As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Use políticas AWS gerenciadas para EC2 Image Builder
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova Serviço da AWS é lançada ou novas API operações são disponibilizadas para os serviços existentes.
Para obter mais informações, consulte as políticas AWS gerenciadas no Guia IAM do usuário.
Política AWSImageBuilderFullAccess
A política AWSImageBuilderFullAccess concede acesso total aos recursos do Image Builder para a função à qual está associada, permitindo que a função liste, descreva, crie, atualize e exclua recursos do Image Builder. A política também concede permissões direcionadas aos relacionados Serviços da AWS que são necessários, por exemplo, para verificar recursos ou exibir os recursos atuais da conta no AWS Management Console.
Detalhes da permissão
Esta política inclui as seguintes permissões:
-
Image Builder: o acesso administrativo é concedido para que a função possa listar, descrever, criar, atualizar e excluir recursos do Image Builder.
-
Amazon EC2 — O acesso é concedido para ações do Amazon EC2 Describe que são necessárias para verificar a existência de recursos ou obter listas de recursos pertencentes à conta.
-
IAM— O acesso é concedido para obter e usar perfis de instância cujo nome contenha “imagebuilder”, para verificar a existência da função vinculada ao serviço Image Builder por meio da
iam:GetRoleAPI ação e para criar a função vinculada ao serviço Image Builder. -
License Manager: o acesso é concedido para listar as configurações de licenças ou licenças de um recurso.
-
Amazon S3: o acesso é concedido aos buckets da lista pertencentes à conta e também aos buckets do Image Builder com “imagebuilder” em seus nomes.
-
Amazon SNS — As permissões de gravação são concedidas à Amazon SNS para verificar a propriedade dos tópicos que contêm “imagebuilder”.
Exemplo de política
A seguir há um exemplo da política do AWSImageBuilderFullAccess.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "arn:aws:sns:*:*:*imagebuilder*" }, { "Effect": "Allow", "Action": [ "license-manager:ListLicenseConfigurations", "license-manager:ListLicenseSpecificationsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" }, { "Effect": "Allow", "Action": [ "iam:GetInstanceProfile" ], "Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*" }, { "Effect": "Allow", "Action": [ "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:instance-profile/*imagebuilder*", "arn:aws:iam::*:role/*imagebuilder*" ], "Condition": { "StringEquals": { "iam:PassedToService": "ec2.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3::*:*imagebuilder*" }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder", "Condition": { "StringLike": { "iam:AWSServiceName": "imagebuilder.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeSnapshots", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeVolumes", "ec2:DescribeSubnets", "ec2:DescribeKeyPairs", "ec2:DescribeSecurityGroups", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeLaunchTemplates" ], "Resource": "*" } ] }
Política AWSImageBuilderReadOnlyAccess
A política do AWSImageBuilderReadOnlyAccess concede acesso de somente leitura a todos os recursos do Image Builder. As permissões são concedidas para verificar se a função vinculada ao serviço Image Builder existe por meio da ação iam:GetRoleAPI.
Detalhes da permissão
Esta política inclui as seguintes permissões:
-
Image Builder: o acesso é concedido de somente leitura aos recursos do Image Builder.
-
IAM— O acesso é concedido para verificar a existência da função vinculada ao serviço Image Builder por meio da
iam:GetRoleAPI ação.
Exemplo de política
A seguir há um exemplo da política do AWSImageBuilderReadOnlyAccess.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:Get*", "imagebuilder:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" } ] }
Política AWSServiceRoleForImageBuilder
A AWSServiceRoleForImageBuilderpolítica permite que o Image Builder ligue Serviços da AWS em seu nome.
Detalhes da permissão
Esta política é anexada à função vinculada ao serviço Image Builder quando a função é criada por meio do Systems Manager. Para obter mais informações sobre a função vinculada ao serviço do Image Builder, consulte Use funções IAM vinculadas ao serviço para o Image Builder.
A política inclui as seguintes permissões:
-
CloudWatch Registros — O acesso é concedido para criar e carregar CloudWatch registros em qualquer grupo de registros cujo nome comece com
/aws/imagebuilder/. -
Amazon EC2 — O acesso é concedido ao Image Builder para criar imagens e iniciar EC2 instâncias em sua conta, usando instantâneos, volumes, interfaces de rede, sub-redes, grupos de segurança, configuração de licenças e pares de chaves relacionados, conforme necessário, desde que a imagem, a instância e os volumes que estão sendo criados ou usados estejam marcados com ou.
CreatedBy: EC2 Image BuilderCreatedBy: EC2 Fast LaunchO Image Builder pode obter informações sobre EC2 imagens da Amazon, atributos da instância, status da instância, tipos de instância que estão disponíveis para sua conta, modelos de lançamento, sub-redes, hosts e tags em seus recursos da AmazonEC2.
O Image Builder pode atualizar as configurações de imagem para ativar ou desativar o lançamento mais rápido de instâncias do Windows em sua conta, onde a imagem está marcada com
CreatedBy: EC2 Image Builder.Além disso, o Image Builder pode iniciar, interromper e encerrar instâncias que estão sendo executadas em sua conta, compartilhar EBS instantâneos da Amazon, criar e atualizar imagens e modelos de lançamento, cancelar o registro de imagens existentes, adicionar tags e replicar imagens em contas às quais você concedeu permissões por meio da política. Ec2ImageBuilderCrossAccountDistributionAccess A marcação do Image Builder é necessária para todas essas ações, conforme descrito anteriormente.
-
Amazon ECR — O acesso é concedido ao Image Builder para criar um repositório, se necessário, para escanear vulnerabilidades de imagens de contêineres e marcar os recursos que ele cria para limitar o escopo de suas operações. O acesso também é concedido ao Image Builder para excluir as imagens de contêiner que ele criou para as digitalizações depois de tirar snapshots das vulnerabilidades.
-
EventBridge— O acesso é concedido ao Image Builder para criar e gerenciar EventBridge regras.
-
IAM— O acesso é concedido para que o Image Builder passe qualquer função em sua conta para a Amazon EC2 e para a VM Import/Export.
-
Amazon Inspector: o acesso é concedido ao Image Builder para determinar quando o Amazon Inspector conclui as varreduras de instâncias de compilação e para coletar descobertas de imagens que estão configuradas para permitir isso.
-
AWS KMS— O acesso é concedido EBS à Amazon para criptografar, descriptografar ou recriptografar volumes da Amazon. EBS Isso é crucial para garantir que os volumes criptografados funcionem quando o Image Builder cria uma imagem.
-
License Manager: o acesso é concedido ao Image Builder para atualizar as especificações do License Manager via
license-manager:UpdateLicenseSpecificationsForResource. -
Amazon SNS — As permissões de gravação são concedidas para qualquer SNS tópico da Amazon em sua conta.
-
Systems Manager — O acesso é concedido ao Image Builder para listar os comandos do Systems Manager e suas invocações, entradas de inventário, descrever informações de instância e status de execução de automação, descrever hosts para suporte de posicionamento de instâncias e obter detalhes de invocação de comandos. O Image Builder também pode enviar sinais de automação e interromper as execuções de automação para qualquer recurso em sua conta.
O Image Builder é capaz de emitir invocações de comando de execução para qualquer instância que esteja com a tag
"CreatedBy": "EC2 Image Builder"para os seguintes arquivos de script:AWS-RunPowerShellScript,AWS-RunShellScriptouAWSEC2-RunSysprep. O Image Builder é capaz de iniciar uma execução de automação do Systems Manager em sua conta para documentos de automação em que o nome começa comImageBuilder.O Image Builder também pode criar ou excluir associações do State Manager para qualquer instância em sua conta, desde que o documento de associação seja
AWS-GatherSoftwareInventory. Além disso, pode criar a função vinculada ao serviço Systems Manager em sua conta. -
AWS STS: o acesso é concedido para que o Image Builder assuma funções nomeadas EC2ImageBuilderDistributionCrossAccountRole de sua conta em qualquer conta em que a política de confiança da função permita. Isso é usado para distribuição de imagens entre contas.
Para visualizar as permissões para esta política, consulte AWSServiceRoleForImageBuilder na Referência de políticas gerenciadas pela AWS .
Política Ec2ImageBuilderCrossAccountDistributionAccess
A política do Ec2ImageBuilderCrossAccountDistributionAccess concede permissões para o Image Builder distribuir imagens entre contas nas regiões de destino. Além disso, o Image Builder pode descrever, copiar e aplicar tags a qualquer EC2 imagem da Amazon na conta. A política também concede a capacidade de modificar AMI as permissões por meio da ec2:ModifyImageAttribute API ação.
Detalhes da permissão
Esta política inclui as seguintes permissões:
-
Amazon EC2 — O acesso é concedido EC2 à Amazon para descrever, copiar e modificar atributos de uma imagem e criar tags para qualquer EC2 imagem da Amazon na conta.
Exemplo de política
A seguir há um exemplo da política do Ec2ImageBuilderCrossAccountDistributionAccess.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*::image/*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" } ] }
Política EC2ImageBuilderLifecycleExecutionPolicy
A EC2ImageBuilderLifecycleExecutionPolicypolítica concede permissões para que o Image Builder execute ações como descontinuar, desativar ou excluir recursos de imagem do Image Builder e seus recursos subjacentes (AMIs, instantâneos) para dar suporte a regras automatizadas para tarefas de gerenciamento do ciclo de vida de imagens.
Detalhes da permissão
Esta política inclui as seguintes permissões:
-
Amazon EC2 — O acesso é concedido EC2 à Amazon para realizar as seguintes ações para Amazon Machine Images (AMIs) na conta que está marcada com
CreatedBy: EC2 Image Builder.-
Ative e desative umAMI.
-
Habilite e desabilite a descontinuação de imagens.
-
Descreva e cancele o registro de um. AMI
-
Descreva e modifique os atributos AMI da imagem.
-
Exclua os instantâneos de volume associados aoAMI.
-
Recupere as tags para um recurso.
-
Adicione ou remova tags de um formulário de AMI suspensão de uso.
-
-
Amazon ECR — O acesso é concedido ECR à Amazon para realizar as seguintes ações em lote em ECR repositórios com a
LifecycleExecutionAccess: EC2 Image Buildertag. As ações em lote são compatíveis com regras automatizadas de ciclo de vida de imagens de contêineres.-
ecr:BatchGetImage -
ecr:BatchDeleteImage
O acesso é concedido no nível do ECR repositório para repositórios marcados com.
LifecycleExecutionAccess: EC2 Image Builder -
-
AWS Grupos de recursos — O acesso é concedido ao Image Builder para obter recursos com base em tags.
-
EC2Image Builder — O acesso é concedido ao Image Builder para excluir recursos de imagem do Image Builder.
Exemplo de política
A seguir há um exemplo da política do EC2ImageBuilderLifecycleExecutionPolicy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Ec2ImagePermission", "Effect": "Allow", "Action": [ "ec2:EnableImage", "ec2:DeregisterImage", "ec2:EnableImageDeprecation", "ec2:DescribeImageAttribute", "ec2:DisableImage", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2DeleteSnapshotPermission", "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2TagsPermission", "Effect": "Allow", "Action": [ "ec2:DeleteTags", "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ], "Condition": { "StringEquals": { "aws:RequestTag/DeprecatedBy": "EC2 Image Builder", "aws:ResourceTag/CreatedBy": "EC2 Image Builder" }, "ForAllValues:StringEquals": { "aws:TagKeys": "DeprecatedBy" } } }, { "Sid": "ECRImagePermission", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:BatchDeleteImage" ], "Resource": "arn:aws:ecr:*:*:repository/*", "Condition": { "StringEquals": { "ecr:ResourceTag/LifecycleExecutionAccess": "EC2 Image Builder" } } }, { "Sid": "ImageBuilderEC2TagServicePermission", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "tag:GetResources", "imagebuilder:DeleteImage" ], "Resource": "*" } ] }
Política EC2InstanceProfileForImageBuilder
A EC2InstanceProfileForImageBuilderpolítica concede as permissões mínimas necessárias para que uma EC2 instância funcione com o Image Builder. Isso não inclui as permissões necessárias para usar o Systems Manager Agent.
Detalhes da permissão
Esta política inclui as seguintes permissões:
-
CloudWatch Registros — O acesso é concedido para criar e carregar CloudWatch registros em qualquer grupo de registros cujo nome comece com
/aws/imagebuilder/. -
Image Builder: o acesso é concedido para obter qualquer componente do Image Builder.
-
AWS KMS— O acesso é concedido para descriptografar um componente do Image Builder, se ele tiver sido criptografado via. AWS KMS
-
Amazon S3: o acesso é concedido para obter objetos armazenados em um bucket do Amazon S3 cujo nome começa com
ec2imagebuilder-.
Exemplo de política
A seguir há um exemplo da política do EC2InstanceProfileForImageBuilder.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
Política EC2InstanceProfileForImageBuilderECRContainerBuilds
A EC2InstanceProfileForImageBuilderECRContainerBuildspolítica concede as permissões mínimas necessárias para uma EC2 instância ao trabalhar com o Image Builder para criar imagens do Docker e, em seguida, registrar e armazenar as imagens em um repositório de ECR contêineres da Amazon. Isso não inclui as permissões necessárias para usar o Systems Manager Agent.
Detalhes da permissão
Esta política inclui as seguintes permissões:
-
CloudWatch Registros — O acesso é concedido para criar e carregar CloudWatch registros em qualquer grupo de registros cujo nome comece com
/aws/imagebuilder/. -
Amazon ECR — O acesso é concedido ECR à Amazon para obter, registrar e armazenar uma imagem de contêiner e obter um token de autorização.
-
Image Builder: o acesso é concedido para obter um componente ou fórmula de contêiner do Image Builder.
-
AWS KMS— O acesso é concedido para descriptografar um componente ou uma receita de contêiner do Image Builder, se ele tiver sido criptografado via. AWS KMS
-
Amazon S3: o acesso é concedido para obter objetos armazenados em um bucket do Amazon S3 cujo nome começa com
ec2imagebuilder-.
Exemplo de política
A seguir há um exemplo da política do EC2InstanceProfileForImageBuilderECRContainerBuilds.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent", "imagebuilder:GetContainerRecipe", "ecr:GetAuthorizationToken", "ecr:BatchGetImage", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:PutImage" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
Atualizações do Image Builder para políticas AWS gerenciadas
Esta seção fornece informações sobre atualizações nas políticas AWS gerenciadas do Image Builder desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página de histórico de documentos do Image Builder.
| Alteração | Descrição | Data |
|---|---|---|
|
EC2ImageBuilderLifecycleExecutionPolicy – Nova política |
O Image Builder adicionou a nova política |
17 de novembro de 2023 |
|
AWSServiceRoleForImageBuilder: atualizar para uma política existente |
O Image Builder fez as seguintes alterações na função de serviço para fornecer suporte ao posicionamento de instâncias.
|
19 de outubro de 2023 |
|
AWSServiceRoleForImageBuilder: atualizar para uma política existente |
O Image Builder fez as seguintes alterações na função de serviço para fornecer suporte ao posicionamento de instâncias.
|
28 de setembro de 2023 |
|
AWSServiceRoleForImageBuilder: atualizar para uma política existente |
O Image Builder fez as seguintes alterações na função de serviço para permitir que os fluxos de trabalho do Image Builder coletassem descobertas de vulnerabilidade AMI tanto para compilações de imagens de ECR contêineres. As novas permissões oferecem suporte ao recurso CVE de detecção e geração de relatórios.
|
30 de março de 2023 |
|
AWSServiceRoleForImageBuilder: atualizar para uma política existente |
O Image Builder fez as alterações a seguir no perfil de serviço:
|
22 de março de 2022 |
|
AWSServiceRoleForImageBuilder: atualizar para uma política existente |
O Image Builder fez as alterações a seguir no perfil de serviço:
|
21 de fevereiro de 2022 |
|
AWSServiceRoleForImageBuilder: atualizar para uma política existente |
O Image Builder fez as alterações a seguir no perfil de serviço:
|
20 de novembro de 2021 |
|
AWSServiceRoleForImageBuilder: atualizar para uma política existente |
O Image Builder adicionou novas permissões para corrigir problemas em que mais de uma associação de inventário faz com que a criação da imagem fique paralisada. |
11 de agosto de 2021 |
|
AWSImageBuilderFullAccess: atualizar para uma política existente |
O Image Builder fez as alterações a seguir no perfil de acesso total:
|
13 de abril de 2021 |
|
O Image Builder começou a monitorar alterações |
O Image Builder começou a monitorar as mudanças em suas políticas AWS gerenciadas. |
02 de abril de 2021 |
