Durchführen der erforderlichen Schritte - AWS Marketplace

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Durchführen der erforderlichen Schritte

Die hier beschriebenen erforderlichen Schritte setzen Berechtigungen auf Administrator-Ebene für die IAM-Konfiguration voraus, sodass Sie anderen Benutzern die Möglichkeit zum Erstellen von privaten Abbildern gewähren können. Sobald die IAM-Richtlinien und -Rollen erstellt wurden, können Sie sie an Gruppen- oder Benutzerkonten anfügen, damit die zugeordneten Benutzer private Abbilder erstellen können.

IAM ist ein Webservice, der Ihnen hilft, den Zugriff auf AWS-Ressourcen zu steuern. Sie verwenden IAM, um zu steuern, wer authentifiziert (angemeldet) und autorisiert (Berechtigungen besitzt) ist, Ressourcen zu nutzen. Sie erstellen Identitäten (Benutzer, Gruppen und Rollen) und fügen die Benutzer zu den Gruppen hinzu. So können Sie Gruppen anstelle von einzelnen Benutzern verwalten. Eine IAM-Rolle ist einem Benutzer insofern sehr ähnlich, als dass sie eine Identität mit Berechtigungsrichtlinien ist, die festlegen, welche Aktionen die Identitäten in AWS ausführen können und welche nicht. Einer Rolle sind jedoch keine Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Eine Rolle ist nicht einer einzigen Person zugeordnet, sondern kann von allen angenommen werden, die diese Rolle benötigen. Ein IAM-Benutzer kann eine Rolle annehmen, um vorübergehend verschiedene Berechtigungen für eine bestimmte Aufgabe zu erlangen.

Mithilfe der Zugriffsverwaltung von IAM können Sie definieren, welche Aktionen ein Benutzer oder eine andere Entität in einem Konto ausführen darf. Dies wird häufig als Autorisierung bezeichnet. Berechtigungen werden über Richtlinien erteilt. Eine Richtlinie ist eine Entität in AWS, die, angefügt an eine Identität oder Ressource, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Prinzipal, z. B. ein Benutzer, eine Anforderung stellt. Berechtigungen in den Richtlinien bestimmen, ob die Anforderung zugelassen oder abgelehnt wird. Richtlinien sind in AWS als JSON-Dokumente gespeichert, die als identitätsbasierte Richtlinien an Prinzipale oder als ressourcenbasierte Richtlinien an Ressourcen angehängt sind. Sie erteilen Berechtigungen, indem Sie Berechtigungsrichtlinien erstellen und die Richtlinie einer Gruppe zuweisen.

Identitätsbasierte Richtlinien sind Berechtigungsrichtlinien, die Sie an einen Prinzipal (oder eine Identität) anfügen können, z. B. IAM-Benutzern, -Rollen oder -Gruppen. Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource wie z. B. einen Amazon Simple Storage Service(Amazon S3)-Bucket anfügen. Identitätsbasierte Richtlinien steuern, welche Aktionen die Identität für welche Ressourcen und unter welchen Bedingungen ausführen kann. Zu identitätsbasierten Richtlinien gehören von AWS verwaltete Richtlinien, kundenverwaltete Richtlinien und eingebundene Richtlinien.

Ressourcenbasierte Richtlinien steuern, welche Aktionen ein bestimmter Prinzipal mit dieser Ressource durchführen kann und unter welchen Bedingungen dies möglich ist. Ressourcenbasierte Richtlinien sind Inline-Richtlinien. Es gibt keine verwalteten ressourcenbasierten Richtlinien. Obwohl IAM-Identitäten technisch gesehen AWS-Ressourcen sind, können Sie einer IAM-Identität keine ressourcenbasierte Richtlinie anfügen. Sie müssen identitätsbasierte Richtlinien in IAM verwenden. Vertrauensrichtlinien sind ressourcenbasierte Richtlinien, die einer Rolle zugeordnet sind. Sie definiert, welche Prinzipale die Rolle übernehmen können. Wenn Sie eine Rolle in IAM erstellen, muss die Rolle über zwei Dinge verfügen: eine Vertrauensrichtlinie, die angibt, wer die Rolle übernehmen kann, und eine Berechtigungsrichtlinie, die festlegt, was diese Benutzer mit dieser Rolle tun können. Beachten Sie bitte, dass durch das Hinzufügen eines Kontos zu einer Vertrauensrichtlinie einer Rolle die Vertrauensbeziehung noch nicht vollständig eingerichtet ist. Standardmäßig können keine Benutzer in den vertrauenswürdigen Konten die Rolle übernehmen, bis der Administrator den Benutzern die Berechtigung zum Übernehmen der Rolle erteilt.

Der AWS Marketplace Image Building Service verwendet zwei IAM-Rollen. Jede Rolle weist eine Berechtigungsrichtlinie und eine Vertrauensrichtlinie auf. Wenn Sie IAM-Benutzern die Möglichkeit geben, auf die AWS Marketplace-Website zuzugreifen, um private Abbilder zu erstellen, benötigen diese Benutzer auch IAM-Berechtigungen zum Anzeigen und Zuweisen der Rollen, die erforderlich sind, um die entwickelten privaten Abbilder zu erstellen und anzuzeigen.

Als Administrator erstellen Sie die zwei erforderlichen Rollen und die zugehörigen Richtlinien. Die erste Rolle ist ein Instance-Profil, das an die Instance angefügt ist, die beim Abbild-Erstellungsprozess angelegt wurde. Ein Instance-Profil ist ein Container für eine IAM-Rolle, mit dem eine Amazon EC2-Instance bei ihrem Start Rolleninformationen erhält. Die zweite Rolle ist eine IAM-Rolle, die Zugriff auf AWS Systems Manager und Amazon EC2 bietet. Um das Instance-Profil zu erstellen, fügen Sie eine Berechtigungsrichtlinie an, welche die benötigten Berechtigungen bereitstellt. Anschließend bearbeiten Sie die Vertrauensrichtlinie für die Rolle, um Amazon EC2 und AWS Systems Manager die Berechtigung zu erteilen, die Rolle zu übernehmen.

Erstellen einer Instance-Profilrolle

So erstellen Sie die Instance-Profilrolle über die IAM-Konsole:

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich der IAM-Konsole auf Roles (Rollen) und wählen Sie dann Create role (Rolle erstellen) aus.

  3. Wählen Sie unter Select type of trusted entity (Typ der vertrauenswürdigen Entität wählen) die Option AWS service (Service) aus.

  4. FürWählen Sie den Service aus, der diese Rolle verwendet., wählen SieEC2Klicken Sie auf und danach aufWeiter: Berechtigungen.

  5. FürRichtlinie erstellen, wählen SieWeiter: Prüfen.

  6. Geben Sie für Role name (Rollenname) einen Rollennamen oder ein Rollennamen-Suffix ein, mit dem der Zweck dieser Rolle einfach zu erkennen ist, z. b. MyInstanceRole. Rollennamen müssen in Ihrem AWS-Konto eindeutig sein.

  7. Prüfen Sie die Rolle und klicken Sie dann auf Create Role.

  8. Wählen Sie auf der Seite Roles (Rollen) die von Ihnen erstellte Rolle aus.

  9. Wählen Sie für Permissions (Berechtigungen) Add inline policy (Eingebundene Richtlinie hinzufügen) aus.

  10. Wählen Sie die Registerkarte JSON aus und ersetzen Sie den gesamten Text durch den folgenden InstanceRolePermissionsPolicy-Text.

    InstanceRolePermissionsPolicy:

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "ssm:DescribeAssociation", "ssm:GetDocument", "ssm:GetManifest", "ssm:GetParameters", "ssm:ListAssociations", "ssm:ListInstanceAssociations", "ssm:PutConfigurePackageResult", "ssm:UpdateAssociationStatus", "ssm:UpdateInstanceAssociationStatus", "ssm:UpdateInstanceInformation" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ec2messages:AcknowledgeMessage", "ec2messages:DeleteMessage", "ec2messages:FailMessage", "ec2messages:GetEndpoint", "ec2messages:GetMessages", "ec2messages:SendReply" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ec2:DescribeInstanceStatus" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*", "Effect": "Allow" } ] }
    Anmerkung

    Sie müssen den BucketDOC-EXAMPLE-BUCKETBevor Sie mit diesem Prozess beginnen.

  11. Wählen Sie Review policy (Richtlinie prüfen) aus.

  12. Geben Sie für Policy name (Richtlinienname) einen Namen ein, mit dem Sie den Zweck dieser Richtlinie leichter erkennen können, z. B. MyInstanceRolePolicy, und wählen Sie Create policy (Richtlinie erstellen) aus.

So bearbeiten Sie die Vertrauensbeziehung für die Rolle:

  1. Wählen Sie auf der Seite Roles (Rollen) die von Ihnen erstellte Rolle aus.

  2. Wählen Sie die Registerkarte Trust Relationships (Vertrauensbeziehungen) und dann Edit Trust Relationship (Vertrauensbeziehung bearbeiten) aus.

  3. Wählen Sie den gesamten Text im Textfeld Policy Document (Richtliniendokument) aus und ersetzen Sie ihn durch den folgenden InstanceRoleTrustPolicy-Text.

    InstanceRoleTrustPolicy:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "ssm.amazonaws.com", "ec2.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
  4. Wählen Sie Update Trust Policy.

Erstellen einer AWS Systems Manager Automation-Rolle

So erstellen Sie die AWS Systems Automation Rolle:

  1. Klicken Sie im Navigationsbereich der IAM-Konsole auf Roles (Rollen) und wählen Sie dann Create role (Rolle erstellen) aus.

  2. Wählen Sie unter Select type of trusted entity (Typ der vertrauenswürdigen Entität wählen) die Option AWS service (Service) aus.

  3. FürWählen Sie den Service aus, der diese Rolle verwendet., wählen SieEC2Klicken Sie auf und danach aufWeiter: Berechtigungen.

  4. FürRichtlinie erstellen, wählen SieWeiter: Prüfen.

  5. Geben Sie für Role name (Rollenname) einen Rollennamen oder ein Rollennamen-Suffix ein, mit dem der Zweck dieser Rolle einfach zu erkennen ist, z. b. MyAutomationRole. Rollennamen müssen in Ihrem AWS-Konto eindeutig sein.

  6. Prüfen Sie die Rolle und klicken Sie dann auf Create Role.

  7. Wählen Sie auf der Seite Roles (Rollen) die von Ihnen erstellte Rolle aus.

  8. Wählen Sie für Permissions (Berechtigungen) Add inline policy (Eingebundene Richtlinie hinzufügen) aus.

  9. Wählen Sie die Registerkarte JSON aus und ersetzen Sie den gesamten Text durch den folgenden AutomationRolePermissionsPolicy-Text.

    AutomationRolePermissionsPolicy:

    "Version": "2012-10-17", "Statement": [ { "Action": [ "ssm:*" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "ec2:CreateImage", "ec2:DescribeImages", "ec2:StartInstances", "ec2:RunInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:DescribeInstanceStatus", "ec2:CreateTags", "ec2:DescribeTags" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "iam:PassRole" ], "Resource": [ "{{ Instance Profile }}" ], "Effect": "Allow" } ] }
    Anmerkung

    Sie müssen {{ Instance Profile }} (Instance-Profil) durch den Amazon-Ressourcennamen (ARN) für die Instance-Richtlinienrolle ersetzen, die Sie zuvor erstellt haben. Suchen Sie die Rolle in der IAM-Managementkonsole und wählen Sie sie aus. Auf der Zusammenfassungsseite der Rolle ist der Role ARN (Rollen-ARN) das erste aufgeführte Element, z. B. arn:aws:iam::123456789012:role/MyInstanceRole.

So bearbeiten Sie die Vertrauensbeziehung für die Rolle:

  1. Wählen Sie auf der Seite Roles (Rollen) die von Ihnen erstellte Rolle aus.

  2. Wählen Sie die Registerkarte Trust Relationships (Vertrauensbeziehungen) und dann Edit Trust Relationship (Vertrauensbeziehung bearbeiten) aus.

  3. Ersetzen Sie den gesamten Text im Textfeld Policy Document (Richtliniendokument) durch den folgenden InstanceRoleTrustPolicy-Text.

    AutomationRoleTrustPolicy:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "ssm.amazonaws.com", "ec2.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
  4. Wählen Sie Update Trust Policy.

Sie haben nun die beiden Rollen und die zugehörigen Richtlinien erstellt, die Sie bei der Erstellung des privaten Abbilds verwenden möchten.

Verwenden einer Richtlinie für den Zugriff auf die AWS Marketplace-Website

Die meisten Unternehmen gestatten es Benutzern nicht, sich mit den Anmeldeinformationen des Stammkontos anzumelden. Stattdessen erstellen Sie IAM-Benutzer mit eingeschränkten Berechtigungen basierend auf organisatorischen Rollen oder Aufgaben, die nur bestimmte Personen durchführen können. AWS Marketplace bietet zwei primäre verwaltete IAM-Richtlinien für die Arbeit mit AWS Marketplace-Tools. Mit diesen zwei verwalteten Richtlinien können Sie die Möglichkeit zum Durchführen der beschriebenen Aufgaben bereitstellen:

  • AWSMarketplaceFullAccess: bietet die Möglichkeit, AWS Marketplace-Software zu abonnieren und das Abonnement wieder zu kündigen, erlaubt es Benutzern, Marketplace-Software-Instances über die Marketplace-Seite "Your Software (Ihre Software)" zu verwaltet, und ermöglicht den administrativen Zugriff auf EC2.

  • AWSMarketplaceRead-only: bietet die Möglichkeit, AWS-Abonnements zu überprüfen.

Sie können die verwaltete Richtlinie mit dem Namen AWSMarketplaceFullAccess IAM-Benutzern, -Gruppen oder -Rollen hinzufügen und so alle Berechtigungen erteilen, die für den Zugriff auf die AWS Marketplace-Website und das Durchführen der Aufgaben nötig sind, die zu AWS Marketplace Private Image Build gehören. So fügen Sie die Richtlinie einem Benutzer, einer Gruppe oder einer Rolle hinzu:

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die AWS IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der AWS IAM-Konsole Policies (Richtlinien) aus.

  3. Geben Sie neben Filter policies (Filter-Richtlinien) AWSMarketplaceFullAccess ein. Die Richtlinie sollte in den Ergebnissen aufgeführt sein.

  4. Wählen Sie im Bereich Results (Ergebnisse) AWSMarketplaceFullAccess aus.

  5. Wählen Sie im Pull-Down-Menü Policy actions (Richtlinienaktionen) Attach (Anfügen) aus.

  6. Wählen Sie die Benutzer, Gruppen und Rollen aus, an die Sie diese Richtlinie anfügen möchten, und wählen Sie dann Attach Policy (Richtlinie anfügen) aus.

Wenn das nächste Mal ein Benutzer oder Mitglied einer Gruppe oder Rolle, die Sie ausgewählt haben, auf die AWS Marketplace-Website zugreift, kann er die mit dem Erstellungsprozess des privaten Abbilds verknüpften Aufgaben durchführen.