本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 EC2 Image Builder 的 AWS 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常見使用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受管政策中 AWS 定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新受 AWS 管政策。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AWSImageBuilderFullAccess 政策
此AWSImageBuilderFullAccess政策會授予其連接之角色的完整 Image Builder 資源存取權,讓該角色能夠列出、描述、建立、更新和刪除 Image Builder 資源。政策也會將目標許可授予所需的相關 AWS 服務 ,例如,驗證 資源,或在 中顯示帳戶的目前資源 AWS Management Console。
許可詳細資訊
此政策包含以下許可:
-
Image Builder – 授予管理存取權,讓角色可以列出、描述、建立、更新和刪除 Image Builder 資源。
-
Amazon EC2 – Amazon EC2 授予存取權 描述驗證資源存在或取得屬於帳戶之資源清單所需的動作。
-
IAM – 授予存取權,以取得和使用名稱包含 "imagebuilder" 的執行個體設定檔、透過
iam:GetRoleAPI 動作驗證 Image Builder 服務連結角色是否存在,以及建立 Image Builder 服務連結角色。 -
License Manager – 授予存取權以列出資源的授權組態或授權。
-
Amazon S3 – 授予存取權以列出屬於帳戶的儲存貯體,以及名稱中具有「imagebuilder」的 Image Builder 儲存貯體。
-
Amazon SNS – 寫入許可會授予 Amazon SNS,以驗證包含 "imagebuilder" 主題的主題擁有權。
若要檢視此政策的許可,請參閱 AWS 受管政策參考中的 AWSImageBuilderFullAccess。
AWSImageBuilderReadOnlyAccess 政策
此AWSImageBuilderReadOnlyAccess政策提供所有 Image Builder 資源的唯讀存取權。授予許可,以透過 iam:GetRole API 動作驗證 Image Builder 服務連結角色是否存在。
許可詳細資訊
此政策包含以下許可:
-
Image Builder – 授予對 Image Builder 資源的唯讀存取權。
-
IAM – 透過
iam:GetRoleAPI 動作授予存取權,以驗證 Image Builder 服務連結角色是否存在。
若要檢視此政策的許可,請參閱 AWS 受管政策參考中的 AWSImageBuilderReadOnlyAccess。
AWSServiceRoleForImageBuilder 政策
此AWSServiceRoleForImageBuilder政策允許 Image Builder AWS 服務 代表您呼叫 。
許可詳細資訊
透過 Systems Manager 建立角色時,此政策會連接至 Image Builder 服務連結角色。如需 Image Builder 服務連結角色的詳細資訊,請參閱使用 Image Builder 的 IAM 服務連結角色。
此政策包含下列許可:
-
CloudWatch Logs – 授予建立 CloudWatch Logs 並將其上傳至名稱開頭為 的任何日誌群組的存取權
/aws/imagebuilder/。 -
Amazon EC2 – 授予 Image Builder 在您的帳戶中建立、拍攝和註冊其建立和啟動 EC2 執行個體之映像 (AMIs) 的存取權。Image Builder 會視需要使用相關的快照、磁碟區、網路介面、子網路、安全群組、授權組態和金鑰對,只要建立或使用的影像、執行個體和磁碟區都加上
CreatedBy: EC2 Image Builder或 的標籤CreatedBy: EC2 Fast Launch。Image Builder 可以取得有關 Amazon EC2 映像、執行個體屬性、執行個體狀態、您帳戶可用的執行個體類型、啟動範本、子網路、主機和 Amazon EC2 資源標籤的資訊。
Image Builder 可以更新映像設定,以啟用或停用在帳戶中更快速啟動 Windows 執行個體,其中映像會加上 標籤
CreatedBy: EC2 Image Builder。此外,Image Builder 可以啟動、停止和終止在您帳戶中執行的執行個體、共用 Amazon EBS 快照、建立和更新映像和啟動範本、取消註冊現有映像、新增標籤,以及將映像複寫至您已透過 Ec2ImageBuilderCrossAccountDistributionAccess政策授予許可的帳戶中。所有這些動作都需要映像建置器標記,如前所述。
-
Amazon ECR – 若容器映像漏洞掃描需要,會授予 Image Builder 建立儲存庫的存取權,並標記其建立的資源以限制其操作範圍。也會授予 Image Builder 在擷取漏洞快照後刪除其為掃描建立之容器映像的存取權。
-
EventBridge – 授予 Image Builder 建立和管理 EventBridge 規則的存取權。
-
IAM – 授予 Image Builder 將帳戶中任何角色傳遞至 Amazon EC2 和 VM Import/Export 的存取權。
-
Amazon Inspector – 授予 Image Builder 存取權,以判斷 Amazon Inspector 何時完成建置執行個體掃描,並收集設定為允許之映像的調查結果。
-
AWS KMS – 授予 Amazon EBS 加密、解密或重新加密 Amazon EBS 磁碟區的存取權。這對於確保加密磁碟區在 Image Builder 建置映像時運作至關重要。
-
License Manager – 授予 Image Builder 透過 更新 License Manager 規格的存取權
license-manager:UpdateLicenseSpecificationsForResource。 -
Amazon SNS – 寫入許可會授予您帳戶中任何 Amazon SNS 主題。
-
Systems Manager – 授予 Image Builder 列出 Systems Manager 命令及其調用、清查項目的存取權、描述執行個體資訊和自動化執行狀態、描述執行個體置放支援的主機,以及取得命令調用詳細資訊。Image Builder 也可以傳送自動化訊號,並停止您帳戶中任何資源的自動化執行。
Image Builder 能夠向任何已標記
"CreatedBy": "EC2 Image Builder"下列指令碼檔案的執行個體發出執行命令叫用:AWS-RunPowerShellScript、AWS-RunShellScript或AWSEC2-RunSysprep。Image Builder 可以在您的 帳戶中啟動自動化文件的 Systems Manager 自動化執行,其中名稱開頭為ImageBuilder。Image Builder 也可以為您的帳戶中的任何執行個體建立或刪除 State Manager 關聯,只要關聯文件為
AWS-GatherSoftwareInventory,並在您的帳戶中建立 Systems Manager 服務連結角色。 -
AWS STS – 授予 Image Builder 存取權,讓 Image Builder EC2ImageBuilderDistributionCrossAccountRole 擔任從您的帳戶到角色上的信任政策允許的任何帳戶所擔任的角色。這用於跨帳戶影像分佈。
若要檢視此政策的許可,請參閱 AWS 受管政策參考中的 AWSServiceRoleForImageBuilder。
Ec2ImageBuilderCrossAccountDistributionAccess 政策
此Ec2ImageBuilderCrossAccountDistributionAccess政策授予許可,讓 Image Builder 將映像分佈到目標區域中的帳戶。此外,Image Builder 可以描述、複製標籤,並將標籤套用至帳戶中的任何 Amazon EC2 映像。此政策也授予透過 ec2:ModifyImageAttribute API 動作修改 AMI 許可的能力。
許可詳細資訊
此政策包含以下許可:
-
Amazon EC2 – Amazon EC2 會授予存取權,以描述、複製和修改映像的屬性,以及為帳戶中的任何 Amazon EC2 映像建立標籤。
若要檢視此政策的許可,請參閱 AWS 受管政策參考中的 Ec2ImageBuilderCrossAccountDistributionAccess。
EC2ImageBuilderLifecycleExecutionPolicy 政策
此EC2ImageBuilderLifecycleExecutionPolicy政策授予 Image Builder 執行動作的許可,例如棄用、停用或刪除 Image Builder 映像資源及其基礎資源 (AMIs、快照),以支援映像生命週期管理任務的自動化規則。
許可詳細資訊
此政策包含以下許可:
-
Amazon EC2 – 授予 Amazon EC2 存取權,以對標記 的帳戶中的 Amazon Machine Image (AMIs) 執行下列動作
CreatedBy: EC2 Image Builder。-
啟用和停用 AMI。
-
啟用和停用映像棄用。
-
描述和取消註冊 AMI。
-
描述和修改 AMI 映像屬性。
-
刪除與 AMI 相關聯的磁碟區快照。
-
擷取資源的標籤。
-
從 AMI 新增或移除標籤以取代。
-
-
Amazon ECR – Amazon ECR 會授予存取權,以在具有
LifecycleExecutionAccess: EC2 Image Builder標籤的 ECR 儲存庫上執行下列批次動作。批次動作支援自動化容器映像生命週期規則。-
ecr:BatchGetImage -
ecr:BatchDeleteImage
在儲存庫層級,為標記 的 ECR 儲存庫授予存取權
LifecycleExecutionAccess: EC2 Image Builder。 -
-
AWS 資源群組 – 授予 Image Builder 根據標籤取得資源的存取權。
-
EC2 Image Builder – 授予 Image Builder 刪除 Image Builder 映像資源的存取權。
若要檢視此政策的許可,請參閱 AWS 受管政策參考中的 EC2ImageBuilderLifecycleExecutionPolicy。
EC2InstanceProfileForImageBuilder 政策
此EC2InstanceProfileForImageBuilder政策會授予 EC2 執行個體使用 Image Builder 所需的最低許可。這不包括使用 Systems Manager Agent 所需的許可。
許可詳細資訊
此政策包含以下許可:
-
CloudWatch Logs – 授予建立 CloudWatch Logs 並將其上傳至名稱開頭為 的任何日誌群組的存取權
/aws/imagebuilder/。 -
Amazon EC2 – 授予存取權來描述磁碟區和快照、建立 Image Builder 建立的磁碟區或快照資源快照,以及建立 Image Builder 資源的標籤。
-
映像建置器 – 授予存取以取得任何映像建置器或 AWS Marketplace 元件。
-
AWS KMS – 如果透過 加密,則會授予解密 Image Builder 元件的存取權 AWS KMS。
-
Amazon S3 – 授予存取權,以取得儲存在名稱開頭為 的 Amazon S3 儲存貯體中的物件
ec2imagebuilder-,或具有 ISO 副檔名的資源。
若要檢視此政策的許可,請參閱 AWS 受管政策參考中的 EC2InstanceProfileForImageBuilder。
EC2InstanceProfileForImageBuilderECRContainerBuilds 政策
此EC2InstanceProfileForImageBuilderECRContainerBuilds政策會授予 EC2 執行個體使用 Image Builder 建置 Docker 映像時所需的最低許可,然後將映像註冊並存放在 Amazon ECR 容器儲存庫中。這不包括使用 Systems Manager Agent 所需的許可。
許可詳細資訊
此政策包含以下許可:
-
CloudWatch Logs – 授予建立 CloudWatch Logs 並將其上傳至名稱開頭為 的任何日誌群組的存取權
/aws/imagebuilder/。 -
Amazon ECR – 授予 Amazon ECR 取得、註冊和存放容器映像,以及取得授權字符的存取權。
-
映像建置器 – 授予存取以取得映像建置器元件或容器配方。
-
AWS KMS – 如果 Image Builder 元件或容器配方是透過 加密,則會授予其解密的存取權 AWS KMS。
-
Amazon S3 – 授予存取權,讓物件存放在名稱開頭為 的 Amazon S3 儲存貯體中
ec2imagebuilder-。
若要檢視此政策的許可,請參閱 AWS 受管政策參考中的 EC2InstanceProfileForImageBuilderECRContainerBuilds。
受 AWS 管政策的映像建置器更新
本節提供有關 Image Builder 受 AWS 管政策自此服務開始追蹤這些變更以來的更新資訊。如需此頁面變更的自動提醒,請訂閱 Image Builder 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
AWSServiceRoleForImageBuilder – 更新現有政策 |
Image Builder 對 服務角色進行了下列變更,以支援匯入 Microsoft 用戶端作業系統 ISO 檔案作為基礎映像。
|
2024 年 12 月 30 日 |
|
EC2InstanceProfileForImageBuilder – 更新現有政策 |
Image Builder 對執行個體設定檔政策進行了下列變更,以支援從磁碟映像檔案建立映像。
|
2024 年 12 月 30 日 |
|
Image Builder 已更新 |
2024 年 12 月 2 日 | |
|
Image Builder 新增了包含映像生命週期管理許可的新 |
2023 年 11 月 17 日 | |
|
AWSServiceRoleForImageBuilder – 更新現有政策 |
Image Builder 對服務角色進行了下列變更,以提供執行個體置放支援。
|
2023 年 10 月 19 日 |
|
AWSServiceRoleForImageBuilder – 更新現有政策 |
Image Builder 對服務角色進行了下列變更,以提供執行個體置放支援。
|
2023 年 9 月 28 日 |
|
AWSServiceRoleForImageBuilder – 更新現有政策 |
Image Builder 對服務角色進行了下列變更,以允許 Image Builder 工作流程收集 AMI 和 ECR 容器映像組建的漏洞問題清單。新的許可支援 CVE 偵測和報告功能。
|
2023 年 3 月 30 日 |
|
AWSServiceRoleForImageBuilder – 更新現有政策 |
Image Builder 對服務角色進行了下列變更:
|
2022 年 3 月 22 日 |
|
AWSServiceRoleForImageBuilder – 更新現有政策 |
Image Builder 對服務角色進行了下列變更:
|
2022 年 2 月 21 日 |
|
AWSServiceRoleForImageBuilder – 更新現有政策 |
Image Builder 對服務角色進行了下列變更:
|
2021 年 11 月 20 日 |
|
AWSServiceRoleForImageBuilder – 更新現有政策 |
Image Builder 新增了新許可,以修正多個庫存關聯導致映像建置卡住的問題。 |
2021 年 8 月 11 日 |
|
AWSImageBuilderFullAccess – 更新現有政策 |
Image Builder 對完整存取角色進行了下列變更:
|
2021 年 4 月 13 日 |
|
Image Builder 已開始追蹤變更 |
Image Builder 開始追蹤其 AWS 受管政策的變更。 |
2021 年 4 月 2 日 |
