EC2 Image Builder AWS PrivateLink e endpoints de interface VPC

É possível estabelecer uma conexão privada entre sua VPC e o EC2 Image Builder criando um endpoint da VPC de interface. Os endpoints de interface são alimentados por AWS PrivateLinkuma tecnologia que permite acessar de forma privada as APIs do Image Builder sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão. AWS Direct Connect As instâncias em sua VPC não precisam de endereços IP públicos para a comunicação com APIs do Image Builder. O tráfego entre sua VPC e o Image Builder não deixa a rede da Amazon.

Cada endpoint de interface é representado por uma ou mais Interfaces de Rede Elástica nas sub-redes. Ao criar uma nova imagem, você pode especificar o ID de sub-rede da VPC na configuração da sua infraestrutura.

nota

Cada serviço que você acessa de dentro de uma VPC tem seu próprio endpoint de interface, com sua própria política de endpoint. O Image Builder baixa o aplicativo gerenciador de AWSTOE componentes e acessa os recursos gerenciados dos buckets do S3 para criar imagens personalizadas. Para conceder acesso a esses buckets, você deve atualizar a política de endpoint do S3 para permitir isso. Para ter mais informações, consulte Políticas personalizadas para acesso ao bucket do S3.

Para obter mais informações sobre endpoints da VPC, consulte endpoints da VPC de interface (AWS PrivateLink) no Guia do usuário da Amazon VPC.

Considerações sobre endpoints VPC do Image Builder

Antes de configurar um endpoint da VPC de interface para o Image Builder, certifique-se de revisar as Propriedades e limitações do endpoint de interface no Guia do usuário da Amazon VPC.

O Image Builder oferece suporte a chamadas para todas as ações de API da sua VPC.

Criar um endpoint da VPC de interface para o Image Builder

Para criar um VPC endpoint para o serviço Image Builder, você pode usar o console Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para mais informações, consulte Criar um endpoint de interface no Guia do usuário da Amazon VPC.

Crie um endpoint da VPC para o Image Builder usando o seguinte nome de serviço:

• com.amazonaws.region.imagebuilder

Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API para o Image Builder usando seu nome DNS padrão para a região, por exemplo, imagebuilder.us-east-1.amazonaws.com. Para pesquisar o endpoint que se aplica à sua região de destino, consulte endpoints e cotas do EC2 Image Builder no. Referência geral da Amazon Web Services

Para mais informações, consulte Acessar um serviço por um endpoint de interface no Guia do usuário da Amazon VPC.

Criar uma política de endpoint da VPC o Image Builder

É possível anexar uma política de endpoint ao endpoint da VPC que controla o acesso ao Image. Essa política especifica as seguintes informações:

• A entidade principal que pode executar ações.

• As ações que podem ser executadas.

• Os recursos sobre os quais as ações podem ser realizadas.

Se você estiver usando componentes gerenciados pela Amazon em sua fórmula, o endpoint da VPC para Image Builder deve permitir acesso à seguinte biblioteca de componentes de propriedade do serviço:

arn:aws:imagebuilder:region:aws:component/*

Importante

Quando uma política não padrão é aplicada a um endpoint VPC de interface para o EC2 Image Builder, certas solicitações de API com falha, como aquelas que RequestLimitExceeded falham, podem não ser registradas na Amazon. AWS CloudTrail CloudWatch

Para obter mais informações, consulte Controlar o acesso a serviços com endpoints da VPC no Guia do Usuário do Amazon VPC.

Políticas personalizadas para acesso ao bucket do S3

O Image Builder usa um bucket do S3 disponível publicamente para armazenar e acessar recursos gerenciados, como componentes. Ele também baixa o aplicativo de gerenciamento de AWSTOE componentes de um bucket S3 separado. Se estiver usando um endpoint da VPC para o Amazon S3 em seu ambiente, será necessário garantir que sua política de endpoint da VPC do S3 permita que o construtor de imagens acesse os seguintes buckets do S3. Os nomes dos buckets são exclusivos por AWS região (região) e pelo ambiente do aplicativo (ambiente). Image Builder e dê AWSTOE suporte aos seguintes ambientes de aplicativos: prodpreprod, beta e.

• O bucket AWSTOE do gerenciador de componentes:

  s3://ec2imagebuilder-toe-region-environment

  Exemplo: s3://ec2 imagebuilder-toe-us-west -2-prod/*

• O bucket de recursos gerenciados do Image Builder:

  s3://ec2imagebuilder-managed-resources-region-environment/components

  Exemplo: s3://ec2 imagebuilder-managed-resources-us -west-2-prod/components/*

Exemplos de política de VPC endpoint

Esta seção inclui exemplos de políticas personalizadas de endpoint da VPC.

Política geral de endpoint da VPC para ações do Image Builder

O exemplo de política de endpoint a seguir para o Image Builder nega permissão para excluir imagens e componentes do Image Builder. O exemplo de política também concede permissão para executar todas as outras ações do EC2 Image Builder.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "imagebuilder:*",
        "Effect": "Allow",
        "Resource": "*"
    },
    {
        "Action": [
            "imagebuilder: DeleteImage"
        ],
        "Effect": "Deny",
        "Resource": "*",
    },
    {
        "Action": [
            "imagebuilder: DeleteComponent"
        ],
        "Effect": "Deny",
        "Resource": "*",
    }]
}

Restrinja o acesso por organização, permita o acesso gerenciado aos componentes

O exemplo de política de endpoint a seguir mostra como restringir o acesso a identidades e recursos que pertencem à sua organização e fornecer acesso aos componentes gerenciados pela Amazon AWSTOE . Substitua a região principal-org-id, e resource-org-idpelos valores da sua organização.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "principal-org-id",
          "aws:ResourceOrgID": "resource-org-id"
        }
      }
    },
    {
      "Sid": "AllowAccessToEC2ImageBuilderComponents",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "imagebuilder:GetComponent"
      ],
      "Resource": [
        "arn:aws:imagebuilder:region:aws:component/*"
      ]
    }
  ]
}

Política de endpoint da VPC para acesso ao bucket do Amazon S3

O exemplo de política de endpoint do S3 a seguir mostra como fornecer acesso aos buckets do S3 que o Image Builder usa para criar imagens personalizadas. Substitua a região e o meio ambiente pelos valores da sua organização. Adicione outras permissões necessárias à política com base nos requisitos do seu aplicativo.

nota

Para imagens do Linux, se você não especificar dados do usuário em sua receita de imagem, o Image Builder adiciona um script para baixar e instalar o agente do Systems Manager nas instâncias de criação e teste da sua imagem. Para baixar o agente, o Image Builder acessa o bucket do S3 para sua região de compilação.

Para garantir que o Image Builder possa inicializar as instâncias de compilação e teste, adicione o seguinte recurso adicional à sua política de endpoint do S3:

"arn:aws:s3:::amazon-ssm-region/*"

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowImageBuilderAccessToAppAndComponentBuckets",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::ec2imagebuilder-toe-region-environment/*",
        "arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*"
      ]
    }
  ]
}