Integración de Identity and Access Management para Generador de imágenes

Temas

• Público

• Autenticación con identidades

• Funcionamiento del Generador de imágenes con las políticas y roles de IAM

• Gestione los perímetros de datos para el acceso a la descarga de cubos de S3 en Image Builder

• Políticas basadas en identidades de Generador de Imágenes

• Permisos de IAM para flujos de trabajo personalizados

• Políticas basadas en recursos de Generador de Imágenes

• Utilice políticas AWS administradas para EC2 Image Builder

• Uso de roles vinculados a servicios de IAM para Generador de imágenes

• Solución de problemas de IAM en Generador de imágenes

Público

La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñe:

• Usuario del servicio: solicite permisos a su administrador si no puede acceder a las características (consulte Solución de problemas de IAM en Generador de imágenes).

• Administrador del servicio: determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte Funcionamiento del Generador de imágenes con las políticas y roles de IAM)

• Administrador de IAM: escriba políticas para administrar el acceso (consulte Políticas basadas en identidades de Generador de Imágenes).

Autenticación con identidades

Para obtener información detallada sobre cómo autenticar a las personas y los procesos de su empresa Cuenta de AWS, consulte Identidades en la Guía del usuario de IAM.

Permisos de IAM para flujos de trabajo personalizados

Cuando se utilizan flujos de trabajo personalizados con acciones escalonadas específicasRegisterImage, por ejemplo, es posible que se requieran permisos de IAM adicionales además de las políticas gestionadas por Image Builder estándar. En esta sección se describen los permisos adicionales necesarios para las acciones escalonadas personalizadas del flujo de trabajo.

RegisterImage permisos de acción escalonada

La acción del RegisterImage paso requiere EC2 permisos específicos de Amazon para registrar AMIs y, opcionalmente, recuperar etiquetas de instantáneas. Al utilizar el includeSnapshotTags parámetro, se necesitan permisos adicionales para describir las instantáneas.

Permisos necesarios para la acción RegisterImage escalonada:

Para todos los recursos, permita las siguientes acciones:

• ec2:RegisterImage

• ec2:DescribeSnapshots

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:RegisterImage",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "RegisterImage"
                }
            }
        }
    ]
}

Detalles del permiso:

• ec2:RegisterImage- Necesario para registrar imágenes nuevas a AMIs partir de instantáneas

• ec2:DescribeSnapshots- Necesario cuando se utiliza includeSnapshotTags: true para recuperar etiquetas de instantáneas para fusionarlas con etiquetas AMI

• ec2:CreateTags- Necesario para aplicar etiquetas a la AMI registrada, incluidas las etiquetas predeterminadas de Image Builder y las etiquetas de instantáneas combinadas

nota

El ec2:DescribeSnapshots permiso solo se usa cuando el includeSnapshotTags parámetro está establecido entrue. Si no usa esta función, puede omitir este permiso.

Comportamiento de combinación de etiquetas:

Cuando includeSnapshotTags está habilitada, la acción del RegisterImage paso hará lo siguiente:

• Recupere las etiquetas de la primera instantánea especificada en el mapeo de dispositivos de bloques

• Excluya todas las etiquetas AWS reservadas (aquellas con claves que comiencen por «aws:»)

• Combinar etiquetas de instantáneas con las etiquetas de registro AMI predeterminadas de Image Builder

• Dé prioridad a las etiquetas de Image Builder cuando las claves de etiquetas entren en conflicto

Políticas basadas en recursos de Generador de Imágenes

Para obtener información sobre cómo crear un componente, consulte Uso de componentes para personalizar su imagen de Generador de imágenes.

Restricción del acceso de los componentes de Generador de Imágenes a direcciones IP específicas

En el siguiente ejemplo se conceden permisos a cualquier usuario para que realice operaciones de Generador de Imágenes en los componentes. Sin embargo, la solicitud debe proceder del rango de direcciones IP especificado en la condición.

La condición de esta declaración identifica el rango 54.240.143.* de direcciones IP del Protocolo de Internet de la versión 4 (IPv4) permitidas, con una excepción: 54.240.143.188.

El Condition bloque utiliza las NotIpAddress condiciones IpAddress y y la clave de condición, que es una clave de condición que abarca todo el espacioaws:SourceIp. AWS Para obtener más información sobre estas claves de condición, consulte Especificación de condiciones en una política. Los aws:sourceIp IPv4 valores utilizan la notación CIDR estándar. Para obtener más información, consulte Operadores de condición de dirección IP en la guía del usuario de IAM.

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Id": "IBPolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Action": "imagebuilder:GetComponent",
      "Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}