As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Use políticas AWS gerenciadas para EC2 Image Builder
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.
AWSImageBuilderFullAccess política
A AWSImageBuilderFullAccessA política concede acesso total aos recursos do Image Builder para a função à qual está associada, permitindo que a função liste, descreva, crie, atualize e exclua recursos do Image Builder. A política também concede permissões direcionadas aos relacionados Serviços da AWS que são necessários, por exemplo, para verificar recursos ou exibir os recursos atuais da conta no AWS Management Console.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
Image Builder: o acesso administrativo é concedido para que a função possa listar, descrever, criar, atualizar e excluir recursos do Image Builder.
-
Amazon EC2 — O acesso é concedido para ações do Amazon EC2 Describe que são necessárias para verificar a existência de recursos ou obter listas de recursos pertencentes à conta.
-
IAM: o acesso é concedido para obter e usar perfis de instância cujo nome contém “imagebuilder”, para verificar a existência da função vinculada ao serviço Image Builder por meio da ação de API
iam:GetRole
e para criar a função vinculada ao serviço Image Builder. -
License Manager: o acesso é concedido para listar as configurações de licenças ou licenças de um recurso.
-
Amazon S3: o acesso é concedido aos buckets da lista pertencentes à conta e também aos buckets do Image Builder com “imagebuilder” em seus nomes.
-
Amazon SNS: permissões de gravação são concedidas ao Amazon SNS para verificar a propriedade dos tópicos que contêm “imagebuilder”.
Para ver as permissões dessa política, consulte AWSImageBuilderFullAccessna Referência de política AWS gerenciada.
AWSImageBuilderReadOnlyAccess política
A AWSImageBuilderReadOnlyAccessA política fornece acesso somente de leitura a todos os recursos do Image Builder. As permissões são concedidas para verificar se a função vinculada ao serviço Image Builder existe por meio da ação da API iam:GetRole
.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
Image Builder: o acesso é concedido de somente leitura aos recursos do Image Builder.
-
IAM: o acesso é concedido para verificar a existência da função vinculada ao serviço Image Builder por meio da ação da API
iam:GetRole
.
Para ver as permissões dessa política, consulte AWSImageBuilderReadOnlyAccessna Referência de política AWS gerenciada.
AWSServiceRoleForImageBuilder política
A AWSServiceRoleForImageBuilderA política permite que o Image Builder Serviços da AWS ligue em seu nome.
Detalhes das permissões
Esta política é anexada à função vinculada ao serviço Image Builder quando a função é criada por meio do Systems Manager. Para obter mais informações sobre a função vinculada ao serviço do Image Builder, consulte Usar perfis do IAM vinculados ao serviço para o Image Builder.
A política inclui as seguintes permissões:
-
CloudWatch Registros — O acesso é concedido para criar e carregar CloudWatch registros em qualquer grupo de registros cujo nome comece com
/aws/imagebuilder/
. -
Amazon EC2 — O acesso é concedido ao Image Builder para criar, tirar instantâneos e registrar imagens (AMIs) que ele cria e executar EC2 instâncias em sua conta. O Image Builder usa instantâneos, volumes, interfaces de rede, sub-redes, grupos de segurança, configuração de licenças e pares de chaves relacionados conforme necessário, desde que a imagem, a instância e os volumes que estão sendo criados ou usados estejam marcados com ou.
CreatedBy: EC2 Image Builder
CreatedBy: EC2 Fast Launch
O Image Builder pode obter informações sobre EC2 imagens da Amazon, atributos da instância, status da instância, os tipos de instância que estão disponíveis para sua conta, modelos de lançamento, sub-redes, hosts e tags em seus recursos da Amazon EC2 .
O Image Builder pode atualizar as configurações de imagem para ativar ou desativar o lançamento mais rápido de instâncias do Windows em sua conta, onde a imagem está marcada com
CreatedBy: EC2 Image Builder
.Além disso, o Image Builder pode iniciar, interromper e encerrar instâncias que estão sendo executadas em sua conta, compartilhar instantâneos do Amazon EBS, criar e atualizar imagens e executar modelos, cancelar o registro de imagens existentes, adicionar tags e replicar imagens em contas às quais você concedeu permissões por meio do Ec2ImageBuilderCrossAccountDistributionAccesspolítica. A marcação do Image Builder é necessária para todas essas ações, conforme descrito anteriormente.
-
Amazon ECR: o acesso é concedido ao Image Builder para criar um repositório, se necessário, para escanear vulnerabilidades de imagens de contêiner e marcar os recursos que ele cria para limitar o escopo de suas operações. O acesso também é concedido ao Image Builder para excluir as imagens de contêiner que ele criou para as digitalizações depois de tirar snapshots das vulnerabilidades.
-
EventBridge— O acesso é concedido ao Image Builder para criar e gerenciar EventBridge regras.
-
IAM — O acesso é concedido para que o Image Builder passe qualquer função em sua conta para a Amazon EC2 e para a VM Import/Export.
-
Amazon Inspector: o acesso é concedido ao Image Builder para determinar quando o Amazon Inspector conclui as varreduras de instâncias de compilação e para coletar descobertas de imagens que estão configuradas para permitir isso.
-
AWS KMS: o acesso é concedido ao Amazon EBS para criptografar, descriptografar ou recriptografar volumes do Amazon EBS. Isso é crucial para garantir que os volumes criptografados funcionem quando o Image Builder cria uma imagem.
-
License Manager: o acesso é concedido ao Image Builder para atualizar as especificações do License Manager via
license-manager:UpdateLicenseSpecificationsForResource
. -
Amazon SNS: as permissões de gravação são concedidas para qualquer tópico do Amazon SNS na sua conta.
-
Systems Manager: o acesso é concedido ao Image Builder para listar os comandos do Systems Manager e as respectivas invocações e entradas de inventário, descrever informações de instância e status de execução de automação, descrever hosts para suporte ao posicionamento de instâncias e obter detalhes de invocação de comandos. O Image Builder também pode enviar sinais de automação e interromper as execuções de automação para qualquer recurso em sua conta.
O Image Builder é capaz de emitir invocações de comando de execução para qualquer instância que esteja com a tag
"CreatedBy": "EC2 Image Builder"
para os seguintes arquivos de script:AWS-RunPowerShellScript
,AWS-RunShellScript
ouAWSEC2-RunSysprep
. O Image Builder é capaz de iniciar uma execução de automação do Systems Manager em sua conta para documentos de automação em que o nome começa comImageBuilder
.O Image Builder também pode criar ou excluir associações do State Manager para qualquer instância em sua conta, desde que o documento de associação seja
AWS-GatherSoftwareInventory
. Além disso, pode criar a função vinculada ao serviço Systems Manager em sua conta. -
AWS STS— O acesso é concedido para que o Image Builder assuma funções denominadas EC2ImageBuilderDistributionCrossAccountRoleda sua conta para qualquer conta em que a política de confiança da função o permita. Isso é usado para distribuição de imagens entre contas.
Para ver as permissões dessa política, consulte AWSServiceRoleForImageBuilderna Referência de política AWS gerenciada.
Ec2ImageBuilderCrossAccountDistributionAccess política
A Ec2ImageBuilderCrossAccountDistributionAccessA política concede permissões para o Image Builder distribuir imagens entre contas nas regiões de destino. Além disso, o Image Builder pode descrever, copiar e aplicar tags a qualquer EC2 imagem da Amazon na conta. A política também concede a capacidade de modificar as permissões da AMI por meio da ação da API ec2:ModifyImageAttribute
.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
Amazon EC2 — O acesso é concedido EC2 à Amazon para descrever, copiar e modificar atributos de uma imagem e criar tags para qualquer EC2 imagem da Amazon na conta.
Para ver as permissões dessa política, consulte Ec2ImageBuilderCrossAccountDistributionAccessna Referência de política AWS gerenciada.
EC2ImageBuilderLifecycleExecutionPolicy política
A EC2ImageBuilderLifecycleExecutionPolicyA política concede permissões para que o Image Builder execute ações como descontinuar, desativar ou excluir recursos de imagem do Image Builder e seus recursos subjacentes (AMIs, instantâneos) para dar suporte a regras automatizadas para tarefas de gerenciamento do ciclo de vida da imagem.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
Amazon EC2 — O acesso é concedido EC2 à Amazon para realizar as seguintes ações para Amazon Machine Images (AMIs) na conta que está marcada com
CreatedBy: EC2 Image Builder
.-
Habilite e desabilite uma AMI.
-
Habilite e desabilite a descontinuação de imagens.
-
Descreva e cancele o registro de uma AMI.
-
Descreva e modifique os atributos da imagem de AMI.
-
Exclua os snapshots de volume associados à AMI.
-
Recupere as tags para um recurso.
-
Adicionar ou remover tags de uma AMI para descontinuação.
-
-
Amazon ECR: o acesso é concedido ao Amazon ECR para realizar as seguintes ações em lote nos repositórios dp ECR com a tag
LifecycleExecutionAccess: EC2 Image Builder
. As ações em lote são compatíveis com regras automatizadas de ciclo de vida de imagens de contêineres.-
ecr:BatchGetImage
-
ecr:BatchDeleteImage
O acesso é concedido no nível do repositório para repositórios do ECR marcados com
LifecycleExecutionAccess: EC2 Image Builder
. -
-
AWS Grupos de recursos — O acesso é concedido ao Image Builder para obter recursos com base em tags.
-
EC2 Image Builder — O acesso é concedido ao Image Builder para excluir recursos de imagem do Image Builder.
Para ver as permissões dessa política, consulte EC2ImageBuilderLifecycleExecutionPolicyna Referência de política AWS gerenciada.
EC2InstanceProfileForImageBuilder política
A EC2InstanceProfileForImageBuilderA política concede as permissões mínimas necessárias para que uma EC2 instância funcione com o Image Builder. Isso não inclui as permissões necessárias para usar o Systems Manager Agent.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
CloudWatch Registros — O acesso é concedido para criar e carregar CloudWatch registros em qualquer grupo de registros cujo nome comece com
/aws/imagebuilder/
. -
Amazon EC2 — O acesso é concedido para descrever volumes e instantâneos, criar instantâneos de recursos de volume ou instantâneos criados pelo Image Builder e criar tags para recursos do Image Builder.
-
Image Builder — O acesso é concedido para obter qualquer Image Builder ou AWS Marketplace componente.
-
AWS KMS— O acesso é concedido para descriptografar um componente do Image Builder, se ele tiver sido criptografado via. AWS KMS
-
Amazon S3 — O acesso é concedido para obter objetos armazenados em um bucket do Amazon S3 cujo nome comece
ec2imagebuilder-
com, ou recursos que tenham uma extensão de arquivo ISO.
Para ver as permissões dessa política, consulte EC2InstanceProfileForImageBuilderna Referência de política AWS gerenciada.
EC2InstanceProfileForImageBuilderECRContainerBuilds política
A EC2InstanceProfileForImageBuilderECRContainerBuildsA política concede as permissões mínimas necessárias para uma EC2 instância ao trabalhar com o Image Builder para criar imagens do Docker e, em seguida, registrar e armazenar as imagens em um repositório de contêineres do Amazon ECR. Isso não inclui as permissões necessárias para usar o Systems Manager Agent.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
CloudWatch Registros — O acesso é concedido para criar e carregar CloudWatch registros em qualquer grupo de registros cujo nome comece com
/aws/imagebuilder/
. -
Amazon ECR: o acesso é concedido ao Amazon ECR para obter, registrar e armazenar uma imagem de contêiner e obter um token de autorização.
-
Image Builder: o acesso é concedido para obter um componente ou fórmula de contêiner do Image Builder.
-
AWS KMS— O acesso é concedido para descriptografar um componente ou uma receita de contêiner do Image Builder, se ele tiver sido criptografado via. AWS KMS
-
Amazon S3: o acesso é concedido para obter objetos armazenados em um bucket do Amazon S3 cujo nome começa com
ec2imagebuilder-
.
Para ver as permissões dessa política, consulte EC2InstanceProfileForImageBuilderECRContainerBuildsna Referência de política AWS gerenciada.
Atualizações do Image Builder para políticas AWS gerenciadas
Esta seção fornece informações sobre atualizações nas políticas AWS gerenciadas do Image Builder desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações realizadas nesta página, inscreva-se no feed RSS na página Histórico de documentos do Image Builder.
Alteração | Descrição | Data |
---|---|---|
AWSServiceRoleForImageBuilder: atualizar para uma política existente |
O Image Builder fez as seguintes alterações na função de serviço para oferecer suporte à importação de arquivos ISO do sistema operacional cliente Microsoft como imagem base.
|
30 de dezembro de 2024 |
EC2InstanceProfileForImageBuilder: atualizar para uma política existente |
O Image Builder fez as seguintes alterações na política de perfil da instância para oferecer suporte à criação de imagens a partir de arquivos de imagem de disco.
|
30 de dezembro de 2024 |
EC2InstanceProfileForImageBuilder: política atualizada |
O Image Builder atualizou a |
2 de dezembro de 2024 |
EC2ImageBuilderLifecycleExecutionPolicy – Nova política |
O Image Builder adicionou a nova política |
17 de novembro de 2023 |
AWSServiceRoleForImageBuilder: atualizar para uma política existente |
O Image Builder fez as alterações a seguir no perfil de serviço para oferecer compatibilidade com o posicionamento de instâncias.
|
19 de outubro de 2023 |
AWSServiceRoleForImageBuilder: atualizar para uma política existente |
O Image Builder fez as alterações a seguir no perfil de serviço para oferecer compatibilidade com o posicionamento de instâncias.
|
28 de setembro de 2023 |
AWSServiceRoleForImageBuilder: atualizar para uma política existente |
O Image Builder fez as seguintes alterações no perfil de serviço para permitir que os fluxos de trabalho do Image Builder coletassem descobertas de vulnerabilidade para compilações de imagens de contêiner AMI e ECR. As novas permissões são compatíveis com o atributo de detecção e geração de relatórios do CVE.
|
30 de março de 2023 |
AWSServiceRoleForImageBuilder: atualizar para uma política existente |
O Image Builder fez as alterações a seguir no perfil de serviço:
|
22 de março de 2022 |
AWSServiceRoleForImageBuilder: atualizar para uma política existente |
O Image Builder fez as alterações a seguir no perfil de serviço:
|
21 de fevereiro de 2022 |
AWSServiceRoleForImageBuilder: atualizar para uma política existente |
O Image Builder fez as alterações a seguir no perfil de serviço:
|
20 de novembro de 2021 |
AWSServiceRoleForImageBuilder: atualizar para uma política existente |
O Image Builder adicionou novas permissões para corrigir problemas em que mais de uma associação de inventário faz com que a criação da imagem fique paralisada. |
11 de agosto de 2021 |
AWSImageBuilderFullAccess: atualizar para uma política existente |
O Image Builder fez as alterações a seguir no perfil de acesso total:
|
13 de abril de 2021 |
O Image Builder começou a monitorar alterações |
O Image Builder começou a monitorar as mudanças em suas políticas AWS gerenciadas. |
02 de abril de 2021 |