Use políticas AWS gerenciadas para EC2 Image Builder - EC2 Image Builder

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use políticas AWS gerenciadas para EC2 Image Builder

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.

Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

AWSImageBuilderFullAccess política

A AWSImageBuilderFullAccessA política concede acesso total aos recursos do Image Builder para a função à qual está associada, permitindo que a função liste, descreva, crie, atualize e exclua recursos do Image Builder. A política também concede permissões direcionadas aos relacionados Serviços da AWS que são necessários, por exemplo, para verificar recursos ou exibir os recursos atuais da conta no AWS Management Console.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • Image Builder: o acesso administrativo é concedido para que a função possa listar, descrever, criar, atualizar e excluir recursos do Image Builder.

  • Amazon EC2 — O acesso é concedido para ações do Amazon EC2 Describe que são necessárias para verificar a existência de recursos ou obter listas de recursos pertencentes à conta.

  • IAM: o acesso é concedido para obter e usar perfis de instância cujo nome contém “imagebuilder”, para verificar a existência da função vinculada ao serviço Image Builder por meio da ação de API iam:GetRole e para criar a função vinculada ao serviço Image Builder.

  • License Manager: o acesso é concedido para listar as configurações de licenças ou licenças de um recurso.

  • Amazon S3: o acesso é concedido aos buckets da lista pertencentes à conta e também aos buckets do Image Builder com “imagebuilder” em seus nomes.

  • Amazon SNS: permissões de gravação são concedidas ao Amazon SNS para verificar a propriedade dos tópicos que contêm “imagebuilder”.

Para ver as permissões dessa política, consulte AWSImageBuilderFullAccessna Referência de política AWS gerenciada.

AWSImageBuilderReadOnlyAccess política

A AWSImageBuilderReadOnlyAccessA política fornece acesso somente de leitura a todos os recursos do Image Builder. As permissões são concedidas para verificar se a função vinculada ao serviço Image Builder existe por meio da ação da API iam:GetRole.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • Image Builder: o acesso é concedido de somente leitura aos recursos do Image Builder.

  • IAM: o acesso é concedido para verificar a existência da função vinculada ao serviço Image Builder por meio da ação da API iam:GetRole.

Para ver as permissões dessa política, consulte AWSImageBuilderReadOnlyAccessna Referência de política AWS gerenciada.

AWSServiceRoleForImageBuilder política

A AWSServiceRoleForImageBuilderA política permite que o Image Builder Serviços da AWS ligue em seu nome.

Detalhes das permissões

Esta política é anexada à função vinculada ao serviço Image Builder quando a função é criada por meio do Systems Manager. Para obter mais informações sobre a função vinculada ao serviço do Image Builder, consulte Usar perfis do IAM vinculados ao serviço para o Image Builder.

A política inclui as seguintes permissões:

  • CloudWatch Registros — O acesso é concedido para criar e carregar CloudWatch registros em qualquer grupo de registros cujo nome comece com/aws/imagebuilder/.

  • Amazon EC2 — O acesso é concedido ao Image Builder para criar, tirar instantâneos e registrar imagens (AMIs) que ele cria e executar EC2 instâncias em sua conta. O Image Builder usa instantâneos, volumes, interfaces de rede, sub-redes, grupos de segurança, configuração de licenças e pares de chaves relacionados conforme necessário, desde que a imagem, a instância e os volumes que estão sendo criados ou usados estejam marcados com ou. CreatedBy: EC2 Image Builder CreatedBy: EC2 Fast Launch

    O Image Builder pode obter informações sobre EC2 imagens da Amazon, atributos da instância, status da instância, os tipos de instância que estão disponíveis para sua conta, modelos de lançamento, sub-redes, hosts e tags em seus recursos da Amazon EC2 .

    O Image Builder pode atualizar as configurações de imagem para ativar ou desativar o lançamento mais rápido de instâncias do Windows em sua conta, onde a imagem está marcada com CreatedBy: EC2 Image Builder.

    Além disso, o Image Builder pode iniciar, interromper e encerrar instâncias que estão sendo executadas em sua conta, compartilhar instantâneos do Amazon EBS, criar e atualizar imagens e executar modelos, cancelar o registro de imagens existentes, adicionar tags e replicar imagens em contas às quais você concedeu permissões por meio do Ec2ImageBuilderCrossAccountDistributionAccesspolítica. A marcação do Image Builder é necessária para todas essas ações, conforme descrito anteriormente.

  • Amazon ECR: o acesso é concedido ao Image Builder para criar um repositório, se necessário, para escanear vulnerabilidades de imagens de contêiner e marcar os recursos que ele cria para limitar o escopo de suas operações. O acesso também é concedido ao Image Builder para excluir as imagens de contêiner que ele criou para as digitalizações depois de tirar snapshots das vulnerabilidades.

  • EventBridge— O acesso é concedido ao Image Builder para criar e gerenciar EventBridge regras.

  • IAM — O acesso é concedido para que o Image Builder passe qualquer função em sua conta para a Amazon EC2 e para a VM Import/Export.

  • Amazon Inspector: o acesso é concedido ao Image Builder para determinar quando o Amazon Inspector conclui as varreduras de instâncias de compilação e para coletar descobertas de imagens que estão configuradas para permitir isso.

  • AWS KMS: o acesso é concedido ao Amazon EBS para criptografar, descriptografar ou recriptografar volumes do Amazon EBS. Isso é crucial para garantir que os volumes criptografados funcionem quando o Image Builder cria uma imagem.

  • License Manager: o acesso é concedido ao Image Builder para atualizar as especificações do License Manager via license-manager:UpdateLicenseSpecificationsForResource.

  • Amazon SNS: as permissões de gravação são concedidas para qualquer tópico do Amazon SNS na sua conta.

  • Systems Manager: o acesso é concedido ao Image Builder para listar os comandos do Systems Manager e as respectivas invocações e entradas de inventário, descrever informações de instância e status de execução de automação, descrever hosts para suporte ao posicionamento de instâncias e obter detalhes de invocação de comandos. O Image Builder também pode enviar sinais de automação e interromper as execuções de automação para qualquer recurso em sua conta.

    O Image Builder é capaz de emitir invocações de comando de execução para qualquer instância que esteja com a tag "CreatedBy": "EC2 Image Builder" para os seguintes arquivos de script: AWS-RunPowerShellScript, AWS-RunShellScript ou AWSEC2-RunSysprep. O Image Builder é capaz de iniciar uma execução de automação do Systems Manager em sua conta para documentos de automação em que o nome começa com ImageBuilder.

    O Image Builder também pode criar ou excluir associações do State Manager para qualquer instância em sua conta, desde que o documento de associação seja AWS-GatherSoftwareInventory. Além disso, pode criar a função vinculada ao serviço Systems Manager em sua conta.

  • AWS STS— O acesso é concedido para que o Image Builder assuma funções denominadas EC2ImageBuilderDistributionCrossAccountRoleda sua conta para qualquer conta em que a política de confiança da função o permita. Isso é usado para distribuição de imagens entre contas.

Para ver as permissões dessa política, consulte AWSServiceRoleForImageBuilderna Referência de política AWS gerenciada.

Ec2ImageBuilderCrossAccountDistributionAccess política

A Ec2ImageBuilderCrossAccountDistributionAccessA política concede permissões para o Image Builder distribuir imagens entre contas nas regiões de destino. Além disso, o Image Builder pode descrever, copiar e aplicar tags a qualquer EC2 imagem da Amazon na conta. A política também concede a capacidade de modificar as permissões da AMI por meio da ação da API ec2:ModifyImageAttribute.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • Amazon EC2 — O acesso é concedido EC2 à Amazon para descrever, copiar e modificar atributos de uma imagem e criar tags para qualquer EC2 imagem da Amazon na conta.

Para ver as permissões dessa política, consulte Ec2ImageBuilderCrossAccountDistributionAccessna Referência de política AWS gerenciada.

EC2ImageBuilderLifecycleExecutionPolicy política

A EC2ImageBuilderLifecycleExecutionPolicyA política concede permissões para que o Image Builder execute ações como descontinuar, desativar ou excluir recursos de imagem do Image Builder e seus recursos subjacentes (AMIs, instantâneos) para dar suporte a regras automatizadas para tarefas de gerenciamento do ciclo de vida da imagem.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • Amazon EC2 — O acesso é concedido EC2 à Amazon para realizar as seguintes ações para Amazon Machine Images (AMIs) na conta que está marcada comCreatedBy: EC2 Image Builder.

    • Habilite e desabilite uma AMI.

    • Habilite e desabilite a descontinuação de imagens.

    • Descreva e cancele o registro de uma AMI.

    • Descreva e modifique os atributos da imagem de AMI.

    • Exclua os snapshots de volume associados à AMI.

    • Recupere as tags para um recurso.

    • Adicionar ou remover tags de uma AMI para descontinuação.

  • Amazon ECR: o acesso é concedido ao Amazon ECR para realizar as seguintes ações em lote nos repositórios dp ECR com a tag LifecycleExecutionAccess: EC2 Image Builder. As ações em lote são compatíveis com regras automatizadas de ciclo de vida de imagens de contêineres.

    • ecr:BatchGetImage

    • ecr:BatchDeleteImage

    O acesso é concedido no nível do repositório para repositórios do ECR marcados com LifecycleExecutionAccess: EC2 Image Builder.

  • AWS Grupos de recursos — O acesso é concedido ao Image Builder para obter recursos com base em tags.

  • EC2 Image Builder — O acesso é concedido ao Image Builder para excluir recursos de imagem do Image Builder.

Para ver as permissões dessa política, consulte EC2ImageBuilderLifecycleExecutionPolicyna Referência de política AWS gerenciada.

EC2InstanceProfileForImageBuilder política

A EC2InstanceProfileForImageBuilderA política concede as permissões mínimas necessárias para que uma EC2 instância funcione com o Image Builder. Isso não inclui as permissões necessárias para usar o Systems Manager Agent.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • CloudWatch Registros — O acesso é concedido para criar e carregar CloudWatch registros em qualquer grupo de registros cujo nome comece com/aws/imagebuilder/.

  • Amazon EC2 — O acesso é concedido para descrever volumes e instantâneos, criar instantâneos de recursos de volume ou instantâneos criados pelo Image Builder e criar tags para recursos do Image Builder.

  • Image Builder — O acesso é concedido para obter qualquer Image Builder ou AWS Marketplace componente.

  • AWS KMS— O acesso é concedido para descriptografar um componente do Image Builder, se ele tiver sido criptografado via. AWS KMS

  • Amazon S3 — O acesso é concedido para obter objetos armazenados em um bucket do Amazon S3 cujo nome comece ec2imagebuilder- com, ou recursos que tenham uma extensão de arquivo ISO.

Para ver as permissões dessa política, consulte EC2InstanceProfileForImageBuilderna Referência de política AWS gerenciada.

EC2InstanceProfileForImageBuilderECRContainerBuilds política

A EC2InstanceProfileForImageBuilderECRContainerBuildsA política concede as permissões mínimas necessárias para uma EC2 instância ao trabalhar com o Image Builder para criar imagens do Docker e, em seguida, registrar e armazenar as imagens em um repositório de contêineres do Amazon ECR. Isso não inclui as permissões necessárias para usar o Systems Manager Agent.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • CloudWatch Registros — O acesso é concedido para criar e carregar CloudWatch registros em qualquer grupo de registros cujo nome comece com/aws/imagebuilder/.

  • Amazon ECR: o acesso é concedido ao Amazon ECR para obter, registrar e armazenar uma imagem de contêiner e obter um token de autorização.

  • Image Builder: o acesso é concedido para obter um componente ou fórmula de contêiner do Image Builder.

  • AWS KMS— O acesso é concedido para descriptografar um componente ou uma receita de contêiner do Image Builder, se ele tiver sido criptografado via. AWS KMS

  • Amazon S3: o acesso é concedido para obter objetos armazenados em um bucket do Amazon S3 cujo nome começa com ec2imagebuilder-.

Para ver as permissões dessa política, consulte EC2InstanceProfileForImageBuilderECRContainerBuildsna Referência de política AWS gerenciada.

Atualizações do Image Builder para políticas AWS gerenciadas

Esta seção fornece informações sobre atualizações nas políticas AWS gerenciadas do Image Builder desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações realizadas nesta página, inscreva-se no feed RSS na página Histórico de documentos do Image Builder.

Alteração Descrição Data

AWSServiceRoleForImageBuilder: atualizar para uma política existente

O Image Builder fez as seguintes alterações na função de serviço para oferecer suporte à importação de arquivos ISO do sistema operacional cliente Microsoft como imagem base.

  • Foi adicionado ec2: RegisterImage para permitir que o Image Builder crie um instantâneo e crie e registre uma AMI cujo sistema operacional básico foi importado de arquivos de disco ISO verificados.

30 de dezembro de 2024

EC2InstanceProfileForImageBuilder: atualizar para uma política existente

O Image Builder fez as seguintes alterações na política de perfil da instância para oferecer suporte à criação de imagens a partir de arquivos de imagem de disco.

  • Foram adicionadas as seguintes ações ec2: DescribeVolumes e DescribeSnapshots em todos os recursos para recuperar detalhes. Também foram adicionadas as seguintes ações para recursos criados pelo Image Builder: CreateSnapshot para recursos de volume e instantâneo, e. CreateTags Adicionado s3: GetObject para recursos com uma extensão de arquivo “ISO”.

30 de dezembro de 2024

EC2InstanceProfileForImageBuilder: política atualizada

O Image Builder atualizou a EC2InstanceProfileForImageBuilder política para permitir que o Image Builder obtenha AWS Marketplace componentes.

2 de dezembro de 2024

EC2ImageBuilderLifecycleExecutionPolicy – Nova política

O Image Builder adicionou a nova política EC2ImageBuilderLifecycleExecutionPolicy que contém permissões para o gerenciamento do ciclo de vida de imagem.

17 de novembro de 2023

AWSServiceRoleForImageBuilder: atualizar para uma política existente

O Image Builder fez as alterações a seguir no perfil de serviço para oferecer compatibilidade com o posicionamento de instâncias.

  • Foi adicionado o ec2: DescribeHosts permite que o Image Builder pesquise o HostID para determinar quando ele está em um estado válido para iniciar uma instância.

  • Foi adicionada a ação de API ssm:GetCommandInvocation, para melhorar o método que o Image Builder usa para obter detalhes da invocação do comando.

19 de outubro de 2023

AWSServiceRoleForImageBuilder: atualizar para uma política existente

O Image Builder fez as alterações a seguir no perfil de serviço para oferecer compatibilidade com o posicionamento de instâncias.

  • Foi adicionado o ec2: DescribeHosts permite que o Image Builder pesquise o HostID para determinar quando ele está em um estado válido para iniciar uma instância.

  • Foi adicionada a ação de API ssm:GetCommandInvocation, para melhorar o método que o Image Builder usa para obter detalhes da invocação do comando.

28 de setembro de 2023

AWSServiceRoleForImageBuilder: atualizar para uma política existente

O Image Builder fez as seguintes alterações no perfil de serviço para permitir que os fluxos de trabalho do Image Builder coletassem descobertas de vulnerabilidade para compilações de imagens de contêiner AMI e ECR. As novas permissões são compatíveis com o atributo de detecção e geração de relatórios do CVE.

  • Foram adicionados inspetor2: ListCoverage e inspetor2: para permitir que o ListFindings Image Builder determine quando o Amazon Inspector conclui as varreduras de instâncias de teste e colete resultados para imagens que estão configuradas para permitir isso.

  • Foi adicionado ecr:CreateRepository, com a exigência de que o Image Builder marque o repositório com CreatedBy: EC2 Image Builder ()tag-on-create. Também foi adicionado ecr: TagResource (obrigatório para tag-on-create) com a mesma restrição de CreatedBy tag e uma restrição adicional que exige que o nome do repositório comece. image-builder-* A restrição de nome impede o aumento de privilégios e impede alterações nos repositórios que o Image Builder não criou.

  • Adicionado ecr: BatchDeleteImage para repositórios ECR marcados com. CreatedBy: EC2 Image Builder Essa permissão requer que o nome do repositório comece com image-builder-*.

  • Foram adicionadas permissões de eventos para o Image Builder criar e gerenciar regras EventBridge gerenciadas pela Amazon que incluem ImageBuilder-* no nome.

30 de março de 2023

AWSServiceRoleForImageBuilder: atualizar para uma política existente

O Image Builder fez as alterações a seguir no perfil de serviço:

  • Licenças do License Manager adicionadas como um recurso para a RunInstance chamada ec2: para permitir que os clientes usem imagens AMIs básicas associadas a uma configuração de licença.

22 de março de 2022

AWSServiceRoleForImageBuilder: atualizar para uma política existente

O Image Builder fez as alterações a seguir no perfil de serviço:

  • Foram adicionadas permissões para a ação EC2 EnableFastLaunch da API, para ativar e desativar o lançamento mais rápido de instâncias do Windows.

  • Maior escopo para ec2: condições de tag de CreateTags ação e recurso.

21 de fevereiro de 2022

AWSServiceRoleForImageBuilder: atualizar para uma política existente

O Image Builder fez as alterações a seguir no perfil de serviço:

  • Foram adicionadas permissões para chamar o serviço VMIE para importar uma VM e criar uma AMI básica a partir dela.

  • Escopo reforçado para ec2: condições de tag de CreateTags ação e recurso.

20 de novembro de 2021

AWSServiceRoleForImageBuilder: atualizar para uma política existente

O Image Builder adicionou novas permissões para corrigir problemas em que mais de uma associação de inventário faz com que a criação da imagem fique paralisada.

11 de agosto de 2021

AWSImageBuilderFullAccess: atualizar para uma política existente

O Image Builder fez as alterações a seguir no perfil de acesso total:

  • Permissões adicionadas para permitir ec2:DescribeInstanceTypeOffereings.

  • Foram adicionadas permissões para chamar ec2:DescribeInstanceTypeOffereings e permitir que o console do Image Builder corresponda com precisão aos tipos de instância disponíveis na conta.

13 de abril de 2021

O Image Builder começou a monitorar alterações

O Image Builder começou a monitorar as mudanças em suas políticas AWS gerenciadas.

02 de abril de 2021