Utiliser des politiques AWS gérées pour EC2 Image Builder - EC2 Image Builder
AWSImageBuilderFullAccessAWSImageBuilderReadOnlyAccessAWSServiceRoleForImageBuilderEc2ImageBuilderCrossAccountDistributionAccessEC2ImageBuilderLifecycleExecutionPolicyEC2InstanceProfileForImageBuilderEC2InstanceProfileForImageBuilderECRContainerBuildsMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser des politiques AWS gérées pour EC2 Image Builder

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

AWSImageBuilderFullAccess politique

La AWSImageBuilderFullAccessLa politique accorde un accès complet aux ressources d'Image Builder pour le rôle auquel il est rattaché, permettant au rôle de répertorier, de décrire, de créer, de mettre à jour et de supprimer les ressources d'Image Builder. La politique accorde également des autorisations ciblées aux personnes associées Services AWS qui sont nécessaires, par exemple, pour vérifier les ressources ou pour afficher les ressources actuelles du compte dans le AWS Management Console.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • Image Builder : l'accès administratif est accordé afin que le rôle puisse répertorier, décrire, créer, mettre à jour et supprimer des ressources Image Builder.

  • Amazon EC2 — L'accès est accordé pour les actions Amazon EC2 Describe nécessaires pour vérifier l'existence des ressources ou obtenir des listes de ressources appartenant au compte.

  • IAM — L'accès est accordé pour obtenir et utiliser des profils d'instance dont le nom contient « imagebuilder », pour vérifier l'existence du rôle lié au service Image Builder via l'action iam:GetRole API et pour créer le rôle lié au service Image Builder.

  • License Manager — L'accès est accordé pour répertorier les configurations de licence ou les licences pour une ressource.

  • Amazon S3 — L'accès est accordé pour répertorier les buckets appartenant au compte, ainsi que les buckets Image Builder dont le nom contient « imagebuilder ».

  • Amazon SNS — Des autorisations d'écriture sont accordées à Amazon SNS pour vérifier la propriété des rubriques contenant « imagebuilder ».

Pour consulter les autorisations associées à cette politique, voir AWSImageBuilderFullAccessdans le AWS Managed Policy Reference.

AWSImageBuilderReadOnlyAccess politique

La AWSImageBuilderReadOnlyAccesscette politique fournit un accès en lecture seule à toutes les ressources d'Image Builder. Des autorisations sont accordées pour vérifier que le rôle lié au service Image Builder existe via l'action d'iam:GetRoleAPI.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • Image Builder : l'accès est accordé pour un accès en lecture seule aux ressources Image Builder.

  • IAM — L'accès est accordé pour vérifier l'existence du rôle lié au service Image Builder via l'iam:GetRoleaction API.

Pour consulter les autorisations associées à cette politique, voir AWSImageBuilderReadOnlyAccessdans le AWS Managed Policy Reference.

AWSServiceRoleForImageBuilder politique

La AWSServiceRoleForImageBuilderCette politique permet à Image Builder d'appeler Services AWS en votre nom.

Détails de l’autorisation

Cette politique est attachée au rôle lié au service Image Builder lorsque le rôle est créé via Systems Manager. Pour plus d'informations sur le rôle lié au service Image Builder, consultez. Utiliser des rôles liés à un service IAM pour Image Builder

La politique inclut les autorisations suivantes :

  • CloudWatch Journaux — L'accès est accordé pour créer et télécharger CloudWatch des journaux dans tout groupe de journaux dont le nom commence par/aws/imagebuilder/.

  • Amazon EC2 — L'accès est accordé à Image Builder pour créer, prendre des instantanés et enregistrer les images (AMIs) qu'il crée et lancer des EC2 instances sur votre compte. Image Builder utilise les instantanés, les volumes, les interfaces réseau, les sous-réseaux, les groupes de sécurité, la configuration de licence et les paires de clés associés selon les besoins, à condition que l'image, l'instance et les volumes créés ou utilisés soient balisés avec CreatedBy: EC2 Image Builder ou. CreatedBy: EC2 Fast Launch

    Image Builder peut obtenir des informations sur les EC2 images Amazon, les attributs des instances, le statut des instances, les types d'instances disponibles pour votre compte, les modèles de lancement, les sous-réseaux, les hôtes et les balises sur vos EC2 ressources Amazon.

    Image Builder peut mettre à jour les paramètres de l'image pour activer ou désactiver le lancement plus rapide des instances Windows dans votre compte, où l'image est étiquetée avecCreatedBy: EC2 Image Builder.

    En outre, Image Builder peut démarrer, arrêter et mettre fin à des instances exécutées sur votre compte, partager des instantanés Amazon EBS, créer et mettre à jour des images et des modèles de lancement, annuler l'enregistrement d'images existantes, ajouter des balises et répliquer des images sur des comptes auxquels vous avez accordé des autorisations via le Ec2ImageBuilderCrossAccountDistributionAccesspolitique. Le balisage Image Builder est obligatoire pour toutes ces actions, comme décrit précédemment.

  • Amazon ECR — L'accès est accordé à Image Builder pour créer un référentiel si nécessaire pour les analyses de vulnérabilité des images de conteneurs, et pour étiqueter les ressources qu'il crée afin de limiter la portée de ses opérations. Image Builder est également autorisé à supprimer les images de conteneur qu'il a créées pour les scans après avoir pris des instantanés des vulnérabilités.

  • EventBridge— L'accès est accordé à Image Builder pour créer et gérer EventBridge des règles.

  • IAM — L'accès est accordé à Image Builder pour transmettre n'importe quel rôle de votre compte à Amazon EC2 et à VM Import/Export.

  • Amazon Inspector — L'accès est accordé à Image Builder pour déterminer quand Amazon Inspector termine les scans des instances de build et pour recueillir les résultats des images configurées pour l'autoriser.

  • AWS KMS— L'accès est accordé à Amazon EBS pour chiffrer, déchiffrer ou rechiffrer les volumes Amazon EBS. Cela est essentiel pour garantir que les volumes chiffrés fonctionnent lorsque Image Builder crée une image.

  • License Manager — L'accès est accordé à Image Builder pour mettre à jour les spécifications du License Manager vialicense-manager:UpdateLicenseSpecificationsForResource.

  • Amazon SNS — Les autorisations d'écriture sont accordées pour toutes les rubriques Amazon SNS de votre compte.

  • Systems Manager — L'accès est accordé à Image Builder pour répertorier les commandes de Systems Manager et leurs invocations, les entrées d'inventaire, décrire les informations sur les instances et les états d'exécution de l'automatisation, décrire les hôtes pour l'assistance au placement des instances et obtenir des informations détaillées sur l'invocation des commandes. Image Builder peut également envoyer des signaux d'automatisation et arrêter les exécutions automatisées pour toutes les ressources de votre compte.

    Image Builder est capable d'envoyer des appels de commande d'exécution à toute instance étiquetée "CreatedBy": "EC2 Image Builder" pour les fichiers de script suivants : AWS-RunPowerShellScriptAWS-RunShellScript, ou. AWSEC2-RunSysprep Image Builder est capable de lancer une exécution automatisée de Systems Manager dans votre compte pour les documents d'automatisation dont le nom commence parImageBuilder.

    Image Builder est également capable de créer ou de supprimer des associations State Manager pour n'importe quelle instance de votre compte, à condition que le document d'association le soitAWS-GatherSoftwareInventory, et de créer le rôle lié au service Systems Manager dans votre compte.

  • AWS STS— L'accès est accordé à Image Builder pour qu'il assume les rôles nommés EC2ImageBuilderDistributionCrossAccountRolede votre compte vers n'importe quel compte où la politique de confiance relative au rôle l'autorise. Ceci est utilisé pour la distribution d'images entre comptes.

Pour consulter les autorisations associées à cette politique, voir AWSServiceRoleForImageBuilderdans le AWS Managed Policy Reference.

Ec2ImageBuilderCrossAccountDistributionAccess politique

La Ec2ImageBuilderCrossAccountDistributionAccessLa politique autorise Image Builder à distribuer des images entre les comptes des régions cibles. Image Builder peut également décrire, copier et appliquer des balises à n'importe quelle EC2 image Amazon du compte. La politique donne également la possibilité de modifier les autorisations de l'AMI via l'action de l'ec2:ModifyImageAttributeAPI.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • Amazon EC2 — L'accès est accordé EC2 à Amazon pour décrire, copier et modifier les attributs d'une image, et pour créer des balises pour toutes les EC2 images Amazon présentes dans le compte.

Pour consulter les autorisations associées à cette politique, voir Ec2ImageBuilderCrossAccountDistributionAccessdans le AWS Managed Policy Reference.

EC2ImageBuilderLifecycleExecutionPolicy politique

La EC2ImageBuilderLifecycleExecutionPolicyLa politique autorise Image Builder à effectuer des actions telles que la dépréciation, la désactivation ou la suppression des ressources d'image Image Builder et de leurs ressources sous-jacentes (AMIsinstantanés) afin de prendre en charge les règles automatisées pour les tâches de gestion du cycle de vie des images.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • Amazon EC2 — L'accès est accordé EC2 à Amazon pour effectuer les actions suivantes pour Amazon Machine Images (AMIs) dans le compte associé au tagCreatedBy: EC2 Image Builder.

    • Activez et désactivez une AMI.

    • Activez et désactivez la dépréciation des images.

    • Décrivez et annulez l'enregistrement d'une AMI.

    • Décrivez et modifiez les attributs d'image de l'AMI.

    • Supprimez les instantanés de volume associés à l'AMI.

    • Récupérez les balises d'une ressource.

    • Ajoutez ou supprimez des balises dans une AMI par souci de dépréciation.

  • Amazon ECR — L'accès est accordé à Amazon ECR pour effectuer les actions par lots suivantes sur les référentiels ECR dotés de la balise. LifecycleExecutionAccess: EC2 Image Builder Les actions par lots prennent en charge les règles de cycle de vie automatisées des images des conteneurs.

    • ecr:BatchGetImage

    • ecr:BatchDeleteImage

    L'accès est accordé au niveau du référentiel pour les référentiels ECR étiquetés avec. LifecycleExecutionAccess: EC2 Image Builder

  • AWS Groupes de ressources — L'accès est accordé à Image Builder pour obtenir des ressources en fonction de balises.

  • EC2 Image Builder — L'accès est accordé à Image Builder pour supprimer les ressources d'image Image Builder.

Pour consulter les autorisations associées à cette politique, voir EC2ImageBuilderLifecycleExecutionPolicydans le AWS Managed Policy Reference.

EC2InstanceProfileForImageBuilder politique

La EC2InstanceProfileForImageBuilderLa politique accorde les autorisations minimales requises pour qu'une EC2 instance fonctionne avec Image Builder. Cela n'inclut pas les autorisations requises pour utiliser l'agent Systems Manager.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • CloudWatch Journaux — L'accès est accordé pour créer et télécharger CloudWatch des journaux dans tout groupe de journaux dont le nom commence par/aws/imagebuilder/.

  • Amazon EC2 — L'accès est accordé pour décrire les volumes et les instantanés, pour créer des instantanés de volumes ou de ressources d'instantanés créés par Image Builder et pour créer des balises pour les ressources Image Builder.

  • Image Builder — L'accès est accordé pour obtenir n'importe quel générateur ou AWS Marketplace composant d'Image Builder.

  • AWS KMS— L'accès est accordé pour déchiffrer un composant Image Builder, s'il a été chiffré via AWS KMS.

  • Amazon S3 — L'accès est accordé pour obtenir des objets stockés dans un compartiment Amazon S3 dont le nom commence parec2imagebuilder-, ou des ressources ayant une extension de fichier ISO.

Pour consulter les autorisations associées à cette politique, voir EC2InstanceProfileForImageBuilderdans le AWS Managed Policy Reference.

EC2InstanceProfileForImageBuilderECRContainerBuilds politique

La EC2InstanceProfileForImageBuilderECRContainerBuildsLa politique accorde les autorisations minimales requises pour une EC2 instance lorsque vous travaillez avec Image Builder pour créer des images Docker, puis enregistrer et stocker les images dans un référentiel de conteneurs Amazon ECR. Cela n'inclut pas les autorisations requises pour utiliser l'agent Systems Manager.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • CloudWatch Journaux — L'accès est accordé pour créer et télécharger CloudWatch des journaux dans tout groupe de journaux dont le nom commence par/aws/imagebuilder/.

  • Amazon ECR — L'accès est accordé à Amazon ECR pour obtenir, enregistrer et stocker une image de conteneur, ainsi que pour obtenir un jeton d'autorisation.

  • Image Builder — L'accès est accordé pour obtenir un composant Image Builder ou une recette de conteneur.

  • AWS KMS— L'accès est accordé pour déchiffrer un composant ou une recette de conteneur Image Builder, s'il a été chiffré via AWS KMS.

  • Amazon S3 — L'accès est accordé pour obtenir des objets stockés dans un compartiment Amazon S3 dont le nom commence parec2imagebuilder-.

Pour consulter les autorisations associées à cette politique, voir EC2InstanceProfileForImageBuilderECRContainerBuildsdans le AWS Managed Policy Reference.

Image Builder met à jour les politiques AWS gérées

Cette section fournit des informations sur les mises à jour apportées aux politiques AWS gérées pour Image Builder depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique du document Image Builder.

Modification Description Date

AWSServiceRoleForImageBuilder – Mise à jour d’une stratégie existante

Image Builder a apporté les modifications suivantes au rôle de service afin de prendre en charge l'importation de fichiers ISO du système d'exploitation client Microsoft en tant qu'image de base.

  • Ajout de ec2 : RegisterImage pour permettre à Image Builder de créer un instantané et de créer et d'enregistrer une AMI dont le système d'exploitation de base a été importé à partir de fichiers de disque ISO vérifiés.

 30 décembre 2024

EC2InstanceProfileForImageBuilder – Mise à jour d’une politique existante

Image Builder a apporté les modifications suivantes à la politique de profil d'instance afin de prendre en charge la création d'images à partir de fichiers image disque.

  • Ajout des actions ec2 suivantes : DescribeVolumes et DescribeSnapshots sur toutes les ressources pour récupérer les détails. Les actions suivantes ont également été ajoutées pour les ressources créées par Image Builder : CreateSnapshot pour les ressources de volume et de capture d'écran, et CreateTags. Ajout de s3 : GetObject pour les ressources avec une extension de fichier « ISO ».

 30 décembre 2024

EC2InstanceProfileForImageBuilder— Politique mise à jour

Image Builder a mis à jour la EC2InstanceProfileForImageBuilder politique pour permettre à Image Builder d'obtenir AWS Marketplace des composants.

 2 décembre 2024

EC2ImageBuilderLifecycleExecutionPolicy : nouvelle politique

Image Builder a ajouté la nouvelle EC2ImageBuilderLifecycleExecutionPolicy politique qui contient des autorisations pour la gestion du cycle de vie des images.

 17 novembre 2023

AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante

Image Builder a apporté les modifications suivantes au rôle de service afin de fournir une assistance au placement d'instances.

  • Ajout de ec2 : DescribeHosts permet à Image Builder d'interroger l'HostID afin de déterminer s'il est dans un état valide pour lancer une instance.

  • Ajout de l'action d'API ssm :GetCommandInvocation, pour améliorer la méthode utilisée par Image Builder pour obtenir les détails de l'invocation de la commande.

 19 octobre 2023

AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante

Image Builder a apporté les modifications suivantes au rôle de service afin de fournir une assistance au placement d'instances.

  • Ajout d'ec2 : DescribeHosts permet à Image Builder d'interroger l'HostID afin de déterminer s'il est dans un état valide pour lancer une instance.

  • Ajout de l'action d'API ssm :GetCommandInvocation, pour améliorer la méthode utilisée par Image Builder pour obtenir les détails de l'invocation de la commande.

 28 septembre 2023

AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante

Image Builder a apporté les modifications suivantes au rôle de service afin de permettre aux flux de travail Image Builder de collecter des informations sur les vulnérabilités pour les builds d'images de conteneur AMI et ECR. Les nouvelles autorisations prennent en charge la fonctionnalité de détection et de signalement des CVE.

  • Ajout de inspector2 : ListCoverage et inspector2 : pour permettre à ListFindings Image Builder de déterminer à quel moment Amazon Inspector effectue les scans des instances de test et de recueillir les résultats des images configurées pour l'autoriser.

  • Ajout de ecr :CreateRepository, avec l'obligation pour Image Builder de baliser le référentiel avec CreatedBy: EC2 Image Builder (tag-on-create). Nous avons également ajouté ecr : TagResource (required for tag-on-create) avec la même contrainte de CreatedBy balise, et une contrainte supplémentaire qui nécessite de commencer image-builder-* par le nom du référentiel. La contrainte de nom empêche l'augmentation des privilèges et empêche les modifications des référentiels qu'Image Builder n'a pas créés.

  • Ajout de ecr : BatchDeleteImage pour les référentiels ECR étiquetés avec. CreatedBy: EC2 Image Builder Cette autorisation nécessite de commencer par le nom du référentielimage-builder-*.

  • Ajout d'autorisations d'événement permettant à Image Builder de créer et de gérer les règles EventBridge gérées par Amazon qui figurent ImageBuilder-* dans le nom.

 30 mars 2023

AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante

Image Builder a apporté les modifications suivantes au rôle de service :

  • Ajout de licences License Manager en tant que ressource pour l'RunInstance appel ec2 : pour permettre aux clients d'utiliser l'image AMIs de base associée à une configuration de licence.

 22 mars 2022

AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante

Image Builder a apporté les modifications suivantes au rôle de service :

  • Ajout d'autorisations pour EC2 EnableFastLaunch l'action de l'API, afin d'activer et de désactiver le lancement plus rapide pour les instances Windows.

  • Champ d'application plus restreint pour ec2 : conditions des balises CreateTags d'action et de ressource.

 21 février 2022

AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante

Image Builder a apporté les modifications suivantes au rôle de service :

  • Des autorisations ont été ajoutées pour appeler le service VMIE afin d'importer une machine virtuelle et de créer une AMI de base à partir de celle-ci.

  • Champ d'application renforcé pour ec2 : conditions CreateTags d'action et de balise de ressource.

 20 novembre 2021

AWSServiceRoleForImageBuilder – Mise à jour d’une politique existante

Image Builder a ajouté de nouvelles autorisations pour résoudre les problèmes liés au blocage de la création de l'image par plusieurs associations d'inventaire.

 11 août 2021

AWSImageBuilderFullAccess – Mise à jour d’une politique existante

Image Builder a apporté les modifications suivantes au rôle d'accès complet :

  • Autorisations ajoutées à autoriserec2:DescribeInstanceTypeOffereings.

  • Des autorisations d'appel ont été ajoutées ec2:DescribeInstanceTypeOffereings pour permettre à la console Image Builder de refléter avec précision les types d'instances disponibles dans le compte.

 13 avril 2021

Image Builder a commencé à suivre les modifications

Image Builder a commencé à suivre les modifications apportées AWS à ses politiques gérées.

 2 avril 2021