Acciones, recursos y claves de condición para Amazon EC2 Image Builder - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para Amazon EC2 Image Builder

Amazon EC2 Image Builder (prefijo de servicio: imagebuilder) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para usarlas en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon EC2 Image Builder

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
CancelImageCreation Concede permiso para cancelar la creación de una imagen Write

image*

CreateComponent Concede el permiso para crear un nuevo componente Write

component*

iam:CreateServiceLinkedRole

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

kmsKey

aws:RequestTag/${TagKey}

aws:TagKeys

CreateContainerRecipe Concede permiso para crear una nueva receta de contenedor Write

containerRecipe*

ecr:DescribeImages

ecr:DescribeRepositories

iam:CreateServiceLinkedRole

imagebuilder:GetComponent

imagebuilder:GetImage

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDistributionConfiguration Concede permiso para crear una nueva configuración de distribución Write

distributionConfiguration*

iam:CreateServiceLinkedRole

imagebuilder:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImage Concede permiso para crear una nueva imagen Write

image*

iam:CreateServiceLinkedRole

imagebuilder:GetContainerRecipe

imagebuilder:GetDistributionConfiguration

imagebuilder:GetImageRecipe

imagebuilder:GetInfrastructureConfiguration

imagebuilder:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImagePipeline Concede permiso para crear una canalización de imagen Write

imagePipeline*

iam:CreateServiceLinkedRole

imagebuilder:GetContainerRecipe

imagebuilder:GetImageRecipe

imagebuilder:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImageRecipe Concede permiso para crear una nueva receta de imagen Write

imageRecipe*

ec2:DescribeImages

iam:CreateServiceLinkedRole

imagebuilder:GetComponent

imagebuilder:GetImage

imagebuilder:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateInfrastructureConfiguration Concede permiso para crear una nueva configuración de infraestructura Write

infrastructureConfiguration*

iam:CreateServiceLinkedRole

iam:PassRole

imagebuilder:TagResource

sns:Publish

aws:RequestTag/${TagKey}

aws:TagKeys

imagebuilder:CreatedResourceTagKeys

imagebuilder:CreatedResourceTag/<key>

imagebuilder:Ec2MetadataHttpTokens

imagebuilder:StatusTopicArn

DeleteComponent Concede el permiso para eliminar un componente. Write

component*

DeleteContainerRecipe Concede permiso para eliminar una receta de contenedor Write

containerRecipe*

DeleteDistributionConfiguration Concede permiso para eliminar la configuración de distribución Write

distributionConfiguration*

DeleteImage Concede permiso para eliminar una imagen Write

image*

DeleteImagePipeline Concede permiso para eliminar una canalización de imagen Write

imagePipeline*

DeleteImageRecipe Concede permiso para eliminar una receta de imagen Write

imageRecipe*

DeleteInfrastructureConfiguration Concede permiso para eliminar una configuración de infraestructura Write

infrastructureConfiguration*

GetComponent Concede permiso para ver detalles de un componente Read

component*

kms:Decrypt

GetComponentPolicy Concede permiso para ver la política de recursos asociada a un componente Read

component*

GetContainerRecipe Concede permiso para ver detalles de una canalización de contenedor Read

containerRecipe*

GetContainerRecipePolicy Concede permiso para ver la política de recursos asociada a una receta de contenedor Read

containerRecipe*

GetDistributionConfiguration Concede permiso para ver detalles de una configuración de distribución Read

distributionConfiguration*

GetImage Concede permiso para ver detalles de una imagen Read

image*

aws:ResourceTag/${TagKey}

GetImagePipeline Concede permiso para ver detalles de una canalización de imagen Read

imagePipeline*

GetImagePolicy Concede permiso para ver la política de recursos asociada a una imagen Read

image*

GetImageRecipe Concede permiso para ver detalles de la receta de una imagen Read

imageRecipe*

GetImageRecipePolicy Concede permiso para ver la política de recursos asociada a la receta de una imagen Read

imageRecipe*

GetInfrastructureConfiguration Concede permiso para ver detalles de una configuración de infraestructura Read

infrastructureConfiguration*

ImportComponent Concede permiso para importar un nuevo componente Escritura

component*

iam:CreateServiceLinkedRole

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

kmsKey

aws:RequestTag/${TagKey}

aws:TagKeys

ImportVmImage Concede permiso para importar una imagen Escritura

image*

ec2:DescribeImportImageTasks

iam:CreateServiceLinkedRole

aws:RequestTag/${TagKey}

aws:TagKeys

ListComponentBuildVersions Concede permiso para enumerar las versiones de compilación de componentes en su cuenta List

componentVersion*

ListComponents Concede permiso para enumerar las versiones de componente que pertenecen a o que se comparten con su cuenta List
ListContainerRecipes Concede permiso para enumerar las recetas de contenedor que pertenecen a su cuenta o que se comparten con ella List
ListDistributionConfigurations Concede permiso para enumerar las configuraciones de distribución de su cuenta List
ListImageBuildVersions Concede permiso para enumerar las versiones de compilación de imágenes en su cuenta List

imageVersion*

ListImagePackages Concede permiso para devolver una lista de paquetes instalados en la imagen especificada List

image*

aws:ResourceTag/${TagKey}

ListImagePipelineImages Concede permiso para devolver una lista de imágenes creadas por la canalización especificada List

imagePipeline*

ListImagePipelines Concede permiso para enumerar las canalizaciones de imagen de su cuenta List
ListImageRecipes Concede permiso para enumerar las recetas de imágenes que pertenecen a o que se comparten con la cuenta List
ListImages Concede permiso para enumerar las versiones de imágenes que pertenecen a o que se comparten con la cuenta List
ListInfrastructureConfigurations Concede permiso para enumerar las configuraciones de infraestructura de la cuenta List
ListTagsForResource Concede permiso para enumerar una etiqueta para un recurso de Image Builder Read

component

distributionConfiguration

image

imagePipeline

imageRecipe

infrastructureConfiguration

aws:ResourceTag/${TagKey}

PutComponentPolicy Concede permiso para establecer la política de recursos asociada a un componente Permissions management

component*

PutContainerRecipePolicy Concede permiso para establecer la política de recursos asociada a una receta de contenedor Permissions management

containerRecipe*

PutImagePolicy Concede permiso para establecer la política de recursos asociada a una imagen Permissions management

image*

PutImageRecipePolicy Concede permiso para establecer la política de recursos asociada a una receta de imagen Permissions management

imageRecipe*

StartImagePipelineExecution Concede permiso para crear una nueva imagen a partir de una canalización Write

imagePipeline*

iam:CreateServiceLinkedRole

imagebuilder:GetImagePipeline

TagResource Concede permiso para etiquetar un recurso de Image Builder Etiquetado

component

containerRecipe

distributionConfiguration

image

imagePipeline

imageRecipe

infrastructureConfiguration

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource Concede permiso para desetiquetar un recurso de Image Builder Etiquetado

component

containerRecipe

distributionConfiguration

image

imagePipeline

imageRecipe

infrastructureConfiguration

aws:ResourceTag/${TagKey}

aws:TagKeys

UpdateDistributionConfiguration Concede permiso para actualizar una configuración de distribución existente Write

distributionConfiguration*

UpdateImagePipeline Concede permiso para actualizar una canalización de imágenes existente Write

imagePipeline*

UpdateInfrastructureConfiguration Concede permiso para actualizar una configuración de infraestructura existente Write

infrastructureConfiguration*

iam:PassRole

sns:Publish

aws:ResourceTag/${TagKey}

imagebuilder:CreatedResourceTagKeys

imagebuilder:CreatedResourceTag/<key>

imagebuilder:Ec2MetadataHttpTokens

imagebuilder:StatusTopicArn

Tipos de recurso definidos por Amazon EC2 Image Builder

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
component arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}/${ComponentBuildVersion}

aws:ResourceTag/${TagKey}

componentVersion arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}

aws:ResourceTag/${TagKey}

distributionConfiguration arn:${Partition}:imagebuilder:${Region}:${Account}:distribution-configuration/${DistributionConfigurationName}

aws:ResourceTag/${TagKey}

image arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}/${ImageBuildVersion}

aws:ResourceTag/${TagKey}

imageVersion arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}

aws:ResourceTag/${TagKey}

imageRecipe arn:${Partition}:imagebuilder:${Region}:${Account}:image-recipe/${ImageRecipeName}/${ImageRecipeVersion}

aws:ResourceTag/${TagKey}

containerRecipe arn:${Partition}:imagebuilder:${Region}:${Account}:container-recipe/${ContainerRecipeName}/${ContainerRecipeVersion}

aws:ResourceTag/${TagKey}

imagePipeline arn:${Partition}:imagebuilder:${Region}:${Account}:image-pipeline/${ImagePipelineName}

aws:ResourceTag/${TagKey}

infrastructureConfiguration arn:${Partition}:imagebuilder:${Region}:${Account}:infrastructure-configuration/${ResourceId}

aws:ResourceTag/${TagKey}

kmsKey arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}

Claves de condición para Amazon EC2 Image Builder

Amazon EC2 Image Builder define las siguientes claves de condición que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso según si hay pares de clave-valor de etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por los pares de clave-valor de etiqueta adjuntados al recurso Cadena
aws:TagKeys Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud ArrayOfString
imagebuilder:CreatedResourceTag/<key> Filtra el acceso en función de los pares clave-valor de etiqueta adjuntados al recurso creado por Image Builder Cadena
imagebuilder:CreatedResourceTagKeys Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud ArrayOfString
imagebuilder:Ec2MetadataHttpTokens Filtra el acceso por el requisito de token HTTP de metadatos de instancia de EC2 especificado en la solicitud Cadena
imagebuilder:StatusTopicArn Filtra el acceso por el ARN de tema SNS en la solicitud en la que se publicarán las notificaciones de estado del terminal Cadena