Acciones, recursos y claves de condición para Amazon EC2 Image Builder

El generador de imágenes de Amazon EC2 (prefijo de servicio: imagebuilder) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para usarlas en las políticas de permisos de IAM.

Referencias:

• Obtenga información para configurar este servicio.

• Vea una lista de las operaciones de API disponibles para este servicio.

• Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.

Acciones definidas por Amazon EC2 Image Builder

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.

La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.

nota

Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones	Descripción	Nivel de acceso	Tipos de recursos (*necesarios)	Claves de condición	Acciones dependientes
CancelImageCreation	Concede permiso para cancelar la creación de una imagen	Escritura	image*
CancelLifecycleExecution	Concede permiso para cancelar la ejecución de un ciclo de vida	Escritura	lifecycleExecution*
CreateComponent	Concede el permiso para crear un nuevo componente	Write	component*	aws:RequestTag/${TagKey} aws:TagKeys	iam:CreateServiceLinkedRole imagebuilder:TagResource kms:Encrypt kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext
CreateContainerRecipe	Concede permiso para crear una nueva receta de contenedor	Write	containerRecipe*	aws:RequestTag/${TagKey} aws:TagKeys	ecr:DescribeImages ecr:DescribeRepositories iam:CreateServiceLinkedRole imagebuilder:GetComponent imagebuilder:GetImage imagebuilder:TagResource kms:Encrypt kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext
CreateDistributionConfiguration	Concede permiso para crear una nueva configuración de distribución	Write	distributionConfiguration*	aws:RequestTag/${TagKey} aws:TagKeys	iam:CreateServiceLinkedRole imagebuilder:TagResource
CreateImage	Concede permiso para crear una nueva imagen	Write	image*	aws:RequestTag/${TagKey} aws:TagKeys	iam:CreateServiceLinkedRole iam:PassRole imagebuilder:GetContainerRecipe imagebuilder:GetDistributionConfiguration imagebuilder:GetImageRecipe imagebuilder:GetInfrastructureConfiguration imagebuilder:GetWorkflow imagebuilder:TagResource
CreateImagePipeline	Concede permiso para crear una canalización de imagen	Write	imagePipeline*	aws:RequestTag/${TagKey} aws:TagKeys	iam:CreateServiceLinkedRole iam:PassRole imagebuilder:GetContainerRecipe imagebuilder:GetDistributionConfiguration imagebuilder:GetImageRecipe imagebuilder:GetInfrastructureConfiguration imagebuilder:GetWorkflow imagebuilder:TagResource
CreateImageRecipe	Concede permiso para crear una nueva receta de imagen	Write	imageRecipe*	aws:RequestTag/${TagKey} aws:TagKeys	ec2:DescribeImages iam:CreateServiceLinkedRole imagebuilder:GetComponent imagebuilder:GetImage imagebuilder:TagResource
CreateInfrastructureConfiguration	Concede permiso para crear una nueva configuración de infraestructura	Escritura	infrastructureConfiguration*	aws:RequestTag/${TagKey} aws:TagKeys imagebuilder:CreatedResourceTagKeys imagebuilder:CreatedResourceTag/<key> imagebuilder:Ec2MetadataHttpTokens imagebuilder:StatusTopicArn	iam:CreateServiceLinkedRole iam:PassRole imagebuilder:TagResource sns:Publish
CreateLifecyclePolicy	Concede permiso para crear una nueva política de ciclo de vida	Escritura	lifecyclePolicy*	aws:RequestTag/${TagKey} aws:TagKeys imagebuilder:LifecyclePolicyResourceType	iam:PassRole imagebuilder:TagResource
CreateWorkflow	Concede permiso para crear un nuevo flujo de trabajo	Escritura	workflow*	aws:RequestTag/${TagKey} aws:TagKeys	imagebuilder:TagResource kms:Encrypt kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext s3:GetObject s3:ListBucket
DeleteComponent	Concede el permiso para eliminar un componente.	Write	component*
DeleteContainerRecipe	Concede permiso para eliminar una receta de contenedor	Write	containerRecipe*
DeleteDistributionConfiguration	Concede permiso para eliminar la configuración de distribución	Write	distributionConfiguration*
DeleteImage	Concede permiso para eliminar una imagen	Write	image*
DeleteImagePipeline	Concede permiso para eliminar una canalización de imagen	Write	imagePipeline*
DeleteImageRecipe	Concede permiso para eliminar una receta de imagen	Write	imageRecipe*
DeleteInfrastructureConfiguration	Concede permiso para eliminar una configuración de infraestructura	Escritura	infrastructureConfiguration*
DeleteLifecyclePolicy	Concede permiso para eliminar una política de ciclo de vida	Escritura	lifecyclePolicy*
DeleteWorkflow	Concede permiso para eliminar un flujo de trabajo	Escritura	workflow*
GetComponent	Concede permiso para ver detalles de un componente	Read	component*		kms:Decrypt
GetComponentPolicy	Concede permiso para ver la política de recursos asociada a un componente	Read	component*
GetContainerRecipe	Concede permiso para ver detalles de una canalización de contenedor	Read	containerRecipe*
GetContainerRecipePolicy	Concede permiso para ver la política de recursos asociada a una receta de contenedor	Read	containerRecipe*
GetDistributionConfiguration	Concede permiso para ver detalles de una configuración de distribución	Read	distributionConfiguration*
GetImage	Concede permiso para ver detalles de una imagen	Read	image*	aws:ResourceTag/${TagKey}
GetImagePipeline	Concede permiso para ver detalles de una canalización de imagen	Read	imagePipeline*
GetImagePolicy	Concede permiso para ver la política de recursos asociada a una imagen	Read	image*
GetImageRecipe	Concede permiso para ver detalles de la receta de una imagen	Read	imageRecipe*
GetImageRecipePolicy	Concede permiso para ver la política de recursos asociada a la receta de una imagen	Read	imageRecipe*
GetInfrastructureConfiguration	Concede permiso para ver detalles de una configuración de infraestructura	Leer	infrastructureConfiguration*
GetLifecycleExecution	Concede permisos para ver los detalles de la ejecución de un ciclo de vida	Leer	lifecycleExecution*
GetLifecyclePolicy	Concede permiso para ver detalles sobre una política de ciclo de vida	Leer	lifecyclePolicy*
GetWorkflow	Concede permiso para ver los detalles de un flujo de trabajo	Leer	workflow*		kms:Decrypt
GetWorkflowExecution	Concede permisos para ver los detalles de la ejecución de un flujo de trabajo	Leer	workflowExecution*
GetWorkflowStepExecution	Concede permisos para ver los detalles de la ejecución de un paso del flujo de trabajo	Leer	workflowStepExecution*
ImportComponent	Concede permiso para importar un nuevo componente	Escritura	component*	aws:RequestTag/${TagKey} aws:TagKeys	iam:CreateServiceLinkedRole imagebuilder:TagResource kms:Encrypt kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext
ImportVmImage	Concede permiso para importar una imagen	Escritura	image*	aws:RequestTag/${TagKey} aws:TagKeys	ec2:DescribeImportImageTasks iam:CreateServiceLinkedRole
ListComponentBuildVersions	Concede permiso para enumerar las versiones de compilación de componentes en su cuenta	List	componentVersion*
ListComponents	Concede permiso para enumerar las versiones de componente que pertenecen a o que se comparten con su cuenta	List
ListContainerRecipes	Concede permiso para enumerar las recetas de contenedor que pertenecen a su cuenta o que se comparten con ella	List
ListDistributionConfigurations	Concede permiso para enumerar las configuraciones de distribución de su cuenta	List
ListImageBuildVersions	Concede permiso para enumerar las versiones de compilación de imágenes en su cuenta	Enumeración	imageVersion*
ListImagePackages	Concede permiso para devolver una lista de paquetes instalados en la imagen especificada	Enumeración	image*	aws:ResourceTag/${TagKey}
ListImagePipelineImages	Concede permiso para devolver una lista de imágenes creadas por la canalización especificada	Enumeración	imagePipeline*
ListImagePipelines	Concede permiso para enumerar las canalizaciones de imagen de su cuenta	List
ListImageRecipes	Concede permiso para enumerar las recetas de imágenes que pertenecen a o que se comparten con la cuenta	Enumeración
ListImageScanFindingAggregations	Concede permiso para enumerar las agregaciones en los resultados del escaneo de imagen de su cuenta	Enumeración	image
			imagePipeline
ListImageScanFindings	Concede permiso para enumerar los resultados del escaneo de imagen de las imágenes de su cuenta	Enumeración	image		inspector2:ListFindings
			imagePipeline
ListImages	Concede permiso para enumerar las versiones de imágenes que pertenecen a o que se comparten con la cuenta	List
ListInfrastructureConfigurations	Concede permiso para enumerar las configuraciones de infraestructura de la cuenta	Enumeración
ListLifecycleExecutionResources	Concede permiso para enumerar los recursos para la ejecución de un ciclo de vida especificado	Enumeración	lifecycleExecution*
ListLifecycleExecutions	Concede permiso para enumerar las ejecuciones de ciclos de vida para un recurso especificado	Enumeración	image
			lifecyclePolicy
ListLifecyclePolicies	Concede permiso para enumerar las políticas del ciclo de vida de su cuenta	Enumeración
ListTagsForResource	Concede permiso para enumerar las etiquetas para un recurso de Image Builder	Leer	component	aws:ResourceTag/${TagKey}
			containerRecipe	aws:ResourceTag/${TagKey}
			distributionConfiguration	aws:ResourceTag/${TagKey}
			image	aws:ResourceTag/${TagKey}
			imagePipeline	aws:ResourceTag/${TagKey}
			imageRecipe	aws:ResourceTag/${TagKey}
			infrastructureConfiguration	aws:ResourceTag/${TagKey}
			lifecyclePolicy	aws:ResourceTag/${TagKey}
			workflow	aws:ResourceTag/${TagKey}
ListWaitingWorkflowSteps	Concede permiso para enumerar los pasos del flujo de trabajo en espera para la cuenta de llamada	Enumeración
ListWorkflowBuildVersions	Concede permiso para enumerar las versiones de compilación del flujo de trabajo en tu cuenta	Enumeración	workflowVersion*
ListWorkflowExecutions	Concede permiso para enumerar las ejecuciones de flujo de trabajo para la imagen especificada	Enumeración	image*
ListWorkflowStepExecutions	Concede permiso para enumerar las ejecuciones del paso del flujo de trabajo para el flujo de trabajo especificado	Enumeración	workflowExecution*
ListWorkflows	Concede permiso para enumerar las versiones del flujo de trabajo que pertenecen a o que se comparten con la cuenta	Enumeración
PutComponentPolicy	Concede permiso para establecer la política de recursos asociada a un componente	Permissions management	component*
PutContainerRecipePolicy	Concede permiso para establecer la política de recursos asociada a una receta de contenedor	Permissions management	containerRecipe*
PutImagePolicy	Concede permiso para establecer la política de recursos asociada a una imagen	Permissions management	image*
PutImageRecipePolicy	Concede permiso para establecer la política de recursos asociada a una receta de imagen	Administración de permisos	imageRecipe*
SendWorkflowStepAction	Concede permiso para enviar una acción a un paso del flujo de trabajo	Escritura	image*
			workflowStepExecution*
StartImagePipelineExecution	Concede permiso para crear una nueva imagen a partir de una canalización	Escritura	imagePipeline*		iam:CreateServiceLinkedRole imagebuilder:GetImagePipeline
StartResourceStateUpdate	Concede permiso para iniciar una actualización del estado para el recurso especificado	Escritura	image*
TagResource	Concede permiso para etiquetar un recurso de Image Builder	Etiquetado	component	aws:TagKeys aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey}
			containerRecipe	aws:TagKeys aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey}
			distributionConfiguration	aws:TagKeys aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey}
			image	aws:TagKeys aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey}
			imagePipeline	aws:TagKeys aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey}
			imageRecipe	aws:TagKeys aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey}
			infrastructureConfiguration	aws:TagKeys aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey}
			lifecyclePolicy	aws:TagKeys aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey}
			workflow	aws:TagKeys aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey}
UntagResource	Concede permiso para desetiquetar un recurso de Image Builder	Etiquetado	component	aws:ResourceTag/${TagKey} aws:TagKeys
			containerRecipe	aws:ResourceTag/${TagKey} aws:TagKeys
			distributionConfiguration	aws:ResourceTag/${TagKey} aws:TagKeys
			image	aws:ResourceTag/${TagKey} aws:TagKeys
			imagePipeline	aws:ResourceTag/${TagKey} aws:TagKeys
			imageRecipe	aws:ResourceTag/${TagKey} aws:TagKeys
			infrastructureConfiguration	aws:ResourceTag/${TagKey} aws:TagKeys
			lifecyclePolicy	aws:ResourceTag/${TagKey} aws:TagKeys
			workflow	aws:ResourceTag/${TagKey} aws:TagKeys
UpdateDistributionConfiguration	Concede permiso para actualizar una configuración de distribución existente	Write	distributionConfiguration*
UpdateImagePipeline	Concede permiso para actualizar una canalización de imágenes existente	Write	imagePipeline*		iam:CreateServiceLinkedRole iam:PassRole imagebuilder:GetContainerRecipe imagebuilder:GetDistributionConfiguration imagebuilder:GetImageRecipe imagebuilder:GetInfrastructureConfiguration imagebuilder:GetWorkflow
UpdateInfrastructureConfiguration	Concede permiso para actualizar una configuración de infraestructura existente	Escritura	infrastructureConfiguration*	aws:ResourceTag/${TagKey} imagebuilder:CreatedResourceTagKeys imagebuilder:CreatedResourceTag/<key> imagebuilder:Ec2MetadataHttpTokens imagebuilder:StatusTopicArn	iam:PassRole sns:Publish
UpdateLifecyclePolicy	Concede permisos para actualizar una política de ciclo de vida existente	Escritura	lifecyclePolicy*	imagebuilder:LifecyclePolicyResourceType	iam:PassRole

Tipos de recurso definidos por Amazon EC2 Image Builder

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso	ARN	Claves de condición
component	arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}/${ComponentBuildVersion}	aws:ResourceTag/${TagKey}
componentVersion	arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}	aws:ResourceTag/${TagKey}
distributionConfiguration	arn:${Partition}:imagebuilder:${Region}:${Account}:distribution-configuration/${DistributionConfigurationName}	aws:ResourceTag/${TagKey}
image	arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}/${ImageBuildVersion}	aws:ResourceTag/${TagKey}
imageVersion	arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}	aws:ResourceTag/${TagKey}
imageRecipe	arn:${Partition}:imagebuilder:${Region}:${Account}:image-recipe/${ImageRecipeName}/${ImageRecipeVersion}	aws:ResourceTag/${TagKey}
containerRecipe	arn:${Partition}:imagebuilder:${Region}:${Account}:container-recipe/${ContainerRecipeName}/${ContainerRecipeVersion}	aws:ResourceTag/${TagKey}
imagePipeline	arn:${Partition}:imagebuilder:${Region}:${Account}:image-pipeline/${ImagePipelineName}	aws:ResourceTag/${TagKey}
infrastructureConfiguration	arn:${Partition}:imagebuilder:${Region}:${Account}:infrastructure-configuration/${ResourceId}	aws:ResourceTag/${TagKey}
kmsKey	arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}
lifecycleExecution	arn:${Partition}:imagebuilder:${Region}:${Account}:lifecycle-execution/${LifecycleExecutionId}
lifecyclePolicy	arn:${Partition}:imagebuilder:${Region}:${Account}:lifecycle-policy/${LifecyclePolicyName}	aws:ResourceTag/${TagKey}
workflow	arn:${Partition}:imagebuilder:${Region}:${Account}:workflow/${WorkflowType}/${WorkflowName}/${WorkflowVersion}/${WorkflowBuildVersion}	aws:ResourceTag/${TagKey}
workflowVersion	arn:${Partition}:imagebuilder:${Region}:${Account}:workflow/${WorkflowType}/${WorkflowName}/${WorkflowVersion}	aws:ResourceTag/${TagKey}
workflowExecution	arn:${Partition}:imagebuilder:${Region}:${Account}:workflow-execution/${WorkflowExecutionId}
workflowStepExecution	arn:${Partition}:imagebuilder:${Region}:${Account}:workflow-step-execution/${WorkflowStepExecutionId}

Claves de condición para Amazon EC2 Image Builder

El generador de imágenes de Amazon EC2 define las siguientes claves de condición que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición	Descripción	Tipo
aws:RequestTag/${TagKey}	Filtra el acceso según si hay pares de clave-valor de etiqueta en la solicitud.	Cadena
aws:ResourceTag/${TagKey}	Filtra el acceso por los pares de clave-valor de etiqueta adjuntados al recurso	Cadena
aws:TagKeys	Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud	ArrayOfString
imagebuilder:CreatedResourceTag/<key>	Filtra el acceso en función de los pares clave-valor de etiqueta adjuntados al recurso creado por Image Builder	Cadena
imagebuilder:CreatedResourceTagKeys	Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud	ArrayOfString
imagebuilder:Ec2MetadataHttpTokens	Filtra el acceso por el requisito de token HTTP de metadatos de instancia de EC2 especificado en la solicitud	Cadena
imagebuilder:LifecyclePolicyResourceType	Filtra el acceso por el tipo de recurso de la política de ciclo de vida especificado en la solicitud	Cadena
imagebuilder:StatusTopicArn	Filtra el acceso por el ARN de tema SNS en la solicitud en la que se publicarán las notificaciones de estado del terminal	ARN