本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 EC2 Image Builder 的 AWS 受管理原則
受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。
請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新API作業可供現有服務使 AWS 服務 用時,最有可能更新 AWS 受管理的策略。
如需詳細資訊,請參閱IAM使用指南中的AWS 受管理策略。
AWSImageBuilderFullAccess 政策
此AWSImageBuilderFullAccess原則會針對附加的角色授與 Image Builder 資源的完整存取權,允許角色列出、描述、建立、更新和刪除 Image Builder 資源。此策略也會將目標權限授與 AWS 服務 所需的相關權限,例如,驗證資源或在中顯示帳號的目前資源 AWS Management Console。
許可詳細資訊
此政策包含以下許可:
-
Image Builder — 授與管理存取權,以便角色可以列出、描述、建立、更新和刪除 Image Builder 資源。
-
Amazon EC2 — 授予 Amazon EC2 描述操作的訪問權限,這些操作需要驗證資源是否存在或獲取屬於該帳戶的資源列表。
-
IAM— 授與存取權以取得和使用名稱包含「imagebuilder」的執行個體設定檔,透過
iam:GetRoleAPI動作驗證映 Image Builder 服務連結角色是否存在,以及建立映 Image Builder 服務連結角色。 -
L@@ icense Manager — 授與存取權以列出資源的授權配置或授權。
-
Amazon S3 — 將存取權授予列出屬於該帳戶的儲存貯體,以及名稱中包含「imagebuilder」的映像產生器儲存貯體。
-
Amazon SNS — 向 Amazon 授予寫入許可,SNS以驗證包含「圖像生成器」主題的主題所有權。
政策範例
以下是AWSImageBuilderFullAccess策略的範例。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "arn:aws:sns:*:*:*imagebuilder*" }, { "Effect": "Allow", "Action": [ "license-manager:ListLicenseConfigurations", "license-manager:ListLicenseSpecificationsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" }, { "Effect": "Allow", "Action": [ "iam:GetInstanceProfile" ], "Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*" }, { "Effect": "Allow", "Action": [ "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:instance-profile/*imagebuilder*", "arn:aws:iam::*:role/*imagebuilder*" ], "Condition": { "StringEquals": { "iam:PassedToService": "ec2.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3::*:*imagebuilder*" }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder", "Condition": { "StringLike": { "iam:AWSServiceName": "imagebuilder.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeSnapshots", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeVolumes", "ec2:DescribeSubnets", "ec2:DescribeKeyPairs", "ec2:DescribeSecurityGroups", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeLaunchTemplates" ], "Resource": "*" } ] }
AWSImageBuilderReadOnlyAccess 政策
此原AWSImageBuilderReadOnlyAccess則提供對所有 Image Builder 資源的唯讀存取權。授與權限可透過iam:GetRoleAPI動作驗證 Image Builder 服務連結角色是否存在。
許可詳細資訊
此政策包含以下許可:
-
Image Builder — 授與對映 Image Builder 資源的唯讀存取權限。
-
IAM— 授與存取權以透過
iam:GetRoleAPI動作驗證 Image Builder 服務連結角色是否存在。
政策範例
以下是AWSImageBuilderReadOnlyAccess策略的範例。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:Get*", "imagebuilder:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" } ] }
AWSServiceRoleForImageBuilder 政策
此原AWSServiceRoleForImageBuilder則允許 Image Builder 代 AWS 服務 表您呼叫。
許可詳細資訊
當透過 Systems Manager 理員建立角色時,此原則會附加至 Image Builder 服務連結角色。如需有關 Image Builder 服務連結角色的詳細資訊,請參閱針對 Image Builder 使用IAM服務連結角色。
該策略包括以下權限:
-
CloudWatch 防護記錄 — 具有建立記 CloudWatch 錄檔並將其上傳至名稱開頭為之任何記錄群組的存取權
/aws/imagebuilder/。 -
Amazon EC2 — 只要正在建立或使用的映像、EC2執行個體和磁碟區已標記為或,Image Builder 就可以使用相關快照、磁碟區、網路界面、子網路、安全群組、授權組態和金鑰對在您的帳戶中建立映像和啟動執行個體的存
CreatedBy: EC2 Image Builder取CreatedBy: EC2 Fast Launch權。Image Builder 可以取得有關 Amazon 映EC2像、執行個體屬性、執行個體狀態、帳戶可用的執行個體類型、啟動範本、子網路、主機和 Amazon EC2 資源上標籤的相關資訊。
Image Builder 可以更新映像設定,以啟用或停用在映像標記的帳戶中更快啟動 Windows 執行個體
CreatedBy: EC2 Image Builder。此外,Image Builder 可以啟動、停止和終止帳戶中正在執行的執行個體、共用 Amazon EBS 快照、建立和更新映像以及啟動範本、取消註冊現有映像、新增標記,以及跨您透過Ec2ImageBuilderCrossAccountDistributionAccess政策授予許可的帳戶複寫映像。如前所述,所有這些動作都需要「Image Builder」標籤。
-
Amazon ECR — 如果需要容器映像檔弱點掃描,Image Builder 會授予存取權以建立儲存庫,並標記其建立的資源以限制其作業範圍。Image Builder 也會授予存取權,以便在擷取弱點快照後刪除為掃描建立的容器映像檔。
-
EventBridge— 已授與 Image Builder 建立和管理 EventBridge 規則的存取權。
-
IAM— 授予 Image Builder 的存取權,可將您帳戶中的任何角色傳遞給 AmazonEC2,以及虛擬機器匯入/匯出。
-
Amazon Inspector — 授予 Image Builder 的存取權,以判斷 Amazon Inspector 何時完成建置執行個體掃描,並收集設定為允許的映像檔的發現項目。
-
AWS KMS— 授予 Amazon 對 Amazon EBS 卷進行EBS加密,解密或重新加密的訪問權限。這對於確保加密磁碟區在 Image Builder 建立映像時能夠正常運作至關重要。
-
L@@ icense Manager — 授予 Image Builder 的存取權,以便透過更新 License Manager 規格
license-manager:UpdateLicenseSpecificationsForResource。 -
Amazon SNS — 您帳戶中的任何 Amazon SNS 主題都授予寫入許可。
-
系統管理員 — Image Builder 可以存取列出 Systems Manager 命令及其呼叫、清查項目、描述執行個體資訊和自動化執行狀態、描述執行個體放置支援的主機,以及取得命令叫用詳細資訊。Image Builder 也可以傳送自動化訊號,並停止帳戶中任何資源的自動化執行。
Image Builder 可以
"CreatedBy": "EC2 Image Builder"針對下列指令碼檔案標記的任何執行個體發出執行命令叫用:AWS-RunPowerShellScriptAWS-RunShellScript、或。AWSEC2-RunSysprepImage Builder 可以在您的帳戶中啟動 Systems Manager 自動化執行,以執行名稱開頭為的自動化文件ImageBuilder。Image Builder 也能夠建立或刪除帳戶中任何執行個體的「狀態管理員」關聯,只要關聯文件是
AWS-GatherSoftwareInventory,並在您的帳戶中建立 Systems Manager 服務連結角色。 -
AWS STS— Image Builder 可將存取權限EC2ImageBuilderDistributionCrossAccountRole從您的帳戶指定到角色上信任策略允許的任何帳戶中指定的角色。這是用於跨帳戶映像分配。
若要檢視此原則的權限,請參閱AWS 受管理AWSServiceRoleForImageBuilder的策略參考中的。
Ec2ImageBuilderCrossAccountDistributionAccess 政策
此Ec2ImageBuilderCrossAccountDistributionAccess原則會授與 Image Builder 在目標區域中跨帳戶散發映像的權限。此外,Image Builder 可以描述、複製和套用標籤至帳戶中的任何 Amazon EC2 映像。此原則也會授與透過ec2:ModifyImageAttributeAPI動作修改AMI權限的能力。
許可詳細資訊
此政策包含以下許可:
-
Amazon EC2 — Amazon 授予訪問權限,EC2以描述,複製和修改圖像的屬性,並為帳戶中的任何 Amazon EC2 圖像創建標籤。
政策範例
以下是Ec2ImageBuilderCrossAccountDistributionAccess策略的範例。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*::image/*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" } ] }
EC2ImageBuilderLifecycleExecutionPolicy 政策
此EC2ImageBuilderLifecycleExecutionPolicy原則授予 Image Builder 執行動作 (例如取代、停用或刪除 Image Builder 映像資源及其基礎資源 (快照) 的權限AMIs,以支援映像生命週期管理工作的自動化規則。
許可詳細資訊
此政策包含以下許可:
-
Amazon EC2 — Amazon 授予訪問權限,以EC2便在標記為的帳戶中對 Amazon 機器映像(AMIs)執行以下操作
CreatedBy: EC2 Image Builder。-
啟用和停用AMI.
-
啟用和禁用圖像棄用。
-
描述和取AMI消註冊.
-
描述和修改AMI圖像屬性。
-
刪除與相關聯的磁碟區快照AMI。
-
擷取資源的標籤。
-
從棄用中添加或刪除標籤。AMI
-
-
Amazon ECR — 授予 Amazon 訪問權限,以ECR便在帶有
LifecycleExecutionAccess: EC2 Image Builder標籤的ECR存儲庫上執行以下批次操作。Batch 動作支援自動容器映像生命週期規則。-
ecr:BatchGetImage -
ecr:BatchDeleteImage
對於標記為的儲存庫,存取權會在ECR儲存庫層級授與
LifecycleExecutionAccess: EC2 Image Builder。 -
-
AWS 資源群組 — 授與 Image Builder 的存取權,以根據標籤取得資源。
-
EC2Image Builder-授予 Image Builder 刪除 Image Builder 圖像資源的訪問權限。
政策範例
以下是EC2ImageBuilderLifecycleExecutionPolicy策略的範例。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Ec2ImagePermission", "Effect": "Allow", "Action": [ "ec2:EnableImage", "ec2:DeregisterImage", "ec2:EnableImageDeprecation", "ec2:DescribeImageAttribute", "ec2:DisableImage", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2DeleteSnapshotPermission", "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2TagsPermission", "Effect": "Allow", "Action": [ "ec2:DeleteTags", "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ], "Condition": { "StringEquals": { "aws:RequestTag/DeprecatedBy": "EC2 Image Builder", "aws:ResourceTag/CreatedBy": "EC2 Image Builder" }, "ForAllValues:StringEquals": { "aws:TagKeys": "DeprecatedBy" } } }, { "Sid": "ECRImagePermission", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:BatchDeleteImage" ], "Resource": "arn:aws:ecr:*:*:repository/*", "Condition": { "StringEquals": { "ecr:ResourceTag/LifecycleExecutionAccess": "EC2 Image Builder" } } }, { "Sid": "ImageBuilderEC2TagServicePermission", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "tag:GetResources", "imagebuilder:DeleteImage" ], "Resource": "*" } ] }
EC2InstanceProfileForImageBuilder 政策
此EC2InstanceProfileForImageBuilder原則會授與EC2執行個體搭配 Image Builder 使用所需的最低權限。這不包括使用系統管理員代理程式所需的權限。
許可詳細資訊
此政策包含以下許可:
-
CloudWatch 防護記錄 — 具有建立記 CloudWatch 錄檔並將其上傳至名稱開頭為之任何記錄群組的存取權
/aws/imagebuilder/。 -
Image Builder-訪問被授予獲得任何 Image Builder 組件。
-
AWS KMS— 如果透過加密 Image Builder 元件,則會授與存取權以解密 AWS KMS。
-
Amazon S3 — 授予存取權以取得存放在名稱開頭為之 Amazon S3 儲存貯體中的物件
ec2imagebuilder-。
政策範例
以下是EC2InstanceProfileForImageBuilder策略的範例。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
EC2InstanceProfileForImageBuilderECRContainerBuilds 政策
使用 Image Builder 建立 Docker 映像,然後在 Amazon ECR 容器儲存庫中註冊並存放映像時,EC2InstanceProfileForImageBuilderECRContainerBuilds政策會授予EC2執行個體所需的最低許可。這不包括使用系統管理員代理程式所需的權限。
許可詳細資訊
此政策包含以下許可:
-
CloudWatch 防護記錄 — 具有建立記 CloudWatch 錄檔並將其上傳至名稱開頭為之任何記錄群組的存取權
/aws/imagebuilder/。 -
Amazon ECR — Amazon 授予訪問權限,ECR以獲取,註冊和存儲容器映像以及獲取授權令牌。
-
Image Builder-授予訪問權限以獲得 Image Builder 組件或容器配方。
-
AWS KMS— 授予存取權以解密 Image Builder 元件或容器配方 (如果已透過加密) AWS KMS。
-
Amazon S3 — 授予存取權以取得存放在名稱開頭為之 Amazon S3 儲存貯體中的物件
ec2imagebuilder-。
政策範例
以下是EC2InstanceProfileForImageBuilderECRContainerBuilds策略的範例。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent", "imagebuilder:GetContainerRecipe", "ecr:GetAuthorizationToken", "ecr:BatchGetImage", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:PutImage" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
AWS 受管理策略的 Image Builder 更新
本節提供有關 Image Builder AWS 受管理原則的更新資訊,因為此服務開始追蹤這些變更。如需有關此頁面變更的自動警示,請訂閱 Image Builder 文件歷程記錄頁面上的RSS摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
Image Builder 新增了包含映像生命週期管理權限的新 |
2023 年 11 月 17 日 | |
|
AWSServiceRoleForImageBuilder – 更新現有政策 |
Image Builder 對服務角色進行了下列變更,以提供執行個體放置支援。
|
2023 年 10 月 19 日 |
|
AWSServiceRoleForImageBuilder – 更新現有政策 |
Image Builder 對服務角色進行了下列變更,以提供執行個體放置支援。
|
2023 年 9 月 28 日 |
|
AWSServiceRoleForImageBuilder – 更新現有政策 |
映像產生器對服務角色進行了下列變更,以允許 Image Builder 工作流程收集AMI與ECR容器映像組建的弱點發現項目。新的權限支援CVE偵測和報告功能。
|
2023 年 3 月 30 日 |
|
AWSServiceRoleForImageBuilder – 更新現有政策 |
Image Builder 對服務角色進行了下列變更:
|
2022 年 3 月 22 日 |
|
AWSServiceRoleForImageBuilder – 更新現有政策 |
Image Builder 對服務角色進行了下列變更:
|
2022 年 2 月 21 日 |
|
AWSServiceRoleForImageBuilder – 更新現有政策 |
Image Builder 對服務角色進行了下列變更:
|
2021年11月20日 |
|
AWSServiceRoleForImageBuilder – 更新現有政策 |
Image Builder 新增了新權限,以修正多個庫存關聯導致映像組建卡住的問題。 |
2021 年 8 月 11 日 |
|
AWSImageBuilderFullAccess – 更新現有政策 |
Image Builder 對完整存取角色進行了下列變更:
|
2021 年 4 月 13 日 |
|
Image Builder 開始追蹤變更 |
Image Builder 開始追蹤其 AWS 受管理策略的變更。 |
2021年4月02 日 |
