Ações, recursos e chaves de condição do Amazon EC2 Image Builder - Referência de autorização do serviço

Ações, recursos e chaves de condição do Amazon EC2 Image Builder

O Amazon EC2 Image Builder (prefixo do serviço: imagebuilder) fornece os recursos, ações e chaves de contexto de condição específicos ao serviço a seguir para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo Amazon EC2 Image Builder

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
CancelImageCreation Concede permissão para cancelar a criação de uma imagem Write

image*

CreateComponent Concede permissão para criar um novo componente Write

component*

iam:CreateServiceLinkedRole

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

kmsKey

aws:RequestTag/${TagKey}

aws:TagKeys

CreateContainerRecipe Concede permissão para criar uma nova receita de contêiner Write

containerRecipe*

ecr:DescribeImages

ecr:DescribeRepositories

iam:CreateServiceLinkedRole

imagebuilder:GetComponent

imagebuilder:GetImage

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDistributionConfiguration Concede permissão para criar uma nova configuração de distribuição Write

distributionConfiguration*

iam:CreateServiceLinkedRole

imagebuilder:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImage Concede permissão para criar uma nova imagem Write

image*

iam:CreateServiceLinkedRole

imagebuilder:GetContainerRecipe

imagebuilder:GetDistributionConfiguration

imagebuilder:GetImageRecipe

imagebuilder:GetInfrastructureConfiguration

imagebuilder:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImagePipeline Concede permissão para criar um novo pipeline de imagem Write

imagePipeline*

iam:CreateServiceLinkedRole

imagebuilder:GetContainerRecipe

imagebuilder:GetImageRecipe

imagebuilder:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImageRecipe Concede permissão para criar uma nova receita de imagem Write

imageRecipe*

ec2:DescribeImages

iam:CreateServiceLinkedRole

imagebuilder:GetComponent

imagebuilder:GetImage

imagebuilder:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateInfrastructureConfiguration Concede permissão para criar uma nova configuração de infraestrutura Write

infrastructureConfiguration*

iam:CreateServiceLinkedRole

iam:PassRole

imagebuilder:TagResource

sns:Publish

aws:RequestTag/${TagKey}

aws:TagKeys

imagebuilder:CreatedResourceTagKeys

imagebuilder:CreatedResourceTag/<key>

imagebuilder:Ec2MetadataHttpTokens

imagebuilder:StatusTopicArn

DeleteComponent Concede permissão para excluir um componente Write

component*

DeleteContainerRecipe Concede permissão para excluir uma receita de contêiner Write

containerRecipe*

DeleteDistributionConfiguration Concede permissão para excluir a configuração de distribuição Write

distributionConfiguration*

DeleteImage Concede permissão para excluir uma imagem Write

image*

DeleteImagePipeline Concede permissão para excluir um pipeline de imagem Write

imagePipeline*

DeleteImageRecipe Concede permissão para excluir uma receita de imagem Write

imageRecipe*

DeleteInfrastructureConfiguration Concede permissão para excluir uma configuração de infraestrutura Write

infrastructureConfiguration*

GetComponent Concede permissão para visualizar detalhes sobre um componente Read

component*

kms:Decrypt

GetComponentPolicy Concede permissão para visualizar a política de recursos associada a um componente Read

component*

GetContainerRecipe Concede permissão para visualizar detalhes sobre uma receita de contêiner Read

containerRecipe*

GetContainerRecipePolicy Concede permissão para visualizar a política de recursos associada a uma receita de contêiner Read

containerRecipe*

GetDistributionConfiguration Concede permissão para visualizar detalhes sobre uma configuração de distribuição Read

distributionConfiguration*

GetImage Concede permissão para visualizar detalhes sobre uma imagem Read

image*

aws:ResourceTag/${TagKey}

GetImagePipeline Concede permissão para visualizar detalhes sobre um pipeline de imagem Read

imagePipeline*

GetImagePolicy Concede permissão para visualizar a política de recursos associada a uma imagem Read

image*

GetImageRecipe Concede permissão para visualizar detalhes sobre uma receita de imagem Read

imageRecipe*

GetImageRecipePolicy Concede permissão para visualizar a política de recursos associada a uma receita de imagem Read

imageRecipe*

GetInfrastructureConfiguration Concede permissão para visualizar detalhes sobre uma configuração de infraestrutura Read

infrastructureConfiguration*

ImportComponent Concede permissão para importar um novo componente Write

component*

iam:CreateServiceLinkedRole

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

kmsKey

aws:RequestTag/${TagKey}

aws:TagKeys

ImportVmImage Concede permissão para importar uma imagem Write

image*

ec2:DescribeImportImageTasks

iam:CreateServiceLinkedRole

aws:RequestTag/${TagKey}

aws:TagKeys

ListComponentBuildVersions Concede permissão para listar as versões de compilação de componentes em sua conta List

componentVersion*

ListComponents Concede permissão para listar as versões de componentes pertencentes à sua conta ou compartilhadas com ela List
ListContainerRecipes Concede permissão para listar as receitas de contêiner pertencentes à sua conta ou compartilhadas com ela List
ListDistributionConfigurations Concede permissão para listar as configurações de distribuição em sua conta List
ListImageBuildVersions Concede permissão para listar as versões de compilação de imagem em sua conta List

imageVersion*

ListImagePackages Concede permissão para retornar uma lista de pacotes instalados na imagem especificada List

image*

aws:ResourceTag/${TagKey}

ListImagePipelineImages Concede permissão para retornar uma lista de imagens criadas pelo pipeline especificado List

imagePipeline*

ListImagePipelines Concede permissão para listar os pipelines de imagem em sua conta List
ListImageRecipes Concede permissão para listar as receitas de imagem pertencentes à sua conta ou compartilhadas com ela List
ListImages Concede permissão para listar as versões de imagem pertencentes à sua conta ou compartilhadas com ela List
ListInfrastructureConfigurations Concede permissão para listar as configurações de infraestrutura em sua conta List
ListTagsForResource Concede permissão para listar etiquetas para um recurso do Image Builder Read

component

distributionConfiguration

image

imagePipeline

imageRecipe

infrastructureConfiguration

aws:ResourceTag/${TagKey}

PutComponentPolicy Concede permissão para definir a política de recursos associada a um componente Permissions management

component*

PutContainerRecipePolicy Concede permissão para definir a política de recursos associada a uma receita de contêiner Permissions management

containerRecipe*

PutImagePolicy Concede permissão para definir a política de recursos associada a uma imagem Permissions management

image*

PutImageRecipePolicy Concede permissão para definir a política de recursos associada a uma receita de imagem Permissions management

imageRecipe*

StartImagePipelineExecution Concede permissão para criar uma nova imagem a partir de um pipeline Write

imagePipeline*

iam:CreateServiceLinkedRole

imagebuilder:GetImagePipeline

TagResource Concede permissão para marcar um recurso do Image Builder Marcação

component

containerRecipe

distributionConfiguration

image

imagePipeline

imageRecipe

infrastructureConfiguration

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource Concede permissão para desmarcar um recurso do Image Builder Marcação

component

containerRecipe

distributionConfiguration

image

imagePipeline

imageRecipe

infrastructureConfiguration

aws:ResourceTag/${TagKey}

aws:TagKeys

UpdateDistributionConfiguration Concede permissão para atualizar a configuração de distribuição existente Write

distributionConfiguration*

UpdateImagePipeline Concede permissão para atualizar um pipeline de imagem existente Write

imagePipeline*

UpdateInfrastructureConfiguration Concede permissão para atualizar uma configuração de infraestrutura existente Write

infrastructureConfiguration*

iam:PassRole

sns:Publish

aws:ResourceTag/${TagKey}

imagebuilder:CreatedResourceTagKeys

imagebuilder:CreatedResourceTag/<key>

imagebuilder:Ec2MetadataHttpTokens

imagebuilder:StatusTopicArn

Tipos de recursos definidos pelo Amazon EC2 Image Builder

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
component arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}/${ComponentBuildVersion}

aws:ResourceTag/${TagKey}

componentVersion arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}

aws:ResourceTag/${TagKey}

distributionConfiguration arn:${Partition}:imagebuilder:${Region}:${Account}:distribution-configuration/${DistributionConfigurationName}

aws:ResourceTag/${TagKey}

image arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}/${ImageBuildVersion}

aws:ResourceTag/${TagKey}

imageVersion arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}

aws:ResourceTag/${TagKey}

imageRecipe arn:${Partition}:imagebuilder:${Region}:${Account}:image-recipe/${ImageRecipeName}/${ImageRecipeVersion}

aws:ResourceTag/${TagKey}

containerRecipe arn:${Partition}:imagebuilder:${Region}:${Account}:container-recipe/${ContainerRecipeName}/${ContainerRecipeVersion}

aws:ResourceTag/${TagKey}

imagePipeline arn:${Partition}:imagebuilder:${Region}:${Account}:image-pipeline/${ImagePipelineName}

aws:ResourceTag/${TagKey}

infrastructureConfiguration arn:${Partition}:imagebuilder:${Region}:${Account}:infrastructure-configuration/${ResourceId}

aws:ResourceTag/${TagKey}

kmsKey arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}

Chaves de condição do Amazon EC2 Image Builder

O construtor de imagens do Amazon EC2 define as chaves de condição a seguir que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
aws:RequestTag/${TagKey} Filtra acesso pela presença de pares de chave-valor da etiqueta na solicitação String
aws:ResourceTag/${TagKey} Filtra o acesso por pares chave-valor da etiqueta anexados ao recurso String
aws:TagKeys Filtra ações pela presença de chaves da etiqueta na solicitação ArrayOfString
imagebuilder:CreatedResourceTag/<key> Filtra o acesso pelos pares de chave-valor da etiqueta anexados ao recurso criado pelo Image Builder String
imagebuilder:CreatedResourceTagKeys Filtra ações pela presença de chaves da etiqueta na solicitação ArrayOfString
imagebuilder:Ec2MetadataHttpTokens Filtra o acesso pelo Requisito de token HTTP de metadados de instâncias do EC2 especificado na solicitação String
imagebuilder:StatusTopicArn Filtra o acesso pelo ARN do tópico do SNS na solicitação na qual as notificações de estado do terminal serão publicadas String