Image Builder 的 Identity and Access 管理集成 - EC2Image Builder

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Image Builder 的 Identity and Access 管理集成

受众

使用 AWS Identity and Access Management (IAM) 的方式会有所不同,具体取决于您在 Image Builder 中所做的工作。

服务用户 – 如果使用 Image Builder 服务来完成任务,则您的管理员会为您提供所需的凭证和权限。当您使用更多 Image Builder 功能来完成工作时,您可能需要额外权限。了解如何管理访问权限有助于您向管理员请求适合的权限。如果您无法访问 Image Builder 中的功能,请参阅 解决 Image Builder 中的IAM问题

服务管理员 – 如果您在公司负责管理 Image Builder 资源,则您可能具有 Image Builder 的完全访问权限。您有责任确定您的服务用户应访问哪些 Image Builder 功能和资源。然后,您必须向IAM管理员提交更改服务用户权限的请求。查看此页面上的信息以了解的基本概念IAM。要详细了解贵公司如何IAM与 Image Builder 配合使用,请参阅Image Builder 如何处理IAM策略和角色

IAM管理员-如果您是IAM管理员,则可能需要详细了解如何编写策略来管理 Image Builder 的访问权限。要查看可在中使用的基于身份的 Image Builder 策略示例IAM,请参阅。Image Builder 基于身份的策略

使用身份进行身份验证

有关如何为中的人员和流程提供身份验证的详细信息 AWS 账户,请参阅IAM用户指南中的身份

Image Builder 基于资源的策略

有关如何创建组件的信息,请参阅 使用组件自定义 Image Builder 镜像

限制 Image Builder 组件访问特定的 IP 地址

以下示例为任何用户授予权限以对组件执行任何 Image Builder 操作。但是,请求必须来自条件中指定的 IP 地址范围。

此语句中的条件标识了允许的互联网协议版本 4 (IPv4) IP 地址的 54.240.143.* 范围,但有一个例外:54.240.143.188。

Condition块使用IpAddressNotIpAddress条件和aws:SourceIp条件键,后者是一个 AWS宽范围的条件键。有关这些条件键的更多信息,请参阅在策略中指定条件。这些aws:sourceIpIPv4值使用标准CIDR表示法。有关更多信息,请参阅《IAM用户指南》中的 IP 地址条件运算符

{ "Version": "2012-10-17", "Id": "IBPolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Allow", "Principal": "*", "Action": "imagebuilder.GetComponent:*", "Resource": "arn:aws:imagebuilder:::examplecomponent/*", "Condition": { "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}, "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} } } ] }