기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
EC2 Image Builder용 AWS 관리형 정책 사용
AWS 관리형 정책은 에서 생성하고 관리하는 독립형 정책입니다. AWS AWS 관리형 정책은 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었으므로 사용자, 그룹 및 역할에 권한을 할당하기 시작할 수 있습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수도 있다는 점에 유의하세요. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.
관리형 정책에 정의된 권한은 변경할 수 없습니다. AWS AWS 관리형 정책에 정의된 권한을 업데이트하는 경우 AWS 해당 업데이트는 정책이 연결된 모든 주체 ID (사용자, 그룹, 역할) 에 영향을 미칩니다. AWS 새 API 작업이 시작되거나 기존 서비스에 새 AWS 서비스 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 가장 높습니다.
자세한 내용은 IAM 사용자 설명서의 AWS 관리형 정책을 참조하세요.
AWSImageBuilderFullAccess 정책
AWSImageBuilderFullAccess 정책은 연결된 역할에 Image Builder 리소스에 대한 전체 액세스 권한을 부여하여 역할이 Image Builder 리소스를 나열, 설명, 생성, 업데이트 및 삭제할 수 있도록 허용합니다. 또한 정책은 예를 들어 리소스를 확인하거나 계정의 현재 리소스를 표시하는 데 필요한 관련 AWS 서비스 사용자에게 대상 권한을 AWS Management Console부여합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
Image Builder - 관리 권한이 부여되어 해당 역할이 Image Builder 리소스를 나열, 설명, 생성, 업데이트 및 삭제할 수 있습니다.
-
Amazon EC2 - 리소스 존재를 확인하거나 계정에 속한 리소스 목록을 가져오는 데 필요한 Amazon EC2 Describe 작업에 대한 액세스 권한이 부여됩니다.
-
IAM - 이름에 ‘imagebuilder’가 포함된 인스턴스 프로필을 가져와 사용하고,
iam:GetRoleAPI 작업을 통해 Image Builder 서비스 연결 역할이 있는지 확인하고, Image Builder 서비스 연결 역할을 생성할 수 있는 액세스 권한이 부여됩니다. -
License Manager - 리소스에 대한 라이선스 구성 또는 라이선스를 나열할 수 있는 액세스 권한이 부여됩니다.
-
Amazon S3 - 계정에 속한 버킷과 이름에 ‘imagebuilder’가 포함된 Image Builder 버킷을 나열할 수 있는 액세스 권한이 부여됩니다.
-
Amazon SNS - Amazon SNS에 ‘imagebuilder’를 포함하는 주제에 대한 주제 소유권을 확인할 수 있는 쓰기 권한이 부여됩니다.
정책 예제
다음은 AWSImageBuilderFullAccess 정책 예제입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "arn:aws:sns:*:*:*imagebuilder*" }, { "Effect": "Allow", "Action": [ "license-manager:ListLicenseConfigurations", "license-manager:ListLicenseSpecificationsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" }, { "Effect": "Allow", "Action": [ "iam:GetInstanceProfile" ], "Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*" }, { "Effect": "Allow", "Action": [ "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:instance-profile/*imagebuilder*", "arn:aws:iam::*:role/*imagebuilder*" ], "Condition": { "StringEquals": { "iam:PassedToService": "ec2.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3::*:*imagebuilder*" }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder", "Condition": { "StringLike": { "iam:AWSServiceName": "imagebuilder.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeSnapshots", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeVolumes", "ec2:DescribeSubnets", "ec2:DescribeKeyPairs", "ec2:DescribeSecurityGroups", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeLaunchTemplates" ], "Resource": "*" } ] }
AWSImageBuilderReadOnlyAccess 정책
이 AWSImageBuilderReadOnlyAccess 정책은 모든 Image Builder 리소스에 대한 읽기 전용 액세스 권한을 제공합니다. iam:GetRole API 작업을 통해 Image Builder 서비스 연결 역할이 존재하는지 확인할 수 있는 권한이 부여됩니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
Image Builder - Image Builder 리소스에 대한 읽기 전용 액세스 권한이 부여됩니다.
-
IAM - API 작업을 통해 Image Builder 서비스 연결 역할이 있는지 확인할 수 있는 액세스 권한이 부여됩니다
iam:GetRole.
정책 예제
다음은 AWSImageBuilderReadOnlyAccess 정책 예제입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:Get*", "imagebuilder:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" } ] }
AWSServiceRoleForImageBuilder 정책
이 AWSServiceRoleForImageBuilder정책은 Image Builder가 사용자를 대신하여 전화를 걸 AWS 서비스 수 있도록 허용합니다.
권한 세부 정보
이 정책은 Image Builder 서비스 연결 역할이 Systems Manager를 통해 생성될 때 해당 역할에 연결됩니다. 부여된 특정 권한을 검토하려면 이 섹션의 정책 예를 참조하세요. Image Builder 서비스 연결 역할에 대한 자세한 내용은 EC2 Image Builder에 IAM 서비스 연결 역할 사용 섹션을 참조하세요.
다음 정책에는 이러한 권한이 포함됩니다.
-
CloudWatch 로그 - 이름이 로 시작하는 모든 로그 그룹에 CloudWatch 로그를 생성하고 업로드할 수 있는 액세스 권한이 부여됩니다
/aws/imagebuilder/. -
Amazon EC2-Image Builder는 필요에 따라 관련 스냅샷, 볼륨, 네트워크 인터페이스, 서브넷, 보안 그룹, 라이선스 구성, 키 페어를 사용하여 계정에서 이미지를 생성하고 EC2 인스턴스를 시작할 수 있습니다. 단, 생성 또는 사용 중인 이미지, 인스턴스, 볼륨에
CreatedBy: EC2 Image Builder또는CreatedBy: EC2 Fast Launch태그가 지정되어 있어야 합니다.Image Builder는 Amazon EC2 이미지, 인스턴스 속성, 인스턴스 상태, 계정에서 사용할 수 있는 인스턴스 유형, 시작 템플릿, 서브넷, 호스트, Amazon EC2 리소스의 태그에 대한 정보를 가져올 수 있습니다.
Image Builder는 이미지 설정을 업데이트하여 이미지에
CreatedBy: EC2 Image Builder태그가 지정된 계정에서 Windows 인스턴스의 빠른 실행을 활성화하거나 비활성화할 수 있습니다.또한 Image Builder는 계정에서 실행 중인 인스턴스를 시작, 중지 및 종료하고, Amazon EBS 스냅샷을 공유하고, 이미지를 생성 및 업데이트하고, 템플릿을 시작하고, 기존 이미지를 등록 취소하고, 태그를 추가하고, Ec2ImageBuilderCrossAccountDistributionAccess 정책을 통해 권한을 부여한 계정 간에 이미지를 복제할 수 있습니다. 앞에서 설명한 대로 이러한 모든 작업에는 Image Builder 태그 지정이 필요합니다.
-
Amazon ECR - Image Builder는 컨테이너 이미지 취약성 스캔에 필요한 경우 리포지토리를 생성하고 생성한 리소스에 태그를 지정하여 작업 범위를 제한할 수 있는 액세스 권한을 부여합니다. 또한 Image Builder가 취약성 스냅샷을 생성한 후 스캔을 위해 생성한 컨테이너 이미지를 삭제할 수 있는 액세스 권한도 부여됩니다.
-
EventBridge— Image Builder에서 EventBridge 규칙을 생성하고 관리할 수 있는 액세스 권한이 부여됩니다.
-
IAM - Image Builder가 사용자 계정의 모든 역할을 Amazon EC2와 VM Import/Export에 넘길 수 있는 액세스 권한이 부여됩니다.
-
Amazon Inspector - Image Builder는 Amazon Inspector가 빌드 인스턴스 스캔을 완료하는 시점을 결정하고 이를 허용하도록 구성된 이미지에 대한 결과를 수집할 수 있는 액세스 권한이 부여됩니다.
-
AWS KMS - Amazon EBS에 Amazon EBS 볼륨을 암호화, 복호화 또는 재암호화할 수 있는 액세스 권한이 부여됩니다. 이는 Image Builder가 이미지를 빌드할 때 암호화된 볼륨이 작동하도록 하는 데 매우 중요합니다.
-
라이선스 관리자 - Image Builder에
license-manager:UpdateLicenseSpecificationsForResource를 통해 라이선스 관리자 사양을 업데이트할 수 있는 액세스 권한이 부여됩니다. -
Amazon SNS-계정 내 모든 Amazon SNS 주제에 대한 쓰기 권한이 부여됩니다.
-
Systems Manager-Image Builder에서 Systems Manager 명령 및 호출, 인벤토리 항목을 나열하고, 인스턴스 정보와 자동화 실행 상태를 설명하고, 명령 간접 호출 세부 정보를 가져올 수 있는 액세스 권한이 부여됩니다. 또한 Image Builder는 자동화 신호를 보내고 계정의 모든 리소스에 대한 자동화 실행을 중지할 수 있습니다.
Image Builder는
AWS-RunPowerShellScript,AWS-RunShellScript또는AWSEC2-RunSysprep스크립트 파일에"CreatedBy": "EC2 Image Builder"태그가 지정된 모든 인스턴스에 실행 명령 간접 호출을 실행할 수 있습니다. Image Builder를 사용하면 사용자 계정에서 이름이ImageBuilder로 시작하는 자동화 문서에 대해 Systems Manager 자동화 실행을 시작할 수 있습니다.Image Builder는 또한 연결 문서가
AWS-GatherSoftwareInventory인 경우에 한해 사용자 계정의 모든 인스턴스에 대해 상태 관리자 연결을 만들거나 삭제할 수 있으며 사용자 계정에서 Systems Manager 서비스 연결 역할을 생성할 수 있습니다. -
AWS STS - 역할에 대한 신뢰 정책이 허용하는 모든 계정에 대해 귀하의 계정에서 EC2ImageBuilderDistributionCrossAccountRole로 명명된 역할을 맡을 수 있도록 Image Builder에 대한 액세스 권한이 부여됩니다. 교차 계정 Image Builder에 사용됩니다.
정책 예제
다음은 AWSServiceRoleForImageBuilder 정책 예제입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:launch-template/*", "arn:aws:license-manager:*:*:license-configuration:*" ] }, { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*:*:volume/*", "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringEquals": { "aws:RequestTag/CreatedBy": [ "EC2 Image Builder", "EC2 Fast Launch" ] } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.rproxy.goskope.com.cn", "vmie.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:StopInstances", "ec2:StartInstances", "ec2:TerminateInstances" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ec2:CopyImage", "ec2:CreateImage", "ec2:CreateLaunchTemplate", "ec2:DeregisterImage", "ec2:DescribeImages", "ec2:DescribeInstanceAttribute", "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeInstanceTypes", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:ModifyImageAttribute", "ec2:DescribeImportImageTasks", "ec2:DescribeExportImageTasks", "ec2:DescribeSnapshots", "ec2:DescribeHosts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "RunInstances", "CreateImage" ], "aws:RequestTag/CreatedBy": [ "EC2 Image Builder", "EC2 Fast Launch" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*:*:export-image-task/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:launch-template/*" ], "Condition": { "StringEquals": { "aws:RequestTag/CreatedBy": [ "EC2 Image Builder", "EC2 Fast Launch" ] } } }, { "Effect": "Allow", "Action": [ "license-manager:UpdateLicenseSpecificationsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:AddTagsToResource", "ssm:DescribeInstanceInformation", "ssm:GetAutomationExecution", "ssm:StopAutomationExecution", "ssm:ListInventoryEntries", "ssm:SendAutomationSignal", "ssm:DescribeInstanceAssociationsStatus", "ssm:DescribeAssociationExecutions", "ssm:GetCommandInvocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ssm:*:*:document/AWS-RunPowerShellScript", "arn:aws:ssm:*:*:document/AWS-RunShellScript", "arn:aws:ssm:*:*:document/AWSEC2-RunSysprep", "arn:aws:s3:::*" ] }, { "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringEquals": { "ssm:resourceTag/CreatedBy": [ "EC2 Image Builder" ] } } }, { "Effect": "Allow", "Action": "ssm:StartAutomationExecution", "Resource": "arn:aws:ssm:*:*:automation-definition/ImageBuilder*" }, { "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:DeleteAssociation" ], "Resource": [ "arn:aws:ssm:*:*:document/AWS-GatherSoftwareInventory", "arn:aws:ssm:*:*:association/*", "arn:aws:ec2:*:*:instance/*" ] }, { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "kms:EncryptionContextKeys": [ "aws:ebs:id" ] }, "StringLike": { "kms:ViaService": [ "ec2.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "ec2.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true }, "StringLike": { "kms:ViaService": [ "ec2.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::*:role/EC2ImageBuilderDistributionCrossAccountRole" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" }, { "Effect": "Allow", "Action": [ "ec2:CreateLaunchTemplateVersion", "ec2:DescribeLaunchTemplates", "ec2:ModifyLaunchTemplate", "ec2:DescribeLaunchTemplateVersions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:ExportImage" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ec2:ExportImage" ], "Resource": "arn:aws:ec2:*:*:export-image-task/*" }, { "Effect": "Allow", "Action": [ "ec2:CancelExportTask" ], "Resource": "arn:aws:ec2:*:*:export-image-task/*", "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "ssm.amazonaws.com", "ec2fastlaunch.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:EnableFastLaunch" ], "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*:*:launch-template/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "inspector2:ListCoverage", "inspector2:ListFindings" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ecr:CreateRepository" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ecr:TagResource" ], "Resource": "arn:aws:ecr:*:*:repository/image-builder-*", "Condition": { "StringEquals": { "aws:RequestTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ecr:BatchDeleteImage" ], "Resource": "arn:aws:ecr:*:*:repository/image-builder-*", "Condition": { "StringEquals": { "ecr:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "events:DeleteRule", "events:DescribeRule", "events:PutRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": [ "arn:aws:events:*:*:rule/ImageBuilder-*" ] } ] }
Ec2ImageBuilderCrossAccountDistributionAccess 정책
Ec2ImageBuilderCrossAccountDistributionAccess 정책은 Image Builder가 대상 리전의 여러 계정에 이미지를 배포할 수 있는 권한을 부여합니다. 또한 Image Builder는 계정의 모든 Amazon EC2 이미지를 설명하고 복사하고 태그를 적용할 수 있습니다. 또한 이 정책은 ec2:ModifyImageAttribute API 작업을 통해 AMI 권한을 수정할 수 있는 권한을 부여합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
Amazon EC2 - Amazon EC2에 이미지 속성을 설명, 복사 및 수정하고 계정 내 모든 Amazon EC2 이미지에 대한 태그를 생성할 수 있는 액세스 권한이 부여됩니다.
정책 예제
다음은 Ec2ImageBuilderCrossAccountDistributionAccess 정책 예제입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*::image/*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" } ] }
EC2ImageBuilderLifecycleExecutionPolicy 정책
이 EC2ImageBuilderLifecycleExecutionPolicy 정책은 Image Builder에 Image Builder 이미지 리소스 및 기본 리소스(AMI, 스냅샷)의 사용 중단, 비활성화 또는 삭제와 같은 작업을 수행할 수 있는 권한을 부여하여 이미지 수명 주기 관리 작업에 대한 자동화된 규칙을 지원합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
Amazon EC2-Amazon EC2가
CreatedBy: EC2 Image Builder로 태그가 지정된 계정의 Amazon Machine Image(AMI)에 대해 다음 작업을 수행할 수 있는 액세스 권한이 부여됩니다.-
AMI 활성화 및 비활성화.
-
이미지 사용 중지 활성화 및 비활성화.
-
AMI 설명 및 등록 취소.
-
AMI 이미지 속성 설명 및 수정.
-
AMI와 연결된 볼륨 스냅샷 삭제.
-
리소스에 대한 태그 검사.
-
지원 중단을 위해 AMI에서 태그를 추가 또는 삭제.
-
-
Amazon ECR-Amazon ECR이
LifecycleExecutionAccess: EC2 Image Builder태그를 사용하여 ECR 리포지토리에서 다음과 같은 일괄 작업을 수행할 수 있는 액세스 권한이 부여됩니다. 일괄 작업은 자동화된 컨테이너 이미지 수명 주기 규칙을 지원합니다.-
ecr:BatchGetImage -
ecr:BatchDeleteImage
LifecycleExecutionAccess: EC2 Image Builder태그가 지정된 ECR 리포지토리에 대해서는 리포지토리 수준에서 액세스 권한이 부여됩니다. -
-
AWS 리소스 그룹 - Image Builder에서 태그를 기반으로 리소스를 가져올 수 있는 액세스 권한이 부여됩니다.
-
EC2 Image Builder-Image Builder가 Image Builder 이미지 리소스를 삭제할 수 있는 액세스 권한이 부여됩니다.
정책 예제
다음은 EC2ImageBuilderLifecycleExecutionPolicy 정책 예제입니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Ec2ImagePermission", "Effect": "Allow", "Action": [ "ec2:EnableImage", "ec2:DeregisterImage", "ec2:EnableImageDeprecation", "ec2:DescribeImageAttribute", "ec2:DisableImage", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2DeleteSnapshotPermission", "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2TagsPermission", "Effect": "Allow", "Action": [ "ec2:DeleteTags", "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ], "Condition": { "StringEquals": { "aws:RequestTag/DeprecatedBy": "EC2 Image Builder", "aws:ResourceTag/CreatedBy": "EC2 Image Builder" }, "ForAllValues:StringEquals": { "aws:TagKeys": "DeprecatedBy" } } }, { "Sid": "ECRImagePermission", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:BatchDeleteImage" ], "Resource": "arn:aws:ecr:*:*:repository/*", "Condition": { "StringEquals": { "ecr:ResourceTag/LifecycleExecutionAccess": "EC2 Image Builder" } } }, { "Sid": "ImageBuilderEC2TagServicePermission", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "tag:GetResources", "imagebuilder:DeleteImage" ], "Resource": "*" } ] }
EC2InstanceProfileForImageBuilder 정책
이 EC2InstanceProfileForImageBuilder 정책은 EC2 인스턴스가 Image Builder와 함께 작동하는 데 필요한 최소 권한을 부여합니다. Systems Manager 에이전트를 사용하는 데 필요한 권한은 여기에 포함되지 않습니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
CloudWatch 로그 - 이름이 로 시작하는 모든 로그 그룹에 CloudWatch 로그를 생성하고 업로드할 수 있는 액세스 권한이 부여됩니다
/aws/imagebuilder/. -
Image Builder - 모든 Image Builder 구성 요소를 가져올 수 있는 액세스 권한이 부여됩니다.
-
AWS KMS— Image Builder 구성 요소를 통해 암호화된 경우 해당 구성 요소를 복호화할 수 있는 액세스 권한이 부여됩니다. AWS KMS
-
Amazon S3 - 이름이
ec2imagebuilder-(으)로 시작하는 Amazon S3 버킷에 저장된 객체를 가져올 수 있는 액세스 권한이 부여됩니다.
정책 예제
다음은 EC2InstanceProfileForImageBuilder 정책 예제입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
EC2InstanceProfileForImageBuilderECRContainerBuilds 정책
EC2InstanceProfileForImageBuilderECRContainerBuilds 정책은 Image Builder로 작업하여 Docker 이미지를 구축한 다음 Amazon ECR 컨테이너 리포지토리에 이미지를 등록 및 저장할 때 EC2 인스턴스에 필요한 최소 권한을 부여합니다. Systems Manager 에이전트를 사용하는 데 필요한 권한은 여기에 포함되지 않습니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
CloudWatch 로그 - 이름이 로 시작하는 모든 로그 그룹에 CloudWatch 로그를 생성하고 업로드할 수 있는 액세스 권한이 부여됩니다.
/aws/imagebuilder/ -
Amazon ECR - Amazon ECR이 컨테이너 이미지를 가져오고, 등록하고, 저장하고, 인증 토큰을 받을 수 있는 액세스 권한이 부여됩니다.
-
Image Builder - Image Builder 구성 요소 또는 컨테이너 레시피를 가져올 수 있는 액세스 권한이 부여됩니다.
-
AWS KMS— Image Builder 구성 요소 또는 컨테이너 레시피가 암호화된 경우 이를 해독할 수 있는 액세스 권한이 부여됩니다. AWS KMS
-
Amazon S3 - 이름이
ec2imagebuilder-(으)로 시작하는 Amazon S3 버킷에 저장된 객체를 가져올 수 있는 액세스 권한이 부여됩니다.
정책 예제
다음은 EC2InstanceProfileForImageBuilderECRContainerBuilds 정책 예제입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent", "imagebuilder:GetContainerRecipe", "ecr:GetAuthorizationToken", "ecr:BatchGetImage", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:PutImage" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
AWS 관리형 정책에 대한 Image Builder 업데이트
이 섹션에서는 Image Builder에서 이러한 변경 사항을 추적하기 시작한 이후 업데이트된 Image Builder의 AWS 관리형 정책에 대한 정보를 제공합니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 Image Builder 문서 기록 페이지에서 RSS 피드를 구독하세요.
| 변경 사항 | 설명 | 날짜 |
|---|---|---|
|
Image Builder는 이미지 수명 주기 관리에 대한 권한이 포함된 새 |
2023년 11월 17일 | |
|
AWSServiceRoleForImageBuilder-기존 정책 업데이트 |
Image Builder는 macOS 지원 제공을 위해 서비스 역할을 다음과 같이 변경했습니다.
|
2023년 8월 28일 |
|
AWSServiceRoleForImageBuilder-기존 정책 업데이트 |
Image Builder는 Image Builder 워크플로에서 AMI 및 ECR 컨테이너 이미지 빌드 모두에 대한 취약성 결과를 수집할 수 있도록 서비스 역할을 다음과 같이 변경했습니다. 새 권한은 CVE 탐지 및 보고 기능을 지원합니다.
|
2023년 3월 30일 |
|
AWSServiceRoleForImageBuilder-기존 정책 업데이트 |
Image Builder는 서비스 역할을 다음과 같이 변경했습니다.
|
2022년 3월 22일 |
|
AWSServiceRoleForImageBuilder-기존 정책 업데이트 |
Image Builder는 서비스 역할을 다음과 같이 변경했습니다.
|
2022년 2월 21일 |
|
AWSServiceRoleForImageBuilder-기존 정책 업데이트 |
Image Builder는 서비스 역할을 다음과 같이 변경했습니다.
|
2021년 11월 20일 |
|
AWSServiceRoleForImageBuilder-기존 정책 업데이트 |
Image Builder는 둘 이상의 인벤토리 연결로 인해 이미지 빌드가 중단되는 문제를 해결하기 위해 새 사용 권한을 추가했습니다. |
2021년 8월 11일 |
|
AWSImageBuilderFullAccess-기존 정책 업데이트 |
Image Builder는 전체 액세스 역할을 다음과 같이 변경했습니다.
|
2021년 4월 13일 |
|
Image Builder에서 변경 내용 추적 시작 |
Image Builder는 AWS 관리형 정책의 변경 사항을 추적하기 시작했습니다. |
2021년 4월 2일 |
