Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Image Builder und AWS PrivateLink VPC Schnittstellenendpunkte
Sie können eine private Verbindung zwischen Ihnen VPC und EC2 Image Builder herstellen, indem Sie einen VPCSchnittstellenendpunkt erstellen. Schnittstellenendpunkte werden mit einer Technologie betrieben AWS PrivateLink
Jeder Schnittstellenendpunkt wird durch eine oder mehrere Elastic-Network-Schnittstellen in Ihren Subnetzen dargestellt. Wenn Sie ein neues Image erstellen, können Sie die VPC Subnetz-ID in Ihrer Infrastrukturkonfiguration angeben.
Anmerkung
Jeder Dienst, auf den Sie von einem aus zugreifen, VPC hat seinen eigenen Schnittstellenendpunkt mit eigener Endpunktrichtlinie. Image Builder lädt die AWSTOE Component Manager-Anwendung herunter und greift auf verwaltete Ressourcen aus S3-Buckets zu, um benutzerdefinierte Images zu erstellen. Um Zugriff auf diese Buckets zu gewähren, müssen Sie die S3-Endpunktrichtlinie aktualisieren, um dies zuzulassen. Weitere Informationen finden Sie unter Benutzerdefinierte Richtlinien für den S3-Bucket-Zugriff.
Weitere Informationen zu VPC Endpunkten finden Sie unter Interface VPC endpoints (AWS PrivateLink) im VPCAmazon-Benutzerhandbuch.
Überlegungen zu Image Builder VPC Builder-Endpunkten
Bevor Sie einen VPC Schnittstellenendpunkt für Image Builder einrichten, sollten Sie die Eigenschaften und Einschränkungen der Schnittstellenendpunkte im VPCAmazon-Benutzerhandbuch lesen.
Image Builder unterstützt das Aufrufen all seiner API Aktionen von Ihrem ausVPC.
Erstellen Sie einen VPC Schnittstellenendpunkt für Image Builder
Um einen VPC Endpunkt für den Image Builder Builder-Service zu erstellen, können Sie entweder die VPC Amazon-Konsole oder die AWS Command Line Interface (AWS CLI) verwenden. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts im VPCAmazon-Benutzerhandbuch.
Erstellen Sie einen VPC Endpunkt für Image Builder mit dem folgenden Dienstnamen:
-
com.amazonaws.
region.imagebuilder
Wenn Sie privat DNS für den Endpunkt aktivieren, können Sie API Anfragen an Image Builder richten, indem Sie dessen DNS Standardnamen für die Region verwenden, zum Beispiel:imagebuilder.us-east-1.amazonaws.com. Informationen zum Endpunkt, der für Ihre Zielregion gilt, finden Sie unter EC2Image Builder Builder-Endpunkte und Kontingente in der Allgemeine Amazon Web Services-Referenz.
Weitere Informationen finden Sie unter Zugreifen auf einen Service über einen Schnittstellenendpunkt im VPCAmazon-Benutzerhandbuch.
Erstellen Sie eine VPC Endpunktrichtlinie für Image Builder
Sie können Ihrem VPC Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Image Builder steuert. Die Richtlinie gibt die folgenden Informationen an:
-
Prinzipal, der die Aktionen ausführen kann.
-
Aktionen, die ausgeführt werden können
-
Die Ressourcen, für die Aktionen ausgeführt werden können.
Wenn Sie in Ihrem Rezept von Amazon verwaltete Komponenten verwenden, muss der VPC Endpunkt für Image Builder den Zugriff auf die folgende Komponentenbibliothek ermöglichen, die dem Service gehört:
arn:aws:imagebuilder:region:aws:component/*
Wichtig
Wenn eine nicht standardmäßige Richtlinie auf einen VPC Schnittstellenendpunkt für EC2 Image Builder angewendet wird, werden bestimmte fehlgeschlagene API Anfragen, z. B. Anfragen, die von fehlschlagenRequestLimitExceeded, möglicherweise nicht bei Amazon CloudWatch protokolliert. AWS CloudTrail
Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten im VPCAmazon-Benutzerhandbuch.
Benutzerdefinierte Richtlinien für den S3-Bucket-Zugriff
Image Builder verwendet einen öffentlich verfügbaren S3-Bucket, um verwaltete Ressourcen wie Komponenten zu speichern und darauf zuzugreifen. Außerdem wird die AWSTOE Komponentenverwaltungsanwendung aus einem separaten S3-Bucket heruntergeladen. Wenn Sie in Ihrer Umgebung einen VPC Endpunkt für Amazon S3 verwenden, müssen Sie sicherstellen, dass Ihre VPC S3-Endpunktrichtlinie Image Builder den Zugriff auf die folgenden S3-Buckets ermöglicht. Die Bucket-Namen sind pro AWS Region eindeutig (region) und die Anwendungsumgebung (environment). Image Builder und AWSTOE unterstützt die folgenden Anwendungsumgebungen: prodpreprod, undbeta.
-
Der AWSTOE Component Manager-Bucket:
s3://ec2imagebuilder-toe-region-environmentBeispiel: s3://ec2 imagebuilder-toe-us-west -2-prod/*
-
Der Bucket für verwaltete Ressourcen in Image Builder:
s3://ec2imagebuilder-managed-resources-region-environment/componentsBeispiel: s3://ec2 imagebuilder-managed-resources-us -west-2-prod/components/*
VPCBeispiele für Endpunktrichtlinien
Dieser Abschnitt enthält Beispiele für benutzerdefinierte VPC Endpunktrichtlinien.
Allgemeine VPC Endpunktrichtlinie für Image Builder Builder-Aktionen
Die folgende Beispiel-Endpunktrichtlinie für Image Builder verweigert die Erlaubnis, Image Builder Builder-Images und -Komponenten zu löschen. Die Beispielrichtlinie gewährt auch die Erlaubnis, alle anderen EC2 Image Builder Builder-Aktionen auszuführen.
{ "Version": "2012-10-17", "Statement": [ { "Action": "imagebuilder:*", "Effect": "Allow", "Resource": "*" }, { "Action": [ "imagebuilder: DeleteImage" ], "Effect": "Deny", "Resource": "*", }, { "Action": [ "imagebuilder: DeleteComponent" ], "Effect": "Deny", "Resource": "*", }] }
Beschränken Sie den Zugriff nach Organisation, erlauben Sie den Zugriff auf verwaltete Komponenten
Die folgende Beispiel-Endpunktrichtlinie zeigt, wie Sie den Zugriff auf Identitäten und Ressourcen einschränken, die zu Ihrer Organisation gehören, und wie Sie Zugriff auf die von Amazon verwalteten Image Builder Builder-Komponenten gewähren. Ersetzen region,
principal-org-id, und resource-org-id mit den Werten Ihrer Organisation.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "principal-org-id", "aws:ResourceOrgID": "resource-org-id" } } }, { "Sid": "AllowAccessToEC2ImageBuilderComponents", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "imagebuilder:GetComponent" ], "Resource": [ "arn:aws:imagebuilder:region:aws:component/*" ] } ] }
VPCEndpunktrichtlinie für den Zugriff auf Amazon S3 S3-Buckets
Das folgende Beispiel für eine S3-Endpunktrichtlinie zeigt, wie Sie Zugriff auf die S3-Buckets gewähren, die Image Builder zum Erstellen benutzerdefinierter Images verwendet. Ersetzen region and environment mit den Werten Ihres Unternehmens. Fügen Sie der Richtlinie alle weiteren erforderlichen Berechtigungen hinzu, die Ihren Anwendungsanforderungen entsprechen.
Anmerkung
Wenn Sie bei Linux-Images keine Benutzerdaten in Ihrem Image-Rezept angeben, fügt Image Builder ein Skript zum Herunterladen und Installieren des Systems Manager Manager-Agenten auf den Build- und Testinstanzen für Ihr Image hinzu. Um den Agenten herunterzuladen, greift Image Builder auf den S3-Bucket für Ihre Build-Region zu.
Um sicherzustellen, dass Image Builder die Build- und Testinstanzen booten kann, fügen Sie Ihrer S3-Endpunktrichtlinie die folgende zusätzliche Ressource hinzu:
"arn:aws:s3:::amazon-ssm-region/*"
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowImageBuilderAccessToAppAndComponentBuckets", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::ec2imagebuilder-toe-region-environment/*", "arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*" ] } ] }
