정에서 Systems Manager 서비스 연결 역할을 생성할 수 있습니다.

  • AWS STS – Image Builder가 라는 역할을 수임할 수 있는 액세스 권한이 부여됩니다. EC2ImageBuilderDistributionCrossAccountRole 계정에서 역할의 신뢰 정책이 허용하는 모든 계정으로. 교차 계정 Image Builder에 사용됩니다.

이 정책에 대한 권한을 보려면 섹션을 참조하세요. AWSServiceRoleForImageBuilder AWS 관리형 정책 참조의 .

Ec2ImageBuilderCrossAccountDistributionAccess 정책

은Ec2ImageBuilderCrossAccountDistributionAccess 정책은 Image Builder가 대상 리전의 계정 간에 이미지를 배포할 수 있는 권한을 부여합니다. 또한 Image Builder는 계정의 모든 Amazon EC2 이미지에 태그를 설명, 복사 및 적용할 수 있습니다. 또한 이 정책은 ec2:ModifyImageAttribute API 작업을 통해 AMI 권한을 수정할 수 있는 기능을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • Amazon EC2 - Amazon이 이미지의 속성을 EC2 설명, 복사 및 수정하고 계정의 모든 Amazon EC2 이미지에 대한 태그를 생성할 수 있는 액세스 권한이 부여됩니다.

정책 예제

다음은 의 예입니다.Ec2ImageBuilderCrossAccountDistributionAccess 정책.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*::image/*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" } ] }

EC2ImageBuilderLifecycleExecutionPolicy 정책

은EC2ImageBuilderLifecycleExecutionPolicy 정책은 Image Builder가 이미지 수명 주기 관리 작업에 대한 자동 규칙을 지원하기 위해 Image Builder 이미지 리소스 및 기본 리소스(AMIs, 스냅샷)의 사용 중지, 비활성화 또는 삭제와 같은 작업을 수행할 수 있는 권한을 부여합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • Amazon EC2 - Amazon이 로 태그가 지정된 계정의 Amazon Machine Images(AMIs)에 대해 다음 작업을 EC2 수행할 수 있는 액세스 권한이 부여됩니다CreatedBy: EC2 Image Builder.

    • 를 활성화 및 비활성화합니다AMI.

    • 이미지 사용 중지 활성화 및 비활성화.

    • 를 설명하고 등록 취소합니다AMI.

    • AMI 이미지 속성을 설명하고 수정합니다.

    • 와 연결된 볼륨 스냅샷을 삭제합니다AMI.

    • 리소스에 대한 태그 검사.

    • 사용 중지를 AMI 위해 에서 태그를 추가하거나 제거합니다.

  • Amazon ECR – Amazon이 LifecycleExecutionAccess: EC2 Image Builder 태그를 사용하여 ECR리포지토리에 대해 다음 배치 작업을 ECR 수행할 수 있는 액세스 권한이 부여됩니다. 일괄 작업은 자동화된 컨테이너 이미지 수명 주기 규칙을 지원합니다.

    • ecr:BatchGetImage

    • ecr:BatchDeleteImage

    로 태그가 지정된 리포지토리의 경우 리ECR포지토리 수준에서 액세스 권한이 부여됩니다LifecycleExecutionAccess: EC2 Image Builder.

  • AWS 리소스 그룹 - Image Builder가 태그를 기반으로 리소스를 가져올 수 있는 액세스 권한이 부여됩니다.

  • EC2 Image Builder - Image Builder 이미지 리소스를 삭제할 수 있는 액세스 권한이 Image Builder에 부여됩니다.

정책 예제

다음은 의 예입니다.EC2ImageBuilderLifecycleExecutionPolicy 정책.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Ec2ImagePermission", "Effect": "Allow", "Action": [ "ec2:EnableImage", "ec2:DeregisterImage", "ec2:EnableImageDeprecation", "ec2:DescribeImageAttribute", "ec2:DisableImage", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2DeleteSnapshotPermission", "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2TagsPermission", "Effect": "Allow", "Action": [ "ec2:DeleteTags", "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ], "Condition": { "StringEquals": { "aws:RequestTag/DeprecatedBy": "EC2 Image Builder", "aws:ResourceTag/CreatedBy": "EC2 Image Builder" }, "ForAllValues:StringEquals": { "aws:TagKeys": "DeprecatedBy" } } }, { "Sid": "ECRImagePermission", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:BatchDeleteImage" ], "Resource": "arn:aws:ecr:*:*:repository/*", "Condition": { "StringEquals": { "ecr:ResourceTag/LifecycleExecutionAccess": "EC2 Image Builder" } } }, { "Sid": "ImageBuilderEC2TagServicePermission", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "tag:GetResources", "imagebuilder:DeleteImage" ], "Resource": "*" } ] }

EC2InstanceProfileForImageBuilder 정책

은EC2InstanceProfileForImageBuilder 정책은 EC2 인스턴스가 Image Builder에서 작업하는 데 필요한 최소 권한을 부여합니다. Systems Manager 에이전트를 사용하는 데 필요한 권한은 여기에 포함되지 않습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • CloudWatch 로그 - 이름이 로 시작하는 모든 로그 그룹에 CloudWatch 로그를 생성하고 업로드할 수 있는 액세스 권한이 부여됩니다/aws/imagebuilder/.

  • Image Builder - 모든 Image Builder 구성 요소를 가져올 수 있는 액세스 권한이 부여됩니다.

  • AWS KMS – Image Builder 구성 요소가 를 통해 암호화된 경우 복호화할 수 있는 액세스 권한이 부여됩니다 AWS KMS.

  • Amazon S3 - 이름이 ec2imagebuilder-(으)로 시작하는 Amazon S3 버킷에 저장된 객체를 가져올 수 있는 액세스 권한이 부여됩니다.

정책 예제

다음은 의 예입니다.EC2InstanceProfileForImageBuilder 정책.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }

EC2InstanceProfileForImageBuilderECRContainerBuilds 정책

은EC2InstanceProfileForImageBuilderECRContainerBuilds 정책은 Image Builder를 사용하여 Docker 이미지를 빌드한 다음 Amazon ECR 컨테이너 리포지토리에 이미지를 등록하고 저장할 때 EC2 인스턴스에 필요한 최소 권한을 부여합니다. Systems Manager 에이전트를 사용하는 데 필요한 권한은 여기에 포함되지 않습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • CloudWatch 로그 - 이름이 로 시작하는 모든 로그 그룹에 CloudWatch 로그를 생성하고 업로드할 수 있는 액세스 권한이 부여됩니다/aws/imagebuilder/.

  • Amazon ECR - Amazon이 컨테이너 이미지를 ECR 가져오고, 등록하고, 저장하고, 권한 부여 토큰을 가져올 수 있는 액세스 권한이 부여됩니다.

  • Image Builder - Image Builder 구성 요소 또는 컨테이너 레시피를 가져올 수 있는 액세스 권한이 부여됩니다.

  • AWS KMS - 를 통해 암호화된 경우 Image Builder 구성 요소 또는 컨테이너 레시피를 해독할 수 있는 액세스 권한이 부여됩니다 AWS KMS.

  • Amazon S3 - 이름이 ec2imagebuilder-(으)로 시작하는 Amazon S3 버킷에 저장된 객체를 가져올 수 있는 액세스 권한이 부여됩니다.

정책 예제

다음은 의 예입니다.EC2InstanceProfileForImageBuilderECRContainerBuilds 정책.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent", "imagebuilder:GetContainerRecipe", "ecr:GetAuthorizationToken", "ecr:BatchGetImage", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:PutImage" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }

AWS 관리형 정책에 대한 Image Builder 업데이트

이 섹션에서는 이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 Image Builder의 AWS 관리형 정책 업데이트에 대한 정보를 제공합니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 Image Builder 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 사항 설명 날짜

EC2ImageBuilderLifecycleExecutionPolicy - 새 정책

Image Builder는 이미지 수명 주기 관리에 대한 권한이 포함된 새 EC2ImageBuilderLifecycleExecutionPolicy 정책을 추가했습니다.

2023년 11월 17일

AWSServiceRoleForImageBuilder-기존 정책 업데이트

Image Builder는 인스턴스 배치 지원을 제공하기 위해 서비스 역할을 다음과 같이 변경했습니다.

  • 인스턴스를 시작하는 유효한 상태인지 확인하기 hostId 위해 폴링할 ec2:DescribeHosts enable Image Builder가 추가되었습니다.

  • Image Builder가 명령 호출의 세부 정보를 가져오는 데 사용하는 방법을 개선하기 위한 ssm:GetCommandInvocation API 작업이 추가되었습니다.

2023년 10월 19일

AWSServiceRoleForImageBuilder -기존 정책 업데이트

Image Builder는 인스턴스 배치 지원을 제공하기 위해 서비스 역할을 다음과 같이 변경했습니다.

  • 인스턴스를 시작하기 위한 유효한 상태인지 확인하기 hostId 위해 폴링할 ec2:DescribeHosts enable Image Builder가 추가되었습니다.

  • Image Builder가 명령 호출의 세부 정보를 가져오는 데 사용하는 방법을 개선하기 위한 ssm:GetCommandInvocation API 작업이 추가되었습니다.

2023년 9월 28일

AWSServiceRoleForImageBuilder -기존 정책 업데이트

Image Builder는 Image Builder 워크플로가 AMI 및 ECR 컨테이너 이미지 빌드 모두에 대한 취약성 결과를 수집할 수 있도록 서비스 역할을 다음과 같이 변경했습니다. 새 권한은 CVE 감지 및 보고 기능을 지원합니다.

  • Image BuilderListFindings 가 Amazon Inspector가 테스트 인스턴스 스캔을 완료하는 시기를 결정하고 허용하도록 구성된 이미지에 대한 결과를 수집할 수 있도록 Inspector2:ListCoverage 및 Inspector2:를 추가했습니다. Amazon Inspector

  • Image Builder가 리포지토리에 CreatedBy: EC2 Image Builder () 태그를 지정해야 한다는 요구 사항과 CreateRepository함께 ecr:이 추가되었습니다tag-on-create. 또한 동일한 CreatedBy 태그 제약 조건을 가진 ecr:TagResource (에 필요 tag-on-create) 및 리포지토리 이름이 로 시작해야 하는 추가 제약 조건을 추가했습니다image-builder-*. 이런 이름 제약 조건은 권한 에스컬레이션을 방지하고 Image Builder가 생성하지 않은 리포지토리의 변경을 방지합니다.

  • 로 태그가 지정된 ECR 리포지토리에 BatchDeleteImage 대한 ecr:을 추가했습니다CreatedBy: EC2 Image Builder. 이 권한을 사용하려면 리포지토리 이름이 image-builder-*(으)로 시작해야 합니다.

  • Image Builder가 이름에 포함된 Amazon EventBridge 관리형 규칙을 생성하고 관리할 ImageBuilder-* 수 있는 이벤트 권한이 추가되었습니다.

2023년 3월 30일

AWSServiceRoleForImageBuilder-기존 정책 업데이트

Image Builder는 서비스 역할을 다음과 같이 변경했습니다.

  • 고객이 라이선스 구성과 연결된 기본 이미지를 사용할 수 있도록 License Manager 라이선스를 ec2:RunInstance call의 리소스로 추가AMIs했습니다.

2022년 3월 22일

AWSServiceRoleForImageBuilder-기존 정책 업데이트

Image Builder는 서비스 역할을 다음과 같이 변경했습니다.

  • Windows 인스턴스에 대한 더 빠른 시작을 활성화 및 비활성화하는 EC2 EnableFastLaunch API 작업에 대한 권한이 추가되었습니다.

  • ec2:CreateTags action 및 리소스 태그 조건에 대한 범위를 더 강화했습니다.

2022년 2월 21일

AWSServiceRoleForImageBuilder-기존 정책 업데이트

Image Builder는 서비스 역할을 다음과 같이 변경했습니다.

  • VMIE 서비스를 호출하여 VM을 가져오고 VMAMI에서 기반을 생성할 수 있는 권한이 추가되었습니다.

  • ec2:CreateTags action 및 리소스 태그 조건에 대한 범위를 강화했습니다.

2021년 11월 20일

AWSServiceRoleForImageBuilder-기존 정책 업데이트

Image Builder는 둘 이상의 인벤토리 연결로 인해 이미지 빌드가 중단되는 문제를 해결하기 위해 새 사용 권한을 추가했습니다.

2021년 8월 11일

AWSImageBuilderFullAccess-기존 정책 업데이트

Image Builder는 전체 액세스 역할을 다음과 같이 변경했습니다.

  • ec2:DescribeInstanceTypeOffereings(을)를 허용하는 권한 추가.

  • Image Builder 콘솔이 계정에서 사용 가능한 인스턴스 유형을 정확하게 반영하도록 ec2:DescribeInstanceTypeOffereings(을)를 호출할 수 있는 권한이 추가되었습니다.

2021년 4월 13일

Image Builder에서 변경 내용 추적 시작

Image Builder는 AWS 관리형 정책에 대한 변경 사항을 추적하기 시작했습니다.

2021년 4월 2일