Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Image Builder und VPC-Endpunkte mit AWS PrivateLink Schnittstelle
Sie können eine private Verbindung zwischen Ihrer VPC und EC2 Image Builder herstellen, indem Sie einen VPC-Schnittstellen-Endpunkt erstellen. Schnittstellenendpunkte werden mit einer Technologie betrieben AWS PrivateLink
Jeder Schnittstellenendpunkt wird durch eine oder mehrere Elastic-Network-Schnittstellen in Ihren Subnetzen dargestellt. Wenn Sie ein neues Image erstellen, können Sie die VPC-Subnetz-ID in Ihrer Infrastrukturkonfiguration angeben.
Anmerkung
Jeder Service, auf den Sie innerhalb einer VPC zugreifen, hat seinen eigenen Schnittstellenendpunkt mit eigener Endpunktrichtlinie. Image Builder lädt die AWSTOE Component Manager-Anwendung herunter und greift auf verwaltete Ressourcen aus S3-Buckets zu, um benutzerdefinierte Images zu erstellen. Um Zugriff auf diese Buckets zu gewähren, müssen Sie die S3-Endpunktrichtlinie aktualisieren, um dies zuzulassen. Weitere Informationen finden Sie unter Benutzerdefinierte Richtlinien für den S3-Bucket-Zugriff.
Weitere Informationen zu VPC-Endpunkten finden Sie unter Schnittstellen-VPC-Endpunkte (AWS PrivateLink) im Amazon VPC Benutzerhandbuch.
Überlegungen zu Image Builder Builder-VPC-Endpoints
Bevor Sie einen Schnittstellen-VPC-Endpunkt für Image Builder einrichten, sollten Sie die Eigenschaften und Einschränkungen der Schnittstellen-Endpunkte im Amazon VPC-Benutzerhandbuch lesen.
Image Builder unterstützt Aufrufe aller API-Aktionen von Ihrer VPC aus.
Erstellen Sie einen VPC-Schnittstellen-Endpunkt für Image Builder
Um einen VPC-Endpunkt für den Image Builder Builder-Service zu erstellen, können Sie entweder die Amazon VPC-Konsole oder die AWS Command Line Interface ()AWS CLI verwenden. Weitere Informationen finden Sie unter Erstellung eines Schnittstellenendpunkts im Benutzerhandbuch für Amazon VPC.
Erstellen Sie einen VPC-Endpunkt für Image Builder mit dem folgenden Dienstnamen:
-
com.amazonaws.
region.imagebuilder
Wenn Sie privates DNS für den Endpunkt aktivieren, können Sie API-Anfragen an Image Builder stellen, indem Sie dessen Standard-DNS-Namen für die Region verwenden, zum Beispiel:imagebuilder.us-east-1.amazonaws.com. Informationen zum Endpunkt, der für Ihre Zielregion gilt, finden Sie unter EC2 Image Builder Builder-Endpunkte und Kontingente in der Allgemeine Amazon Web Services-Referenz.
Weitere Informationen finden Sie unter Zugriff auf einen Service über einen Schnittstellenendpunkt im Benutzerhandbuch für Amazon VPC.
Erstellen Sie eine VPC-Endpunktrichtlinie für Image Builder
Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Image Builder steuert. Die Richtlinie gibt die folgenden Informationen an:
-
Prinzipal, der die Aktionen ausführen kann.
-
Aktionen, die ausgeführt werden können
-
Die Ressourcen, für die Aktionen ausgeführt werden können.
Wenn Sie in Ihrem Rezept von Amazon verwaltete Komponenten verwenden, muss der VPC-Endpunkt für Image Builder den Zugriff auf die folgende Komponentenbibliothek ermöglichen, die dem Service gehört:
arn:aws:imagebuilder:region:aws:component/*
Wichtig
Wenn eine nicht standardmäßige Richtlinie auf einen VPC-Schnittstellen-Endpunkt für EC2 Image Builder angewendet wird, werden bestimmte fehlgeschlagene API-Anfragen, z. B. solche, die von fehlschlagenRequestLimitExceeded, möglicherweise nicht bei Amazon protokolliert. AWS CloudTrail CloudWatch
Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.
Benutzerdefinierte Richtlinien für den S3-Bucket-Zugriff
Image Builder verwendet einen öffentlich verfügbaren S3-Bucket, um verwaltete Ressourcen wie Komponenten zu speichern und darauf zuzugreifen. Außerdem wird die AWSTOE Komponentenverwaltungsanwendung aus einem separaten S3-Bucket heruntergeladen. Wenn Sie in Ihrer Umgebung einen VPC-Endpunkt für Amazon S3 verwenden, müssen Sie sicherstellen, dass Ihre S3-VPC-Endpunktrichtlinie Image Builder den Zugriff auf die folgenden S3-Buckets ermöglicht. Die Bucket-Namen sind pro AWS Region (region) und Anwendungsumgebung () eindeutig. environment Image Builder und AWSTOE unterstützt die folgenden Anwendungsumgebungen: prodpreprod, undbeta.
-
Der AWSTOE Component Manager-Bucket:
s3://ec2imagebuilder-toe-region-environmentBeispiel: s3://ec2 imagebuilder-toe-us-west -2-prod/*
-
Der Bucket für verwaltete Ressourcen in Image Builder:
s3://ec2imagebuilder-managed-resources-region-environment/componentsBeispiel: s3://ec2 imagebuilder-managed-resources-us -west-2-prod/components/*
Beispiele für VPC-Endpunktrichtlinien
Dieser Abschnitt enthält Beispiele für benutzerdefinierte VPC-Endpunktrichtlinien.
Allgemeine VPC-Endpunktrichtlinie für Image Builder Builder-Aktionen
Die folgende Beispiel-Endpunktrichtlinie für Image Builder verweigert die Erlaubnis, Image Builder Builder-Images und -Komponenten zu löschen. Die Beispielrichtlinie gewährt auch die Erlaubnis, alle anderen EC2 Image Builder Builder-Aktionen auszuführen.
{ "Version": "2012-10-17", "Statement": [ { "Action": "imagebuilder:*", "Effect": "Allow", "Resource": "*" }, { "Action": [ "imagebuilder: DeleteImage" ], "Effect": "Deny", "Resource": "*", }, { "Action": [ "imagebuilder: DeleteComponent" ], "Effect": "Deny", "Resource": "*", }] }
Beschränken Sie den Zugriff nach Organisation, erlauben Sie den Zugriff auf verwaltete Komponenten
Die folgende Beispiel-Endpunktrichtlinie zeigt, wie Sie den Zugriff auf Identitäten und Ressourcen einschränken, die zu Ihrer Organisation gehören, und wie Sie Zugriff auf die von Amazon verwalteten Image Builder Builder-Komponenten gewähren. Ersetzen Sie regionprincipal-org-id, und resource-org-id durch die Werte Ihrer Organisation.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "principal-org-id", "aws:ResourceOrgID": "resource-org-id" } } }, { "Sid": "AllowAccessToEC2ImageBuilderComponents", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "imagebuilder:GetComponent" ], "Resource": [ "arn:aws:imagebuilder:region:aws:component/*" ] } ] }
VPC-Endpunktrichtlinie für Amazon S3 S3-Bucket-Zugriff
Das folgende Beispiel für eine S3-Endpunktrichtlinie zeigt, wie Sie Zugriff auf die S3-Buckets gewähren, die Image Builder zum Erstellen benutzerdefinierter Images verwendet. Ersetzen Sie region und environment durch die Werte Ihrer Organisation. Fügen Sie der Richtlinie alle weiteren erforderlichen Berechtigungen hinzu, die Ihren Anwendungsanforderungen entsprechen.
Anmerkung
Wenn Sie bei Linux-Images keine Benutzerdaten in Ihrem Image-Rezept angeben, fügt Image Builder ein Skript zum Herunterladen und Installieren des Systems Manager Manager-Agenten auf den Build- und Testinstanzen für Ihr Image hinzu. Um den Agenten herunterzuladen, greift Image Builder auf den S3-Bucket für Ihre Build-Region zu.
Um sicherzustellen, dass Image Builder die Build- und Testinstanzen booten kann, fügen Sie Ihrer S3-Endpunktrichtlinie die folgende zusätzliche Ressource hinzu:
"arn:aws:s3:::amazon-ssm-region/*"
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowImageBuilderAccessToAppAndComponentBuckets", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::ec2imagebuilder-toe-region-environment/*", "arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*" ] } ] }
