Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Verwaltete Richtlinien für EC2 Image Builder verwenden
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.
AWSImageBuilderFullAccess-Richtlinie
Die AWSImageBuilderFullAccessRichtlinie gewährt vollen Zugriff auf Image Builder Builder-Ressourcen für die Rolle, der sie zugeordnet ist, sodass die Rolle Image Builder Builder-Ressourcen auflisten, beschreiben, erstellen, aktualisieren und löschen kann. Die Richtlinie gewährt außerdem gezielte Berechtigungen für verwandte Benutzer, AWS-Services die beispielsweise zur Überprüfung von Ressourcen oder zur Anzeige der aktuellen Ressourcen für das Konto in der erforderlich sind AWS Management Console.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen:
-
Image Builder — Administratorzugriff wird gewährt, sodass die Rolle Image Builder Builder-Ressourcen auflisten, beschreiben, erstellen, aktualisieren und löschen kann.
-
Amazon EC2 — Zugriff wird für Amazon EC2 gewährt. Beschreiben Sie Aktionen, die erforderlich sind, um das Vorhandensein von Ressourcen zu überprüfen oder Listen der Ressourcen abzurufen, die zu dem Konto gehören.
-
IAM — Zugriff wird gewährt, um Instanzprofile abzurufen und zu verwenden, deren Name „imagebuilder“ enthält, um das Vorhandensein der mit dem Service verknüpften Image Builder Builder-Rolle über die
iam:GetRoleAPI-Aktion zu überprüfen und um die mit dem Service verknüpfte Image Builder Builder-Rolle zu erstellen. -
License Manager — Zugriff wird gewährt, um Lizenzkonfigurationen oder Lizenzen für eine Ressource aufzulisten.
-
Amazon S3 — Zugriff wird auf Listen-Buckets gewährt, die zum Konto gehören, sowie auf Image Builder Builder-Buckets, deren Namen „imagebuilder“ enthalten.
-
Amazon SNS — Amazon SNS werden Schreibberechtigungen erteilt, um die Inhaberschaft von Themen zu überprüfen, die „Imagebuilder“ enthalten.
Beispiel für eine Richtlinie
Das Folgende ist ein Beispiel für die AWSImageBuilderFullAccess Richtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "arn:aws:sns:*:*:*imagebuilder*" }, { "Effect": "Allow", "Action": [ "license-manager:ListLicenseConfigurations", "license-manager:ListLicenseSpecificationsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" }, { "Effect": "Allow", "Action": [ "iam:GetInstanceProfile" ], "Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*" }, { "Effect": "Allow", "Action": [ "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:instance-profile/*imagebuilder*", "arn:aws:iam::*:role/*imagebuilder*" ], "Condition": { "StringEquals": { "iam:PassedToService": "ec2.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3::*:*imagebuilder*" }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder", "Condition": { "StringLike": { "iam:AWSServiceName": "imagebuilder.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeSnapshots", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeVolumes", "ec2:DescribeSubnets", "ec2:DescribeKeyPairs", "ec2:DescribeSecurityGroups", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeLaunchTemplates" ], "Resource": "*" } ] }
AWSImageBuilderReadOnlyAccess-Richtlinie
Die AWSImageBuilderReadOnlyAccessRichtlinie bietet schreibgeschützten Zugriff auf alle Image Builder Builder-Ressourcen. Über die iam:GetRole API-Aktion werden Berechtigungen erteilt, um zu überprüfen, ob die mit dem Image Builder Builder-Dienst verknüpfte Rolle vorhanden ist.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen:
-
Image Builder — Der Zugriff wird für den schreibgeschützten Zugriff auf Image Builder Builder-Ressourcen gewährt.
-
IAM — Zugriff wird gewährt, um das Vorhandensein der mit dem Service verknüpften Image Builder Builder-Rolle über die
iam:GetRoleAPI-Aktion zu überprüfen.
Beispiel für eine Richtlinie
Das Folgende ist ein Beispiel für die AWSImageBuilderReadOnlyAccess Richtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:Get*", "imagebuilder:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" } ] }
AWSServiceRoleForImageBuilder-Richtlinie
Die AWSServiceRoleForImageBuilderRichtlinie ermöglicht es Image Builder, in AWS-Services Ihrem Namen anzurufen.
Details zu Berechtigungen
Diese Richtlinie wird der mit dem Dienst verknüpften Image Builder Builder-Rolle zugewiesen, wenn die Rolle über Systems Manager erstellt wird. Informationen zu bestimmten erteilten Berechtigungen finden Sie im Richtlinienbeispiel in diesem Abschnitt. Weitere Informationen zur dienstverknüpften Image Builder Builder-Rolle finden Sie unterVerwenden Sie mit dem IAM-Service verknüpfte Rollen für EC2 Image Builder.
Die Richtlinie umfasst die folgenden Berechtigungen:
-
CloudWatch Protokolle — Zugriff auf das Erstellen und Hochladen von CloudWatch Protokollen in jede Protokollgruppe, deren Name mit beginnt, wird gewährt
/aws/imagebuilder/. -
Amazon EC2 — Image Builder erhält Zugriff, um Images zu erstellen und EC2-Instances in Ihrem Konto zu starten, wobei nach Bedarf zugehörige Snapshots, Volumes, Netzwerkschnittstellen, Subnetze, Sicherheitsgruppen, Lizenzkonfigurationen und Schlüsselpaare verwendet werden, sofern das Image, die Instance und die Volumes, die erstellt oder verwendet werden, mit oder gekennzeichnet sind.
CreatedBy: EC2 Image BuilderCreatedBy: EC2 Fast LaunchImage Builder kann Informationen über Amazon EC2 EC2-Images, Instance-Attribute, Instance-Status, die für Ihr Konto verfügbaren Instance-Typen, Startvorlagen, Subnetze, Hosts und Tags auf Ihren Amazon EC2 EC2-Ressourcen abrufen.
Image Builder kann die Bildeinstellungen aktualisieren, um das schnellere Starten von Windows-Instanzen in Ihrem Konto zu aktivieren oder zu deaktivieren, mit denen das Bild gekennzeichnet ist
CreatedBy: EC2 Image Builder.Darüber hinaus kann Image Builder Instances, die in Ihrem Konto ausgeführt werden, starten, stoppen und beenden, Amazon EBS-Snapshots teilen, Images erstellen und aktualisieren und Vorlagen starten, bestehende Images deregistrieren, Tags hinzufügen und Images zwischen Konten replizieren, für die Sie über die Richtlinie Berechtigungen erteilt haben. Ec2ImageBuilderCrossAccountDistributionAccess Image Builder Builder-Tagging ist für all diese Aktionen erforderlich, wie zuvor beschrieben.
-
Amazon ECR — Image Builder erhält Zugriff, um bei Bedarf ein Repository für Container-Image-Schwachstellenscans zu erstellen und die erstellten Ressourcen zu taggen, um den Umfang seiner Operationen einzuschränken. Image Builder erhält außerdem Zugriff auf das Löschen der Container-Images, die es für die Scans erstellt hat, nachdem es Schnappschüsse der Sicherheitsanfälligkeiten erstellt hat.
-
EventBridge— Image Builder erhält Zugriff zum Erstellen und Verwalten von EventBridge Regeln.
-
IAM — Image Builder erhält Zugriff, um jede Rolle in Ihrem Konto an Amazon EC2 und VM Import/Export weiterzugeben.
-
Amazon Inspector — Image Builder erhält Zugriff, um festzustellen, wann Amazon Inspector Build-Instance-Scans abschließt, und um Ergebnisse für Images zu sammeln, die so konfiguriert sind, dass dies zulässig ist.
-
AWS KMS— Amazon EBS wird Zugriff gewährt, um Amazon EBS-Volumes zu verschlüsseln, zu entschlüsseln oder erneut zu verschlüsseln. Dies ist wichtig, um sicherzustellen, dass verschlüsselte Volumes funktionieren, wenn Image Builder ein Image erstellt.
-
License Manager — Image Builder erhält Zugriff, um die License Manager Manager-Spezifikationen über zu aktualisieren
license-manager:UpdateLicenseSpecificationsForResource. -
Amazon SNS — Schreibberechtigungen werden für jedes Amazon SNS SNS-Thema in Ihrem Konto gewährt.
-
Systems Manager — Image Builder erhält Zugriff, um Systems Manager Manager-Befehle und deren Aufrufe sowie Inventareinträge aufzulisten, Instanzinformationen und den Status der Automatisierungsausführung zu beschreiben und Details zum Befehlsaufruf abzurufen. Image Builder kann auch Automatisierungssignale senden und Automatisierungsausführungen für jede Ressource in Ihrem Konto beenden.
Image Builder kann Ausführungsbefehle für jede Instanz ausgeben, die
"CreatedBy": "EC2 Image Builder"für die folgenden Skriptdateien gekennzeichnet ist:AWS-RunPowerShellScript,AWS-RunShellScript, oder.AWSEC2-RunSysprepImage Builder kann in Ihrem Konto eine Systems Manager Manager-Automatisierungsausführung für Automatisierungsdokumente starten, deren Name mit beginntImageBuilder.Image Builder ist auch in der Lage, State Manager-Zuordnungen für jede Instanz in Ihrem Konto zu erstellen oder zu löschen, sofern das Zuordnungsdokument vorhanden ist
AWS-GatherSoftwareInventory, und die mit dem Service verknüpfte Systems Manager Manager-Rolle in Ihrem Konto zu erstellen. -
AWS STS— Image Builder hat Zugriff darauf, EC2ImageBuilderDistributionCrossAccountRolevon Ihrem Konto benannte Rollen auf jedes Konto zu übertragen, sofern die Vertrauensrichtlinie für die Rolle dies zulässt. Dies wird für die kontoübergreifende Verteilung von Images verwendet.
Beispiel für eine Richtlinie
Das Folgende ist ein Beispiel für die AWSServiceRoleForImageBuilder Richtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:launch-template/*", "arn:aws:license-manager:*:*:license-configuration:*" ] }, { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*:*:volume/*", "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringEquals": { "aws:RequestTag/CreatedBy": [ "EC2 Image Builder", "EC2 Fast Launch" ] } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn", "vmie.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:StopInstances", "ec2:StartInstances", "ec2:TerminateInstances" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ec2:CopyImage", "ec2:CreateImage", "ec2:CreateLaunchTemplate", "ec2:DeregisterImage", "ec2:DescribeImages", "ec2:DescribeInstanceAttribute", "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeInstanceTypes", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:ModifyImageAttribute", "ec2:DescribeImportImageTasks", "ec2:DescribeExportImageTasks", "ec2:DescribeSnapshots", "ec2:DescribeHosts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "RunInstances", "CreateImage" ], "aws:RequestTag/CreatedBy": [ "EC2 Image Builder", "EC2 Fast Launch" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*:*:export-image-task/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:launch-template/*" ], "Condition": { "StringEquals": { "aws:RequestTag/CreatedBy": [ "EC2 Image Builder", "EC2 Fast Launch" ] } } }, { "Effect": "Allow", "Action": [ "license-manager:UpdateLicenseSpecificationsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:AddTagsToResource", "ssm:DescribeInstanceInformation", "ssm:GetAutomationExecution", "ssm:StopAutomationExecution", "ssm:ListInventoryEntries", "ssm:SendAutomationSignal", "ssm:DescribeInstanceAssociationsStatus", "ssm:DescribeAssociationExecutions", "ssm:GetCommandInvocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ssm:*:*:document/AWS-RunPowerShellScript", "arn:aws:ssm:*:*:document/AWS-RunShellScript", "arn:aws:ssm:*:*:document/AWSEC2-RunSysprep", "arn:aws:s3:::*" ] }, { "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringEquals": { "ssm:resourceTag/CreatedBy": [ "EC2 Image Builder" ] } } }, { "Effect": "Allow", "Action": "ssm:StartAutomationExecution", "Resource": "arn:aws:ssm:*:*:automation-definition/ImageBuilder*" }, { "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:DeleteAssociation" ], "Resource": [ "arn:aws:ssm:*:*:document/AWS-GatherSoftwareInventory", "arn:aws:ssm:*:*:association/*", "arn:aws:ec2:*:*:instance/*" ] }, { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "kms:EncryptionContextKeys": [ "aws:ebs:id" ] }, "StringLike": { "kms:ViaService": [ "ec2.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "ec2.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true }, "StringLike": { "kms:ViaService": [ "ec2.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::*:role/EC2ImageBuilderDistributionCrossAccountRole" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" }, { "Effect": "Allow", "Action": [ "ec2:CreateLaunchTemplateVersion", "ec2:DescribeLaunchTemplates", "ec2:ModifyLaunchTemplate", "ec2:DescribeLaunchTemplateVersions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:ExportImage" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ec2:ExportImage" ], "Resource": "arn:aws:ec2:*:*:export-image-task/*" }, { "Effect": "Allow", "Action": [ "ec2:CancelExportTask" ], "Resource": "arn:aws:ec2:*:*:export-image-task/*", "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "ssm.amazonaws.com", "ec2fastlaunch.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:EnableFastLaunch" ], "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*:*:launch-template/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "inspector2:ListCoverage", "inspector2:ListFindings" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ecr:CreateRepository" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ecr:TagResource" ], "Resource": "arn:aws:ecr:*:*:repository/image-builder-*", "Condition": { "StringEquals": { "aws:RequestTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ecr:BatchDeleteImage" ], "Resource": "arn:aws:ecr:*:*:repository/image-builder-*", "Condition": { "StringEquals": { "ecr:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "events:DeleteRule", "events:DescribeRule", "events:PutRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": [ "arn:aws:events:*:*:rule/ImageBuilder-*" ] } ] }
Ec2ImageBuilderCrossAccountDistributionAccess-Richtlinie
Die Ec2ImageBuilderCrossAccountDistributionAccessRichtlinie gewährt Image Builder die Erlaubnis, Bilder auf Konten in Zielregionen zu verteilen. Darüber hinaus kann Image Builder jedes Amazon EC2 EC2-Image im Konto beschreiben, kopieren und Tags darauf anwenden. Die Richtlinie gewährt auch die Möglichkeit, AMI-Berechtigungen über die ec2:ModifyImageAttribute API-Aktion zu ändern.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen:
-
Amazon EC2 — Amazon EC2 erhält Zugriff, um Attribute für ein Bild zu beschreiben, zu kopieren und zu ändern und Tags für alle Amazon EC2 EC2-Images im Konto zu erstellen.
Beispiel für eine Richtlinie
Das Folgende ist ein Beispiel für die Ec2ImageBuilderCrossAccountDistributionAccess Richtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*::image/*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" } ] }
EC2ImageBuilderLifecycleExecutionPolicy-Richtlinie
Die EC2ImageBuilderLifecycleExecutionPolicyRichtlinie gewährt Image Builder die Erlaubnis, Aktionen wie das Verwerfen, Deaktivieren oder Löschen von Image Builder Builder-Image-Ressourcen und den ihnen zugrunde liegenden Ressourcen (AMIs, Snapshots) auszuführen, um automatisierte Regeln für Image-Lifecycle-Management-Aufgaben zu unterstützen.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen:
-
Amazon EC2 — Amazon EC2 wird Zugriff gewährt, um die folgenden Aktionen für Amazon Machine Images (AMIs) in dem Konto auszuführen, das mit gekennzeichnet ist.
CreatedBy: EC2 Image Builder-
Aktiviert und deaktiviert ein AMI.
-
Aktiviert und deaktiviert die Image-Veralterung.
-
Beschreiben Sie ein AMI und melden Sie es ab.
-
Beschreiben und ändern Sie AMI-Image-Attribute.
-
Löschen Sie Volume-Snapshots, die dem AMI zugeordnet sind.
-
Ruft Tags für eine Ressource ab.
-
Hinzufügen oder Entfernen veralteter Tags aus einem AMI.
-
-
Amazon ECR — Amazon ECR wird Zugriff gewährt, um die folgenden Batch-Aktionen an ECR-Repositorys mit dem Tag durchzuführen.
LifecycleExecutionAccess: EC2 Image BuilderBatch-Aktionen unterstützen automatisierte Lebenszyklusregeln für Container-Images.-
ecr:BatchGetImage -
ecr:BatchDeleteImage
Der Zugriff auf Repository-Ebene für ECR-Repositorys, die mit gekennzeichnet sind, wird auf Repository-Ebene gewährt.
LifecycleExecutionAccess: EC2 Image Builder -
-
AWS Ressourcengruppen — Image Builder erhält Zugriff, um Ressourcen auf der Grundlage von Tags abzurufen.
-
EC2 Image Builder — Image Builder erhält Zugriff zum Löschen von Image Builder-Image-Ressourcen.
Beispiel für eine Richtlinie
Im Folgenden finden Sie ein Beispiel für die Richtlinie. EC2ImageBuilderLifecycleExecutionPolicy
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Ec2ImagePermission", "Effect": "Allow", "Action": [ "ec2:EnableImage", "ec2:DeregisterImage", "ec2:EnableImageDeprecation", "ec2:DescribeImageAttribute", "ec2:DisableImage", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2DeleteSnapshotPermission", "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2TagsPermission", "Effect": "Allow", "Action": [ "ec2:DeleteTags", "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ], "Condition": { "StringEquals": { "aws:RequestTag/DeprecatedBy": "EC2 Image Builder", "aws:ResourceTag/CreatedBy": "EC2 Image Builder" }, "ForAllValues:StringEquals": { "aws:TagKeys": "DeprecatedBy" } } }, { "Sid": "ECRImagePermission", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:BatchDeleteImage" ], "Resource": "arn:aws:ecr:*:*:repository/*", "Condition": { "StringEquals": { "ecr:ResourceTag/LifecycleExecutionAccess": "EC2 Image Builder" } } }, { "Sid": "ImageBuilderEC2TagServicePermission", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "tag:GetResources", "imagebuilder:DeleteImage" ], "Resource": "*" } ] }
EC2InstanceProfileForImageBuilder-Richtlinie
Die EC2InstanceProfileForImageBuilderRichtlinie gewährt die Mindestberechtigungen, die für die Verwendung einer EC2-Instance mit Image Builder erforderlich sind. Dies schließt nicht die Berechtigungen ein, die für die Verwendung des Systems Manager Agent erforderlich sind.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen:
-
CloudWatch Protokolle — Es wird Zugriff gewährt, um CloudWatch Protokolle zu erstellen und in jede Protokollgruppe hochzuladen, deren Name mit beginnt
/aws/imagebuilder/. -
Image Builder — Zugriff wird gewährt, um jede Image Builder Builder-Komponente abzurufen.
-
AWS KMS— Zugriff wird gewährt, um eine Image Builder Builder-Komponente zu entschlüsseln, wenn sie über AWS KMS verschlüsselt wurde.
-
Amazon S3 — Zugriff wird gewährt, um Objekte abzurufen, die in einem Amazon S3 S3-Bucket gespeichert sind, dessen Name mit beginnt
ec2imagebuilder-.
Beispiel für eine Richtlinie
Das Folgende ist ein Beispiel für die EC2InstanceProfileForImageBuilder Richtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
EC2InstanceProfileForImageBuilderECRContainerBuilds-Richtlinie
Die EC2InstanceProfileForImageBuilderECRContainerBuildsRichtlinie gewährt die Mindestberechtigungen, die für eine EC2-Instance erforderlich sind, wenn mit Image Builder Docker-Images erstellt und die Images anschließend in einem Amazon ECR-Container-Repository registriert und gespeichert werden. Dies schließt nicht die Berechtigungen ein, die für die Verwendung des Systems Manager Agent erforderlich sind.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen:
-
CloudWatch Protokolle — Es wird Zugriff gewährt, um CloudWatch Protokolle zu erstellen und in jede Protokollgruppe hochzuladen, deren Name mit beginnt
/aws/imagebuilder/. -
Amazon ECR — Amazon ECR wird Zugriff gewährt, um ein Container-Image abzurufen, zu registrieren und zu speichern und ein Autorisierungstoken zu erhalten.
-
Image Builder — Zugriff wird gewährt, um eine Image Builder Builder-Komponente oder ein Container-Rezept abzurufen.
-
AWS KMS— Zugriff wird gewährt, um eine Image Builder Builder-Komponente oder ein Container-Rezept zu entschlüsseln, sofern es über AWS KMS verschlüsselt wurde.
-
Amazon S3 — Zugriff wird gewährt, um Objekte abzurufen, die in einem Amazon S3 S3-Bucket gespeichert sind, dessen Name mit beginnt
ec2imagebuilder-.
Beispiel für eine Richtlinie
Das Folgende ist ein Beispiel für die Richtlinie. EC2InstanceProfileForImageBuilderECRContainerBuilds
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent", "imagebuilder:GetContainerRecipe", "ecr:GetAuthorizationToken", "ecr:BatchGetImage", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:PutImage" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
Image Builder Builder-Updates für AWS verwaltete Richtlinien
Dieser Abschnitt enthält Informationen zu Aktualisierungen der AWS verwalteten Richtlinien für Image Builder, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der Seite Image Builder Builder-Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderung | Beschreibung | Datum |
|---|---|---|
|
EC2ImageBuilderLifecycleExecutionPolicy – Neue Richtlinie. |
Image Builder hat die neue |
17. November 2023 |
|
AWSServiceRoleForImageBuilder – Aktualisierung auf eine bestehende Richtlinie |
Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen, um macOS-Support bereitzustellen.
|
28. August 2023 |
|
AWSServiceRoleForImageBuilder – Aktualisierung auf eine bestehende Richtlinie |
Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen, damit Image Builder Builder-Workflows Schwachstellen sowohl für AMI- als auch für ECR-Container-Image-Builds sammeln können. Die neuen Berechtigungen unterstützen die CVE-Erkennungs- und Berichtsfunktion.
|
30. März 2023 |
|
AWSServiceRoleForImageBuilder – Aktualisierung auf eine bestehende Richtlinie |
Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen:
|
22. März 2022 |
|
AWSServiceRoleForImageBuilder – Aktualisierung auf eine bestehende Richtlinie |
Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen:
|
21. Februar 2022 |
|
AWSServiceRoleForImageBuilder – Aktualisierung auf eine bestehende Richtlinie |
Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen:
|
20. November 2021 |
|
AWSServiceRoleForImageBuilder – Aktualisierung auf eine bestehende Richtlinie |
Image Builder hat neue Berechtigungen hinzugefügt, um Probleme zu beheben, bei denen mehrere Inventarzuordnungen dazu führen, dass der Image-Build hängen bleibt. |
11. August 2021 |
|
AWSImageBuilderFullAccess – Aktualisierung auf eine bestehende Richtlinie |
Image Builder hat die folgenden Änderungen an der Vollzugriffsrolle vorgenommen:
|
13. April 2021 |
|
Image Builder hat mit der Nachverfolgung von Änderungen begonnen |
Image Builder hat damit begonnen, Änderungen für seine AWS verwalteten Richtlinien nachzuverfolgen. |
02. April 2021 |
