Kunci tindakan, sumber daya, dan kondisi untuk Amazon EC2 Image Builder - Referensi Otorisasi Layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kunci tindakan, sumber daya, dan kondisi untuk Amazon EC2 Image Builder

Amazon EC2 Image Builder (awalan layanan:imagebuilder) menyediakan sumber daya, tindakan, dan kunci konteks kondisi khusus layanan berikut untuk digunakan dalam kebijakan izin IAM.

Referensi:

Tindakan yang ditentukan oleh Amazon EC2 Image Builder

Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.

Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.

Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.

catatan

Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.

Untuk detail tentang kolom dalam tabel berikut, lihat tabel Tindakan.

Tindakan Deskripsi Tingkat akses Jenis sumber daya (*diperlukan) Kunci syarat Tindakan bergantung
CancelImageCreation Memberikan izin untuk membatalkan pembuatan gambar Tulis

image*

CancelLifecycleExecution Memberikan izin untuk membatalkan eksekusi siklus hidup Tulis

lifecycleExecution*

CreateComponent Memberikan izin untuk membuat komponen baru Tulis

component*

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

CreateContainerRecipe Memberikan izin untuk membuat Resep Kontainer baru Tulis

containerRecipe*

aws:RequestTag/${TagKey}

aws:TagKeys

ecr:DescribeImages

ecr:DescribeRepositories

iam:CreateServiceLinkedRole

imagebuilder:GetComponent

imagebuilder:GetImage

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

CreateDistributionConfiguration Memberikan izin untuk membuat konfigurasi distribusi baru Tulis

distributionConfiguration*

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

imagebuilder:TagResource

CreateImage Memberikan izin untuk membuat gambar baru Tulis

image*

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

iam:PassRole

imagebuilder:GetContainerRecipe

imagebuilder:GetDistributionConfiguration

imagebuilder:GetImageRecipe

imagebuilder:GetInfrastructureConfiguration

imagebuilder:GetWorkflow

imagebuilder:TagResource

CreateImagePipeline Memberikan izin untuk membuat pipeline gambar baru Tulis

imagePipeline*

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

iam:PassRole

imagebuilder:GetContainerRecipe

imagebuilder:GetDistributionConfiguration

imagebuilder:GetImageRecipe

imagebuilder:GetInfrastructureConfiguration

imagebuilder:GetWorkflow

imagebuilder:TagResource

CreateImageRecipe Memberikan izin untuk membuat Resep Gambar baru Tulis

imageRecipe*

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:DescribeImages

iam:CreateServiceLinkedRole

imagebuilder:GetComponent

imagebuilder:GetImage

imagebuilder:TagResource

CreateInfrastructureConfiguration Memberikan izin untuk membuat konfigurasi infrastruktur baru Tulis

infrastructureConfiguration*

aws:RequestTag/${TagKey}

aws:TagKeys

imagebuilder:CreatedResourceTagKeys

imagebuilder:CreatedResourceTag/<key>

imagebuilder:Ec2MetadataHttpTokens

imagebuilder:StatusTopicArn

iam:CreateServiceLinkedRole

iam:PassRole

imagebuilder:TagResource

sns:Publish

CreateLifecyclePolicy Memberikan izin untuk membuat kebijakan siklus hidup baru Tulis

lifecyclePolicy*

aws:RequestTag/${TagKey}

aws:TagKeys

imagebuilder:LifecyclePolicyResourceType

iam:PassRole

imagebuilder:TagResource

CreateWorkflow Memberikan izin untuk membuat alur kerja baru Tulis

workflow*

aws:RequestTag/${TagKey}

aws:TagKeys

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

s3:GetObject

s3:ListBucket

DeleteComponent Memberikan izin untuk menghapus komponen Tulis

component*

DeleteContainerRecipe Memberikan izin untuk menghapus resep wadah Tulis

containerRecipe*

DeleteDistributionConfiguration Memberikan izin untuk menghapus konfigurasi distribusi Tulis

distributionConfiguration*

DeleteImage Memberikan izin untuk menghapus gambar Tulis

image*

DeleteImagePipeline Memberikan izin untuk menghapus pipeline gambar Tulis

imagePipeline*

DeleteImageRecipe Memberikan izin untuk menghapus resep gambar Tulis

imageRecipe*

DeleteInfrastructureConfiguration Memberikan izin untuk menghapus konfigurasi infrastruktur Tulis

infrastructureConfiguration*

DeleteLifecyclePolicy Memberikan izin untuk menghapus kebijakan siklus hidup Tulis

lifecyclePolicy*

DeleteWorkflow Memberikan izin untuk menghapus alur kerja Tulis

workflow*

GetComponent Memberikan izin untuk melihat detail tentang komponen Baca

component*

kms:Decrypt

GetComponentPolicy Memberikan izin untuk melihat kebijakan sumber daya yang terkait dengan komponen Baca

component*

GetContainerRecipe Memberikan izin untuk melihat detail tentang resep wadah Baca

containerRecipe*

GetContainerRecipePolicy Memberikan izin untuk melihat kebijakan sumber daya yang terkait dengan resep kontainer Baca

containerRecipe*

GetDistributionConfiguration Memberikan izin untuk melihat detail tentang konfigurasi distribusi Baca

distributionConfiguration*

GetImage Memberikan izin untuk melihat detail tentang gambar Baca

image*

aws:ResourceTag/${TagKey}

GetImagePipeline Memberikan izin untuk melihat detail tentang pipeline gambar Baca

imagePipeline*

GetImagePolicy Memberikan izin untuk melihat kebijakan sumber daya yang terkait dengan gambar Baca

image*

GetImageRecipe Memberikan izin untuk melihat detail tentang resep gambar Baca

imageRecipe*

GetImageRecipePolicy Memberikan izin untuk melihat kebijakan sumber daya yang terkait dengan resep gambar Baca

imageRecipe*

GetInfrastructureConfiguration Memberikan izin untuk melihat detail tentang konfigurasi infrastruktur Baca

infrastructureConfiguration*

GetLifecycleExecution Memberikan izin untuk melihat detail tentang eksekusi siklus hidup Baca

lifecycleExecution*

GetLifecyclePolicy Memberikan izin untuk melihat detail tentang kebijakan siklus hidup Baca

lifecyclePolicy*

GetWorkflow Memberikan izin untuk melihat detail tentang alur kerja Baca

workflow*

kms:Decrypt

GetWorkflowExecution Memberikan izin untuk melihat detail tentang eksekusi alur kerja Baca

workflowExecution*

GetWorkflowStepExecution Memberikan izin untuk melihat detail tentang eksekusi langkah alur kerja Baca

workflowStepExecution*

ImportComponent Memberikan izin untuk mengimpor komponen baru Tulis

component*

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

ImportVmImage Memberikan izin untuk mengimpor gambar Tulis

image*

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:DescribeImportImageTasks

iam:CreateServiceLinkedRole

ListComponentBuildVersions Memberikan izin untuk membuat daftar versi build komponen di akun Anda Daftar

componentVersion*

ListComponents Memberikan izin untuk mencantumkan versi komponen yang dimiliki atau dibagikan dengan akun Anda Daftar
ListContainerRecipes Memberikan izin untuk membuat daftar resep kontainer yang dimiliki oleh atau dibagikan dengan akun Anda Daftar
ListDistributionConfigurations Memberikan izin untuk membuat daftar konfigurasi distribusi di akun Anda Daftar
ListImageBuildVersions Memberikan izin untuk mencantumkan versi pembuatan gambar di akun Anda Daftar

imageVersion*

ListImagePackages Memberikan izin untuk mengembalikan daftar paket yang diinstal pada gambar yang ditentukan Daftar

image*

aws:ResourceTag/${TagKey}

ListImagePipelineImages Memberikan izin untuk mengembalikan daftar gambar yang dibuat oleh pipeline yang ditentukan Daftar

imagePipeline*

ListImagePipelines Memberikan izin untuk membuat daftar pipeline gambar di akun Anda Daftar
ListImageRecipes Memberikan izin untuk membuat daftar resep gambar yang dimiliki oleh atau dibagikan dengan akun Anda Daftar
ListImageScanFindingAggregations Memberikan izin untuk membuat daftar agregasi pada temuan pemindaian gambar di akun Anda Daftar

image

imagePipeline

ListImageScanFindings Memberikan izin untuk mencantumkan temuan pemindaian gambar untuk gambar di akun Anda Daftar

image

inspector2:ListFindings

imagePipeline

ListImages Memberikan izin untuk mencantumkan versi gambar yang dimiliki atau dibagikan dengan akun Anda Daftar
ListInfrastructureConfigurations Memberikan izin untuk membuat daftar konfigurasi infrastruktur di akun Anda Daftar
ListLifecycleExecutionResources Memberikan izin untuk mencantumkan sumber daya untuk eksekusi siklus hidup yang ditentukan Daftar

lifecycleExecution*

ListLifecycleExecutions Memberikan izin untuk mencantumkan eksekusi siklus hidup untuk sumber daya yang ditentukan Daftar

image

lifecyclePolicy

ListLifecyclePolicies Memberikan izin untuk mencantumkan kebijakan siklus hidup di akun Anda Daftar
ListTagsForResource Memberikan izin untuk mencantumkan tag untuk sumber daya Image Builder Baca

component

aws:ResourceTag/${TagKey}

containerRecipe

aws:ResourceTag/${TagKey}

distributionConfiguration

aws:ResourceTag/${TagKey}

image

aws:ResourceTag/${TagKey}

imagePipeline

aws:ResourceTag/${TagKey}

imageRecipe

aws:ResourceTag/${TagKey}

infrastructureConfiguration

aws:ResourceTag/${TagKey}

lifecyclePolicy

aws:ResourceTag/${TagKey}

workflow

aws:ResourceTag/${TagKey}

ListWaitingWorkflowSteps Memberikan izin untuk membuat daftar langkah alur kerja menunggu untuk akun pemanggil Daftar
ListWorkflowBuildVersions Memberikan izin untuk mencantumkan versi pembuatan alur kerja di akun Anda Daftar

workflowVersion*

ListWorkflowExecutions Memberikan izin untuk membuat daftar eksekusi alur kerja untuk gambar yang ditentukan Daftar

image*

ListWorkflowStepExecutions Memberikan izin untuk membuat daftar eksekusi langkah alur kerja untuk alur kerja yang ditentukan Daftar

workflowExecution*

ListWorkflows Memberikan izin untuk mencantumkan versi alur kerja yang dimiliki atau dibagikan dengan akun Anda Daftar
PutComponentPolicy Memberikan izin untuk menyetel kebijakan sumber daya yang terkait dengan komponen Manajemen izin

component*

PutContainerRecipePolicy Memberikan izin untuk menyetel kebijakan sumber daya yang terkait dengan resep kontainer Manajemen izin

containerRecipe*

PutImagePolicy Memberikan izin untuk menyetel kebijakan sumber daya yang terkait dengan gambar Manajemen izin

image*

PutImageRecipePolicy Memberikan izin untuk menyetel kebijakan sumber daya yang terkait dengan resep gambar Manajemen izin

imageRecipe*

SendWorkflowStepAction Memberikan izin untuk mengirim tindakan ke langkah alur kerja Tulis

image*

workflowStepExecution*

StartImagePipelineExecution Memberikan izin untuk membuat gambar baru dari pipeline Tulis

imagePipeline*

iam:CreateServiceLinkedRole

imagebuilder:GetImagePipeline

StartResourceStateUpdate Memberikan izin untuk memulai pembaruan status untuk sumber daya yang ditentukan Tulis

image*

TagResource Memberikan izin untuk menandai sumber daya Image Builder Pemberian tag

component

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

containerRecipe

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

distributionConfiguration

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

image

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

imagePipeline

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

imageRecipe

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

infrastructureConfiguration

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

lifecyclePolicy

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

workflow

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource Memberikan izin untuk menghapus tag sumber daya Image Builder Pemberian tag

component

aws:ResourceTag/${TagKey}

aws:TagKeys

containerRecipe

aws:ResourceTag/${TagKey}

aws:TagKeys

distributionConfiguration

aws:ResourceTag/${TagKey}

aws:TagKeys

image

aws:ResourceTag/${TagKey}

aws:TagKeys

imagePipeline

aws:ResourceTag/${TagKey}

aws:TagKeys

imageRecipe

aws:ResourceTag/${TagKey}

aws:TagKeys

infrastructureConfiguration

aws:ResourceTag/${TagKey}

aws:TagKeys

lifecyclePolicy

aws:ResourceTag/${TagKey}

aws:TagKeys

workflow

aws:ResourceTag/${TagKey}

aws:TagKeys

UpdateDistributionConfiguration Memberikan izin untuk memperbarui konfigurasi distribusi yang ada Tulis

distributionConfiguration*

UpdateImagePipeline Memberikan izin untuk memperbarui pipeline gambar yang ada Tulis

imagePipeline*

iam:CreateServiceLinkedRole

iam:PassRole

imagebuilder:GetContainerRecipe

imagebuilder:GetDistributionConfiguration

imagebuilder:GetImageRecipe

imagebuilder:GetInfrastructureConfiguration

imagebuilder:GetWorkflow

UpdateInfrastructureConfiguration Memberikan izin untuk memperbarui konfigurasi infrastruktur yang ada Tulis

infrastructureConfiguration*

aws:ResourceTag/${TagKey}

imagebuilder:CreatedResourceTagKeys

imagebuilder:CreatedResourceTag/<key>

imagebuilder:Ec2MetadataHttpTokens

imagebuilder:StatusTopicArn

iam:PassRole

sns:Publish

UpdateLifecyclePolicy Memberikan izin untuk memperbarui kebijakan siklus hidup yang ada Tulis

lifecyclePolicy*

imagebuilder:LifecyclePolicyResourceType

iam:PassRole

Jenis sumber daya yang ditentukan oleh Amazon EC2 Image Builder

Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol-tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.

Jenis sumber daya ARN Kunci syarat
component arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}/${ComponentBuildVersion}

aws:ResourceTag/${TagKey}

componentVersion arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}

aws:ResourceTag/${TagKey}

distributionConfiguration arn:${Partition}:imagebuilder:${Region}:${Account}:distribution-configuration/${DistributionConfigurationName}

aws:ResourceTag/${TagKey}

image arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}/${ImageBuildVersion}

aws:ResourceTag/${TagKey}

imageVersion arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}

aws:ResourceTag/${TagKey}

imageRecipe arn:${Partition}:imagebuilder:${Region}:${Account}:image-recipe/${ImageRecipeName}/${ImageRecipeVersion}

aws:ResourceTag/${TagKey}

containerRecipe arn:${Partition}:imagebuilder:${Region}:${Account}:container-recipe/${ContainerRecipeName}/${ContainerRecipeVersion}

aws:ResourceTag/${TagKey}

imagePipeline arn:${Partition}:imagebuilder:${Region}:${Account}:image-pipeline/${ImagePipelineName}

aws:ResourceTag/${TagKey}

infrastructureConfiguration arn:${Partition}:imagebuilder:${Region}:${Account}:infrastructure-configuration/${ResourceId}

aws:ResourceTag/${TagKey}

kmsKey arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}
lifecycleExecution arn:${Partition}:imagebuilder:${Region}:${Account}:lifecycle-execution/${LifecycleExecutionId}
lifecyclePolicy arn:${Partition}:imagebuilder:${Region}:${Account}:lifecycle-policy/${LifecyclePolicyName}

aws:ResourceTag/${TagKey}

workflow arn:${Partition}:imagebuilder:${Region}:${Account}:workflow/${WorkflowType}/${WorkflowName}/${WorkflowVersion}/${WorkflowBuildVersion}

aws:ResourceTag/${TagKey}

workflowVersion arn:${Partition}:imagebuilder:${Region}:${Account}:workflow/${WorkflowType}/${WorkflowName}/${WorkflowVersion}

aws:ResourceTag/${TagKey}

workflowExecution arn:${Partition}:imagebuilder:${Region}:${Account}:workflow-execution/${WorkflowExecutionId}
workflowStepExecution arn:${Partition}:imagebuilder:${Region}:${Account}:workflow-step-execution/${WorkflowStepExecutionId}

Kunci kondisi untuk Amazon EC2 Image Builder

Amazon EC2 Image Builder mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut dimana pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.

Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.

Kunci syarat Deskripsi Jenis
aws:RequestTag/${TagKey} Memfilter akses dengan adanya pasangan nilai kunci tag dalam permintaan String
aws:ResourceTag/${TagKey} Memfilter akses dengan pasangan nilai kunci tag yang dilampirkan ke sumber daya String
aws:TagKeys Memfilter akses dengan adanya kunci tag dalam permintaan ArrayOfString
imagebuilder:CreatedResourceTag/<key> Memfilter akses dengan pasangan nilai kunci tag yang dilampirkan ke sumber daya yang dibuat oleh Image Builder String
imagebuilder:CreatedResourceTagKeys Memfilter akses dengan adanya kunci tag dalam permintaan ArrayOfString
imagebuilder:Ec2MetadataHttpTokens Memfilter akses dengan Persyaratan Token HTTP Metadata Instans EC2 yang ditentukan dalam permintaan String
imagebuilder:LifecyclePolicyResourceType Memfilter akses berdasarkan Jenis Sumber Daya Kebijakan Siklus Hidup yang ditentukan dalam permintaan String
imagebuilder:StatusTopicArn Memfilter akses oleh SNS Topic Arn dalam permintaan pemberitahuan status terminal mana yang akan dipublikasikan ARN