Durchführen der erforderlichen Schritte

Wichtig

AWS Marketplacewird die Bereitstellungsmethode Private Image Build im April 2024 einstellen. Die Versandmethode ist nur für bestehende Abonnenten verfügbar, bis sie eingestellt wird. Weitere Informationen finden Sie unter Private Image Build.

Für die hier beschriebenen Voraussetzungen sind konfigurierbare Berechtigungen auf Administratorebene AWS Identity and Access Management (IAM) erforderlich, sodass Sie anderen Benutzern die Möglichkeit gewähren können, private Images zu erstellen. Nachdem die IAM-Richtlinien und -Rollen erstellt wurden, können Sie sie an Gruppen- (oder Benutzer-) Konten anhängen, sodass die zugehörigen Benutzer private Images erstellen können.

IAM ist ein Webservice, der Ihnen hilft, den Zugriff auf AWS -Ressourcen zu steuern. Sie verwenden IAM, um zu steuern, wer authentifiziert (angemeldet) und autorisiert (Berechtigungen besitzt) ist, Ressourcen zu nutzen. Sie erstellen Identitäten (Benutzer, Gruppen und Rollen) und fügen die Benutzer zu den Gruppen hinzu. So können Sie Gruppen anstelle von einzelnen Benutzern verwalten. Eine IAM-Rolle ist mit einem Benutzer in der Hinsicht vergleichbar, dass es sich um eine -Identität mit Berechtigungsrichtlinien handelt, die festlegen, welche Aktionen die Identität in AWS ausführen kann und welche nicht. Einer Rolle sind jedoch keine Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Eine Rolle ist nicht einer einzigen Person zugeordnet, sondern kann von allen angenommen werden, die diese Rolle benötigen. Ein Benutzer kann eine Rolle annehmen, um vorübergehend andere Berechtigungen für eine bestimmte Aufgabe zu erhalten.

Mithilfe der Zugriffsverwaltung von IAM können Sie definieren, welche Aktionen ein Benutzer oder eine andere Entität in einem Konto ausführen darf. Dies wird häufig als Autorisierung bezeichnet. Berechtigungen werden über Richtlinien erteilt. Eine Richtlinie ist eine Entität in AWS die, wenn sie an eine Identität oder Ressource angehängt wird, ihre Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Auftraggeber, wie z. B. ein Benutzer, eine Anforderung stellt. Berechtigungen in den Richtlinien bestimmen, ob die Anforderung zugelassen oder abgelehnt wird. Richtlinien werden in AWS als JSON-Dokumente gespeichert, die als identitätsbasierte Richtlinien an Auftraggeber oder als ressourcenbasierte Richtlinien an Ressourcen angefügt werden. Sie erteilen Berechtigungen, indem Sie Berechtigungsrichtlinien definieren und die Richtlinie einer Gruppe zuweisen.

Identitätsrichtlinien sind Berechtigungsrichtlinien, die Sie einem Auftraggeber (oder eine Identität) anfügen können, z. B. einen Benutzer, eine Rolle oder eine Gruppe. Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource wie z. B. einen Amazon Simple Storage Service(Amazon S3)-Bucket anfügen. Identitätsbasierte Richtlinien steuern, welche Aktionen die Identität für welche Ressourcen und unter welchen Bedingungen ausführen kann. Identitätsbasierte Richtlinien können in verwaltete Richtlinien, vom Kunden AWSverwaltete Richtlinien und Inline-Richtlinien unterteilt werden.

Ressourcenbasierte Richtlinien steuern, welche Aktionen ein bestimmter Auftraggeber mit dieser Ressource durchführen kann und unter welchen Bedingungen dies möglich ist. Ressourcenbasierte Richtlinien sind Inline-Richtlinien. Es gibt keine verwalteten ressourcenbasierten Richtlinien. Obwohl IAM-Identitäten technisch gesehen AWS Ressourcen sind, können Sie einer IAM-Identität keine ressourcenbasierte Richtlinie zuordnen. Sie müssen identitätsbasierte Richtlinien in IAM verwenden. Vertrauensrichtlinien sind ressourcenbasierte Richtlinien, die einer Rolle zugeordnet sind. Sie definiert, welche Auftraggeber die Rolle übernehmen können. Wenn Sie eine Rolle in IAM erstellen, muss die Rolle über zwei Dinge verfügen: eine Vertrauensrichtlinie, die angibt, wer die Rolle übernehmen kann, und eine Berechtigungsrichtlinie, die festlegt, was diese Benutzer mit dieser Rolle tun können. Beachten Sie bitte, dass durch das Hinzufügen eines Kontos zu einer Vertrauensrichtlinie einer Rolle die Vertrauensbeziehung noch nicht vollständig eingerichtet ist. Standardmäßig können keine Benutzer in den vertrauenswürdigen Konten die Rolle übernehmen, bis der Administrator den Benutzern die Berechtigung zum Übernehmen der Rolle erteilt.

Der AWS Marketplace Image Building Service verwendet zwei IAM-Rollen, und jede Rolle hat eine Berechtigungsrichtlinie und eine Vertrauensrichtlinie. Wenn Sie Benutzer auf die AWS Marketplace Website zugreifen lassen, um private Images zu erstellen, benötigen diese Benutzer auch IAM-Berechtigungen, um die Rollen aufzulisten und zuzuweisen, die zum Erstellen und Anzeigen der von ihnen erstellten privaten Images erforderlich sind.

Als Administrator erstellen Sie die zwei erforderlichen Rollen und die zugehörigen Richtlinien. Die erste Rolle ist ein Instance-Profil, das an die Instance angefügt ist, die beim Abbild-Erstellungsprozess angelegt wurde. Ein Instance-Profil ist ein Container für eine IAM-Rolle, mit dem eine Amazon EC2-Instance bei ihrem Start Rolleninformationen erhält. Die zweite ist eine IAM-Rolle, die Zugriff auf AWS Systems ManagerAmazon EC2 bietet. Um das Instance-Profil zu erstellen, fügen Sie eine Berechtigungsrichtlinie an, welche die benötigten Berechtigungen bereitstellt. Bearbeiten Sie dann die Vertrauensrichtlinie für die Rolle, um Amazon EC2 und Systems Manager zu erhalten, die Rolle anzunehmen.

Erstellen einer Instance-Profilrolle

So erstellen Sie die Instanzprofilrolle über die IAM-Konsole

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Klicken Sie im Navigationsbereich der IAM-Konsole auf Roles (Rollen) und wählen Sie dann Create role (Rolle erstellen).

3. Wählen Sie unter Select type of trusted entity (Typ der vertrauenswürdigen Entität wählen) die Option AWS-Service aus.

4. Wählen Sie für Choose the service that will use this role (Wählen Sie den Service aus, der diese Rolle verwendet.) die Option EC2 und danach Next: Permissions (Nächster Schritte: Berechtigungen) aus.

5. Wählen Sie für Create policy (Richtlinie erstellen) die Option Next: Review (Nächster Schritt: Prüfen) aus.

6. Geben Sie unter Rollenname einen Rollennamen oder ein Rollennamen-Suffix ein, mit dem Zweck dieser Rolle in der Rolle einfach zu erkennen ist. MyInstanceRole Rollennamen müssen in Ihrem eindeutig seinAWS-Konto.

7. Prüfen Sie die Rolle und klicken Sie dann auf Create Role (Rolle erstellen).

8. Wählen Sie auf der Seite Roles (Rollen) die von Ihnen erstellte Rolle aus.

9. Wählen Sie für Permissions (Berechtigungen) Add inline policy (Eingebundene Richtlinie hinzufügen) aus.

10. Wählen Sie den JSON-Tab und ersetzen Sie den gesamten Text durch den folgenden InstanceRolePermissionsPolicy Text.

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": [
                    "ssm:DescribeAssociation",
                    "ssm:GetDocument",
                    "ssm:GetManifest",
                    "ssm:GetParameters",
                    "ssm:ListAssociations",
                    "ssm:ListInstanceAssociations",
                    "ssm:PutConfigurePackageResult",
                    "ssm:UpdateAssociationStatus",
                    "ssm:UpdateInstanceAssociationStatus",
                    "ssm:UpdateInstanceInformation"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "ec2messages:AcknowledgeMessage",
                    "ec2messages:DeleteMessage",
                    "ec2messages:FailMessage",
                    "ec2messages:GetEndpoint",
                    "ec2messages:GetMessages",
                    "ec2messages:SendReply"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "ec2:DescribeInstanceStatus"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "s3:GetObject",
                    "s3:PutObject"
                ],
                "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
                "Effect": "Allow"
            }
        ]
    } 

    Anmerkung

    Bevor Sie mit diesem Vorgang beginnen, müssen Sie den S3-Bucket, DOC-EXAMPLE-BUCKET, erstellen.

11. Wählen Sie Review policy (Richtlinie prüfen).

12. Geben Sie unter Richtlinienname einen Namen ein, anhand dessen Sie beispielsweise den Zweck dieser Richtlinie ermitteln könnenMyInstanceRolePolicy, und wählen Sie Richtlinie erstellen.

Um die Vertrauensbeziehung für die Rolle zu bearbeiten

1. Wählen Sie auf der Seite Roles (Rollen) die von Ihnen erstellte Rolle aus.

2. Wählen Sie die Registerkarte Trust Relationships (Vertrauensbeziehungen) und dann Edit Trust Relationship (Vertrauensbeziehung bearbeiten) aus.

3. Wählen Sie den gesamten Text im Textfeld Richtliniendokument aus und ersetzen Sie ihn durch den folgenden InstanceRoleTrustPolicy Text.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "ssm.amazonaws.com",
             "ec2.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }

4. Wählen Sie Update Trust Policy (Trust Policy aktualisieren).

Eine AWS Systems Manager Automatisierungsrolle erstellen

Um die AWS Systems Manager Automatisierungsrolle zu erstellen

1. Klicken Sie im Navigationsbereich der IAM-Konsole auf Roles (Rollen) und wählen Sie dann Create role (Rolle erstellen).

2. Wählen Sie unter Select type of trusted entity (Typ der vertrauenswürdigen Entität wählen) die Option AWS-Service aus.

3. Wählen Sie für Choose the service that will use this role (Wählen Sie den Service aus, der diese Rolle verwendet.) die Option EC2 und danach Next: Permissions (Nächster Schritte: Berechtigungen) aus.

4. Wählen Sie für Create policy (Richtlinie erstellen) die Option Next: Review (Nächster Schritt: Prüfen) aus.

5. Geben Sie unter Rollenname einen Rollennamen oder ein Rollennamen-Suffix ein, mit dem Zweck dieser Rolle in der Rolle einfach zu erkennen ist. MyAutomationRole Rollennamen müssen in Ihrem eindeutig seinAWS-Konto.

6. Prüfen Sie die Rolle und klicken Sie dann auf Create Role (Rolle erstellen).

7. Wählen Sie auf der Seite Roles (Rollen) die von Ihnen erstellte Rolle aus.

8. Wählen Sie für Permissions (Berechtigungen) Add inline policy (Eingebundene Richtlinie hinzufügen) aus.

9. Wählen Sie den JSON-Tab und ersetzen Sie den gesamten Text durch den folgenden AutomationRolePermissionsPolicy Text.

   
       "Version": "2012-10-17",
       "Statement": [
           {
               "Action": [
                   "ssm:*"
               ],
               "Resource": [
                   "*"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "ec2:CreateImage",
                   "ec2:DescribeImages",
                   "ec2:StartInstances",
                   "ec2:RunInstances",
                   "ec2:StopInstances",
                   "ec2:TerminateInstances",
                   "ec2:DescribeInstanceStatus",
                   "ec2:CreateTags",
                   "ec2:DescribeTags"
               ],
               "Resource": [
                   "*"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "iam:PassRole"
               ],
               "Resource": [
                   "{{ Instance Profile }}"
               ],
               "Effect": "Allow"
           }
       ]
   }
   

   Anmerkung

   Sie müssen die Rolle {{ Instance Profile }} Instance Policy Rolle, die Sie zuvor erstellt haben, um den Amazon-Ressourcennamen (ARN) zu erhalten. Suchen Sie die Rolle in der IAM-Managementkonsole und wählen Sie sie aus. Auf der Übersichtsseite für die Rolle ist der Rollen-ARN das erste aufgeführte Element, z. B.arn:aws:iam::123456789012:role/MyInstanceRole.

Um die Vertrauensbeziehung für die Rolle zu bearbeiten

1. Wählen Sie auf der Seite Roles (Rollen) die von Ihnen erstellte Rolle aus.

2. Wählen Sie die Registerkarte Trust Relationships (Vertrauensbeziehungen) und dann Edit Trust Relationship (Vertrauensbeziehung bearbeiten) aus.

3. Ersetzen Sie den gesamten Text im Textfeld Richtliniendokument durch den folgenden InstanceRoleTrustPolicy Text.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "ssm.amazonaws.com",
             "ec2.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }

4. Wählen Sie Update Trust Policy (Trust Policy aktualisieren).

Sie haben nun die beiden Rollen und die zugehörigen Richtlinien erstellt, die Sie bei der Erstellung des privaten Abbilds verwenden möchten.

Verwendung einer Richtlinie für den Zugriff auf die AWS Marketplace Website

Die meisten Organisationen erlauben Benutzern nicht, sich mit den Anmeldeinformationen des Root-Kontos anzumelden. Stattdessen erstellen sie Benutzer mit eingeschränkten Berechtigungen, die auf organisatorischen Rollen oder Aufgaben basieren, die nur bestimmte Personen ausführen können. AWS Marketplacestellt zwei primäre, von IAM verwaltete Richtlinien für die Arbeit mit AWS Marketplace Tools bereit. Mit diesen zwei verwalteten Richtlinien können Sie die Möglichkeit zum Durchführen der beschriebenen Aufgaben bereitstellen:

• AWSMarketplaceFullAccess— Bietet die Möglichkeit, IAM-Software zu abonnieren und abzubestellen, ermöglicht Benutzern die Verwaltung von AWS Marketplace Software-Instances über die Seite „AWS MarketplaceIhre Software“ und bietet administrativen Zugriff auf Amazon EC2.

• AWSMarketplaceRead-only— Bietet die Möglichkeit, AWS Abonnements zu überprüfen.

Sie können die AWSMarketplaceFullAccess verwaltete Richtlinie einem Benutzer, einer Gruppe oder einer Rolle hinzufügen, um alle Berechtigungen bereitzustellen, die für den Zugriff auf die AWS Marketplace Website und die Ausführung der mit AWS Marketplace Private Image Build verbundenen Aufgaben erforderlich sind.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

• Benutzer und Gruppen in AWS IAM Identity Center:

  Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center-Benutzerhandbuch.

• Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

  Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verbund) im IAM-Benutzerhandbuch.

• IAM-Benutzer:

  • Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen IAM-Benutzer im IAM-Benutzerhandbuch.

  • (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.

Wenn ein Benutzer oder ein Mitglied einer Gruppe oder Rolle, die Sie ausgewählt haben, das nächste Mal auf die AWS Marketplace Website zugreift, kann er die Aufgaben ausführen, die mit der Erstellung eines privaten Images verbunden sind.