Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
EC2 Image Builder AWS PrivateLink y puntos finales de VPC de interfaz
Puede establecer una conexión privada entre la VPC y Generador de Imágenes de EC2 mediante la creación de un punto de conexión de VPC de tipo interfaz. Los puntos finales de la interfaz funcionan con una tecnología que le permite acceder de forma privada a las API de Image Builder sin una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una AWS Direct Connect conexión. AWS PrivateLink
Cada punto de conexión de la interfaz está representado por una o más interfaces de red elásticas en las subredes. Al crear una imagen nueva, puede especificar el ID de subred de la VPC en la configuración de la infraestructura.
nota
Cada servicio al que se accede desde una VPC tiene su propio punto de conexión de interfaz, con su propia política de punto de conexión. Image Builder descarga la aplicación de administrador de TOE de AWS componentes y accede a los recursos gestionados desde los buckets de S3 para crear imágenes personalizadas. Para conceder el acceso a esos buckets, debe actualizar la política de puntos de conexión de S3 para permitirlo. Para obtener más información, consulte Políticas personalizadas para el acceso al bucket de S3.
Para obtener más información sobre puntos de conexión de VPC, consulte Puntos de conexión de VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.
Consideraciones sobre los puntos de conexión de VPC de Generador de Imágenes
Antes de configurar un punto de conexión de VPC de interfaz para Generador de Imágenes, asegúrese de revisar las propiedades y limitaciones de los puntos de conexión de interfaz en la Guía del usuario de Amazon VPC.
Generador de Imágenes admite realizar llamadas a todas sus acciones de la API desde su VPC.
Creación de un punto de conexión de VPC de interfaz para Generador de Imágenes
Para crear un punto final de VPC para el servicio Image Builder, puede utilizar la consola de Amazon VPC o el (). AWS Command Line Interface AWS CLI Para más información, consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.
Cree un punto de conexión de VPC para Generador de Imágenes mediante el siguiente nombre de servicio:
-
com.amazonaws.
region.imagebuilder
Si habilita DNS privado para el punto de conexión, puede realizar solicitudes API a Generador de Imágenes usando su nombre de DNS predeterminado para la región, por ejemplo, imagebuilder.us-east-1.amazonaws.com. Para buscar el punto de conexión que se aplica a su región de destino, consulte los puntos de conexión y las cuotas de Generador de Imágenes de EC2 en Referencia general de Amazon Web Services.
Para más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.
Creación de una política de puntos de conexión de VPC para Generador de Imágenes
Puede asociar una política de puntos de conexión con su punto de conexión de VPC que controla el acceso a Generador de Imágenes. La política especifica la siguiente información:
-
La entidad principal que puede realizar acciones.
-
Las acciones que se pueden realizar.
-
Los recursos en los que se pueden llevar a cabo las acciones.
Si utiliza componentes administrados por Amazon en su receta, el punto de conexión de VPC para Generador de Imágenes debe permitir el acceso a la siguiente biblioteca de componentes propiedad del servicio:
arn:aws:imagebuilder:region:aws:component/*
importante
Cuando se aplica una política no predeterminada a un punto final de la VPC de la interfaz para EC2 Image Builder, es posible que algunas solicitudes de API con errores, como las que RequestLimitExceeded no lleguen, no se AWS CloudTrail registren en Amazon. CloudWatch
Para más información, consulte Control del acceso a los servicios con puntos de enlace de la VPC en la Guía del usuario de Amazon VPC.
Políticas personalizadas para el acceso al bucket de S3
Generador de Imágenes utiliza un bucket de S3 disponible públicamente para almacenar y acceder a los recursos administrados, como los componentes. También descarga la aplicación de administración de TOE de AWS componentes desde un bucket S3 independiente. Si utiliza un punto de conexión de VPC para Amazon S3 en su entorno, deberá asegurarse de que su política de punto de conexión de VPC de S3 permita a Generador de Imágenes acceder a los siguientes buckets de S3. Los nombres de los buckets son únicos para cada AWS región (región) y para el entorno de la aplicación (entorno). Image Builder y TOE de AWS son compatibles con los siguientes entornos de aplicaciones: prodpreprod, ybeta.
-
El depósito TOE de AWS del administrador de componentes:
s3://ec2imagebuilder-toe-region-environmentEjemplo: s3://ec2 imagebuilder-toe-us-west -2-prod/*
-
El bucket de recursos administrados por Generador de Imágenes:
s3://ec2imagebuilder-managed-resources-region-environment/componentsEjemplo: s3://ec2 -west-2-prod/components/* imagebuilder-managed-resources-us
Ejemplos de políticas de puntos de enlace de la VPC
En esta sección se incluyen ejemplos de políticas de puntos de conexión de VPC personalizadas.
Política general de puntos de conexión de VPC para acciones de Generador de Imágenes
El siguiente ejemplo de política de punto de conexión para Generador de Imágenes deniega el permiso para eliminar imágenes y componentes de Generador de Imágenes. La política de ejemplo también concede permiso para realizar todas las demás acciones de Generador de Imágenes de EC2.
{ "Version": "2012-10-17", "Statement": [ { "Action": "imagebuilder:*", "Effect": "Allow", "Resource": "*" }, { "Action": [ "imagebuilder: DeleteImage" ], "Effect": "Deny", "Resource": "*", }, { "Action": [ "imagebuilder: DeleteComponent" ], "Effect": "Deny", "Resource": "*", }] }
Restricción del acceso por organización, permiso a acceder a los componentes administrados
El siguiente ejemplo de política de puntos finales muestra cómo restringir el acceso a las identidades y los recursos que pertenecen a su organización y cómo proporcionar acceso a los componentes gestionados por Amazon TOE de AWS . Sustituya la y por los principal-org-idregiónresource-org-idvalores de su organización.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "principal-org-id", "aws:ResourceOrgID": "resource-org-id" } } }, { "Sid": "AllowAccessToEC2ImageBuilderComponents", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "imagebuilder:GetComponent" ], "Resource": [ "arn:aws:imagebuilder:region:aws:component/*" ] } ] }
Política de punto de conexión de VPC para acceso al bucket de Amazon S3
El siguiente ejemplo de política de punto de conexión de S3 muestra cómo proporcionar acceso a los buckets de S3 que Generador de Imágenes utiliza para crear imágenes personalizadas. Sustituya la región y el entorno por los valores de su organización. Añada cualquier otro permiso necesario a la política en función de los requisitos de su aplicación.
nota
En el caso de las imágenes de Linux, si no especifica los datos de usuario en la receta de la imagen, Image Builder añade un script para descargar e instalar el agente de Systems Manager en las instancias de compilación y prueba de la imagen. Para descargar el agente, Image Builder accede al bucket de S3 de su región de compilación.
Para garantizar que Image Builder pueda iniciar las instancias de compilación y prueba, añada el siguiente recurso adicional a su política de puntos finales de S3:
"arn:aws:s3:::amazon-ssm-region/*"
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowImageBuilderAccessToAppAndComponentBuckets", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::ec2imagebuilder-toe-region-environment/*", "arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*" ] } ] }
