Finalización de los requisitos previos - AWS Marketplace
Creación de una función de perfil de instanciaCreación de un rol de automatización de AWS Systems ManagerUso de una política para obtener acceso al sitio web de AWS Marketplace

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Finalización de los requisitos previos

importante

AWS Marketplace suspenderá el método de entrega de Private Image Build en abril de 2024. El método de entrega solo está disponible para los suscriptores actuales hasta que se deje de utilizar. Para obtener más información, consulte Compilación de imágenes privadas.

Los pasos previos que se describen aquí requieren permisos de nivel administrativo que configuran AWS Identity and Access Management (IAM) de forma que pueda conceder a otros usuarios la posibilidad de compilar imágenes privadas. Una vez creadas las políticas y funciones de IAM, puede asociarlas a cuentas de grupo (o usuario) para que los usuarios asociados puedan compilar imágenes privadas.

IAM es un servicio web que lo ayuda a controlar de forma segura el acceso a los recursos de AWS. Utilice IAM; para controlar quién está autenticado (ha iniciado sesión) y autorizado (tiene permisos) para utilizar recursos. Puede crear identidades (usuarios, grupos y funciones) y añadir a los usuarios a los grupos y así administrar grupos en lugar de usuarios individuales. Un rol de IAM es similar a un usuario, ya que se trata de una identidad con políticas de permisos que determinan lo que la identidad puede hacer y lo que no en AWS. Sin embargo, una función no tiene ninguna credencial (contraseña o claves de acceso) asociada. Por ello, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir el rol que necesite. Un usuario puede asumir un rol para disponer temporalmente de diferentes permisos para una tarea específica.

La parte de administración del acceso de IAM que le ayuda a definir qué puede hacer un usuario u otra entidad en una cuenta se suele denominar autorización. Los permisos se conceden por medio de políticas. Una política es una entidad en AWS que, cuando se asocia a una identidad o un recurso, define sus permisos. AWS evalúa estas políticas cuando una entidad principal, como un usuario, realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o se deniega. Las políticas se almacenan en AWS como documentos JSON que se asocian a entidades principales como políticas basadas en la identidad o a recursos como políticas basadas en recursos. Los permisos se otorgan definiendo políticas de permisos y asignándolas a un grupo.

Las políticas basadas en identidad son políticas de permisos que puede adjuntar a una entidad principal (o identidad), como por ejemplo un usuario, función o grupo. Las políticas basadas en recursos son documentos de política JSON que puede asociar a un recurso como, por ejemplo, un bucket de Amazon Simple Storage Service (Amazon S3). Las políticas basadas en identidad controlan qué acciones puede realizar dicha identidad, en qué recursos y en qué condiciones. Las políticas basadas en identidad pueden clasificarse en políticas administradas por AWS, políticas administradas por el cliente y políticas en línea.

Las políticas basadas en recursos controlan qué acciones puede realizar una entidad principal en ese recurso y en qué condiciones. Las políticas basadas en recursos son políticas en línea y no hay políticas administradas basadas en recursos. Aunque las identidades de IAM son técnicamente recursos de AWS, no puede asociar una política basada en recursos a una identidad de IAM. Debe utilizar políticas basadas en identidad en IAM. Las políticas de confianza son políticas basadas en recursos que se asocian a un rol que define qué entidades principales pueden asumir el rol. Al crear una función en IAM, la función debe tener dos cosas: una política de confianza que indica quién puede asumir la función y una política de permisos que indica lo que se puede hacer con esa función. Recuerde que añadir una cuenta a la política de confianza de un rol solo es una parte del procedimiento de establecimiento de una relación de confianza. De forma predeterminada, ningún usuario de las cuentas de confianza puede asumir el rol hasta que el administrador de la cuenta conceda a los usuarios permiso para asumirlo.

El servicio de compilación de imágenes de AWS Marketplace utiliza dos roles de IAM, y cada rol tiene una política de permisos y una política de confianza. Si hay usuarios que obtienen acceso al sitio web de AWS Marketplace para compilar imágenes privadas, esos usuarios también necesitan permisos de IAM para mostrar y asignar las funciones necesarias para crear y ver las imágenes privadas que compilan.

Como administrador, debe crear las dos funciones necesarias y sus políticas asociadas. La primera función es un perfil de instancia asociado a la instancia creada durante el proceso de compilación de imágenes. Un perfil de instancia es un contenedor de una función de IAM que se puede utilizar para transferir información de la función a una instancia Amazon EC2 cuando la instancia se inicia. La segunda es una función de IAM que proporciona acceso a AWS Systems Manager y Amazon EC2. Para configurar el perfil de instancia, asocie una política de permisos que proporcione los permisos necesarios. A continuación, edite la política de confianza de la función para conceder permisos para que Amazon EC2 y Systems Manager asuma la función.

Creación de una función de perfil de instancia

Para crear la función de perfil de instancia mediante la consola de IAM

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, elija Roles (Funciones) y, a continuación, elija Create role (Crear función).

  3. En Select type of trusted entity (Seleccionar tipo de entidad de confianza), elija Servicio de AWS.

  4. En Choose the service that will use this role (Elija el servicio que utilizará esta función), elija EC2 y, a continuación, elija Next: Permissions (Siguiente: Permisos).

  5. En Create policy (Crear directiva), elija Next: Review (Siguiente: Revisar).

  6. En Nombre del rol, escriba un nombre o un sufijo de nombre para el rol que le ayude a identificar su finalidad; por ejemplo, MyInstanceRole. Los nombres de rol deben ser únicos en su Cuenta de AWS.

  7. Revise el rol y, a continuación, seleccione Create role.

  8. En la página Roles (Funciones), elija la función recién creada.

  9. En Permissions (Permisos), elija Add inline policy (Añadir política insertada).

  10. Seleccione la pestaña JSON y sustituya el texto predeterminado con lo siguiente InstanceRolePermissionsPolicy. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ssm:DescribeAssociation",
                "ssm:GetDocument",
                "ssm:GetManifest",
                "ssm:GetParameters",
                "ssm:ListAssociations",
                "ssm:ListInstanceAssociations",
                "ssm:PutConfigurePackageResult",
                "ssm:UpdateAssociationStatus",
                "ssm:UpdateInstanceAssociationStatus",
                "ssm:UpdateInstanceInformation"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ec2messages:AcknowledgeMessage",
                "ec2messages:DeleteMessage",
                "ec2messages:FailMessage",
                "ec2messages:GetEndpoint",
                "ec2messages:GetMessages",
                "ec2messages:SendReply"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ec2:DescribeInstanceStatus"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
            "Effect": "Allow"
        }
    ]
}
    nota

    Antes de comenzar este proceso, debe crear el bucket de S3, DOC-EXAMPLE-BUCKET.

  11. Elija Review policy (Revisar política).

  12. En Nombre de la política, escriba un nombre que le ayude a identificar su finalidad, por ejemplo MyInstanceRolePolicy, y elija Crear política.

Para editar la relación de confianza de la función

  1. En la página Roles (Funciones), elija la función recién creada.

  2. Elija la pestaña Trust relationships (Relaciones de confianza) y, a continuación, elija Edit trust relationship (Editar relación de confianza).

  3. Seleccione todo el texto del cuadro de texto Documento de política y reemplácelo con el siguiente texto InstanceRoleTrustPolicy. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "ssm.amazonaws.com",
          "ec2.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  4. Elija Update Trust Policy (Actualizar política de confianza).

Creación de un rol de automatización de AWS Systems Manager

Crear el rol de automatización de AWS Systems Manager

  1. En el panel de navegación de la consola de IAM, elija Roles (Funciones) y, a continuación, elija Create role (Crear función).

  2. En Select type of trusted entity (Seleccionar tipo de entidad de confianza), elija Servicio de AWS.

  3. En Choose the service that will use this role (Elija el servicio que utilizará esta función), elija EC2 y, a continuación, elija Next: Permissions (Siguiente: Permisos).

  4. En Create policy (Crear directiva), elija Next: Review (Siguiente: Revisar).

  5. En Nombre del rol, escriba un nombre o un sufijo de nombre para el rol que le ayude a identificar su finalidad; por ejemplo, MyAutomationRole. Los nombres de rol deben ser únicos en su Cuenta de AWS.

  6. Revise el rol y, a continuación, seleccione Create role.

  7. En la página Roles (Funciones), elija la función recién creada.

  8. En Permissions (Permisos), elija Add inline policy (Añadir política insertada).

  9. Seleccione la pestaña JSON y sustituya el texto predeterminado con lo siguiente AutomationRolePermissionsPolicy. 

    
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ssm:*"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ec2:CreateImage",
                "ec2:DescribeImages",
                "ec2:StartInstances",
                "ec2:RunInstances",
                "ec2:StopInstances",
                "ec2:TerminateInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:CreateTags",
                "ec2:DescribeTags"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "{{ Instance Profile }}"
            ],
            "Effect": "Allow"
        }
    ]
}
    nota

    Debe sustituir {{ Instance Profile }} con el nombre de recurso de Amazon (ARN) correspondiente a la función de política de instancia que creó anteriormente. Busque la función en la consola de administración de IAM y elíjala. En la página de resumen de la función, ARN del rol es el primer elemento que se muestra; por ejemplo, arn:aws:iam::123456789012:role/MyInstanceRole.

Para editar la relación de confianza de la función

  1. En la página Roles (Funciones), elija la función recién creada.

  2. Elija la pestaña Trust relationships (Relaciones de confianza) y, a continuación, elija Edit trust relationship (Editar relación de confianza).

  3. Reemplace todo el texto del cuadro de texto Documento de política con el siguiente texto InstanceRoleTrustPolicy. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "ssm.amazonaws.com",
          "ec2.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  4. Elija Update Trust Policy (Actualizar política de confianza).

Ha creado las dos funciones y las políticas asociadas que utilizará durante el proceso de compilación de imágenes privadas.

Uso de una política para obtener acceso al sitio web de AWS Marketplace

La mayoría de las organizaciones no permiten que los usuarios inicien sesión con credenciales de cuenta raíz. En su lugar, crean usuarios con permisos limitados según las funciones organizativas o las tareas que solo determinadas personas pueden realizar. AWS Marketplace ofrece dos políticas administradas principales de IAM para trabajar con herramientas de AWS Marketplace. Utilice estas dos políticas administradas para ofrecer la posibilidad de realizar las tareas que se describen:

  • AWSMarketplaceFullAccess: ofrece la posibilidad de realizar y cancelar suscripciones a software de IAM, permite que los usuarios administren instancias de software de AWS Marketplace desde la página de AWS Marketplace Su software y proporciona acceso administrativo a Amazon EC2.

  • AWSMarketplaceRead-only: ofrece la posibilidad de revisar las suscripciones de AWS.

Puede añadir la política administrada AWSMarketplaceFullAccess a un usuario, un grupo o un rol para proporcionar todos los permisos necesarios de acceso al sitio web de AWS Marketplace y realizar las tareas asociadas con la compilación de imágenes privadas de AWS Marketplace.

Para proporcionar acceso, agregue permisos a sus usuarios, grupos o roles:

La próxima vez que un usuario o un miembro de un grupo o función que ha seleccionado obtenga acceso al sitio web de AWS Marketplace, puede realizar las tareas asociadas al proceso de compilación de imágenes privadas.