As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Integração do Identity and Access Management com o Image Builder
**Topics**
+ [Público](#security-iam-audience)
+ [Autenticação com identidades](#security-iam-authentication)
+ [Como o Image Builder utiliza políticas e perfis do IAM](security_iam_service-with-iam.md)
+ [Gerencie perímetros de dados para acesso ao download do bucket S3 no Image Builder](security-iam-data-perimeter.md)
+ [Políticas baseadas em identidade do Image Builder](security-iam-identity-based-policies.md)
+ [Permissões do IAM para fluxos de trabalho personalizados](#security-iam-custom-workflows)
+ [Políticas baseadas em recursos do Image Builder](#security-iam-resource-based-policies)
+ [Use políticas AWS gerenciadas para o EC2 Image Builder](security-iam-awsmanpol.md)
+ [Usar perfis do IAM vinculados ao serviço para o Image Builder](image-builder-service-linked-role.md)
+ [Solucionar problemas do IAM no Image Builder](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solucionar problemas do IAM no Image Builder](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Image Builder utiliza políticas e perfis do IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Políticas baseadas em identidade do Image Builder](security_iam_service-with-iam.md#security_iam_id-based-policy-examples))
## Autenticação com identidades
Para obter informações detalhadas sobre como fornecer autenticação para pessoas e processos em seu Conta da AWS, consulte [Identidades](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) no *Guia do usuário do IAM*.
## Permissões do IAM para fluxos de trabalho personalizados
Ao usar fluxos de trabalho personalizados com ações de etapas específicas[RegisterImage](wfdoc-step-actions.md#wfdoc-step-action-register-image), como permissões adicionais do IAM, podem ser necessárias além das políticas gerenciadas padrão do Image Builder. Esta seção descreve as permissões adicionais necessárias para ações personalizadas das etapas do fluxo de trabalho.
### RegisterImage permissões de ação de etapa
A ação da `RegisterImage` etapa exige permissões específicas do Amazon EC2 para registrar AMIs e, opcionalmente, recuperar tags de snapshot. Ao usar o `includeSnapshotTags` parâmetro, são necessárias permissões adicionais para descrever os instantâneos.
**Permissões necessárias para a ação da RegisterImage etapa:**
Para todos os recursos, permita as seguintes ações:
+ `ec2:RegisterImage`
+ `ec2:DescribeSnapshots`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RegisterImage",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::image/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "RegisterImage"
}
}
}
]
}
```
**Detalhes da permissão:**
+ `ec2:RegisterImage`- Necessário para registrar novos a AMIs partir de instantâneos
+ `ec2:DescribeSnapshots`- Obrigatório ao usar `includeSnapshotTags: true` para recuperar tags de instantâneo para mesclagem com tags AMI
+ `ec2:CreateTags`- Obrigatório para aplicar tags à AMI registrada, incluindo as tags padrão do Image Builder e as tags de snapshot mescladas
**nota**
A `ec2:DescribeSnapshots` permissão só é usada quando o `includeSnapshotTags` parâmetro é definido como`true`. Se você não usar esse recurso, poderá omitir essa permissão.
**Comportamento de mesclagem de tags:**
Quando `includeSnapshotTags` estiver ativada, a ação da RegisterImage etapa:
+ Recupere as tags do primeiro instantâneo especificado no mapeamento do dispositivo de bloco
+ Exclua todas as tags AWS reservadas (aquelas com chaves começando com “aws:”)
+ Mescle tags de snapshot com as tags de registro de AMI padrão do Image Builder
+ Dê precedência às tags do Image Builder quando as chaves de tag entrarem em conflito
## Políticas baseadas em recursos do Image Builder
Para informações sobre como criar um componente, consulte [Usar componentes para personalizar sua imagem do Image Builder](manage-components.md).
### Restringir o acesso do componente do construtor de imagens a endereços IP específicos
O exemplo a seguir concede permissões a qualquer usuário para executar qualquer operação do Image Builder em componentes. No entanto, a solicitação deve se originar no intervalo de endereços IP especificados na condição.
A condição nesta declaração identifica o intervalo 54.240.143.\$1 de endereços IP permitidos do Protocolo de Internet versão 4 (IPv4), com uma exceção: 54.240.143.188.
O `Condition` bloco usa as `NotIpAddress` condições `IpAddress` e e a chave de `aws:SourceIp` condição, que é uma chave AWS de condição ampla. Para obter mais informações sobre essas chaves de condições, consulte [Especificar condições em uma política](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html). Os `aws:sourceIp` IPv4 valores usam a notação CIDR padrão. Para obter mais informações, consulte [Operadores de condição de endereço IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) no *Guia do usuário do IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "IBPolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Action": "imagebuilder:GetComponent",
"Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
```
------