本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Image Builder 的 Identity and Access Management 集成
**Topics**
+ [受众](#security-iam-audience)
+ [使用身份进行身份验证](#security-iam-authentication)
+ [Image Builder 如何与 IAM 策略和角色配合使用](security_iam_service-with-iam.md)
+ [在 Image Builder 中管理 S3 存储桶下载权限的数据边界](security-iam-data-perimeter.md)
+ [Image Builder 基于身份的策略](security-iam-identity-based-policies.md)
+ [自定义工作流程的 IAM 权限](#security-iam-custom-workflows)
+ [Image Builder 基于资源的策略](#security-iam-resource-based-policies)
+ [为 EC2 Image Builder 使用 AWS 托管策略](security-iam-awsmanpol.md)
+ [使用 Image Builder 的 IAM 服务相关角色](image-builder-service-linked-role.md)
+ [Image Builder 中的 IAM 问题疑难解答](security_iam_troubleshoot.md)
## 受众
您的使用方式 AWS Identity and Access Management (IAM) 因您的角色而异:
+ **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[Image Builder 中的 IAM 问题疑难解答](security_iam_troubleshoot.md))
+ **服务管理员**:确定用户访问权限并提交权限请求(请参阅[Image Builder 如何与 IAM 策略和角色配合使用](security_iam_service-with-iam.md))
+ **IAM 管理员**:编写用于管理访问权限的策略(请参阅[Image Builder 基于身份的策略](security_iam_service-with-iam.md#security_iam_id-based-policy-examples))
## 使用身份进行身份验证
有关如何为你的用户和流程提供身份验证的详细信息 AWS 账户,请参阅 *IAM 用户指南*中的[身份](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
## 自定义工作流程的 IAM 权限
使用带有特定步骤操作的自定义工作流程时[RegisterImage](wfdoc-step-actions.md#wfdoc-step-action-register-image),除了标准的 Image Builder 托管策略之外,可能需要其他 IAM 权限。本节介绍自定义工作流程步骤操作所需的其他权限。
### RegisterImage 步骤操作权限
该`RegisterImage`步骤操作需要特定的 Amazon EC2 权限才能注册AMIs 和可选地检索快照标签。使用`includeSnapshotTags`参数时,需要额外的权限来描述快照。
** RegisterImage 步骤操作所需的权限:**
对于所有资源,允许执行以下操作:
+ `ec2:RegisterImage`
+ `ec2:DescribeSnapshots`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RegisterImage",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::image/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "RegisterImage"
}
}
}
]
}
```
**权限详情:**
+ `ec2:RegisterImage`-需要 AMIs 从快照中注册新快照
+ `ec2:DescribeSnapshots`-使用检索快照标签`includeSnapshotTags: true`以与 AMI 标签合并时必填项
+ `ec2:CreateTags`-需要对注册的 AMI 应用标签,包括 Image Builder 默认标签和合并的快照标签
**注意**
该`ec2:DescribeSnapshots`权限仅在`includeSnapshotTags`参数设置为时使用`true`。如果您不使用此功能,则可以省略此权限。
**标签合并行为:**
`includeSnapshotTags`启用后, RegisterImage 步骤操作将:
+ 从块储存设备映射中指定的第一个快照中检索标签
+ 排除任何 AWS 保留的标签(密钥以 “aws:” 开头的标签)
+ 将快照标签与映像生成器的默认 AMI 注册标签合并
+ 当标签键发生冲突时,优先使用 Image Builder 标签
## Image Builder 基于资源的策略
有关如何创建组件的信息,请参阅 [使用组件自定义 Image Builder 映像](manage-components.md)。
### 限制 Image Builder 组件访问特定的 IP 地址
以下示例为任何用户授予权限以对组件执行任何 Image Builder 操作。但是,请求必须来自条件中指定的 IP 地址范围。
此语句中的条件标识了允许的互联网协议版本 4 (IPv4) IP 地址的 54.240.143.\$1 范围,但有一个例外:54.240.143.188。
该`Condition`块使用`IpAddress`和`NotIpAddress`条件和`aws:SourceIp`条件键,后者是一个 AWS宽范围的条件键。有关这些条件键的更多信息,请参阅[在策略中指定条件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html)。这些`aws:sourceIp` IPv4 值使用标准 CIDR 表示法。有关更多信息,请参阅 *《IAM 用户指南》*中的 [IP 地址条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "IBPolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Action": "imagebuilder:GetComponent",
"Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
```
------