EC2 Image Builder 的身份和访问管理

主题

• 受众
• 使用身份进行身份验证
• EC2 Image Builder 如何与 IAM 配合使用
• EC2 Image Builder 基于身份的策略
• EC2 Image Builder 基于资源的策略
• 使用适用于 EC2 Image Builder 的托管策略
• 使用 EC2 Image Builder 的服务相关角色
• 对 EC2 Image Builder 身份和访问进行故障排除

受众

您的使用方式 AWS Identity and Access Management (IAM) 会有所不同，具体取决于您在 Image Builder 中所做的工作。

服务用户 – 如果使用 Image Builder 服务来完成任务，则您的管理员会为您提供所需的凭证和权限。当您使用更多 Image Builder 功能来完成工作时，您可能需要额外权限。了解如何管理访问权限有助于您向管理员请求适合的权限。如果您无法访问 Image Builder 中的功能，请参阅 对 EC2 Image Builder 身份和访问进行故障排除。

服务管理员 – 如果您在公司负责管理 Image Builder 资源，则您可能具有 Image Builder 的完全访问权限。您有责任确定您的服务用户应访问哪些 Image Builder 功能和资源。然后，您必须向 IAM 管理员提交请求以更改服务用户的权限。请查看该页面上的信息以了解 IAM 的基本概念。要了解有关您的公司如何将 IAM 与 Image Builder 搭配使用的更多信息，请参阅 EC2 Image Builder 如何与 IAM 配合使用。

IAM 管理员 – 如果您是 IAM 管理员，您可能希望了解有关如何编写策略以管理对 Image Builder 的访问权限的详细信息。要查看您可在 IAM 中使用的 Image Builder 基于身份的策略示例，请参阅 Image Builder 基于身份的策略。

使用身份进行身份验证

有关如何为你的用户和流程提供身份验证的详细信息 AWS 账户，请参阅 IAM 用户指南中的身份。

EC2 Image Builder 基于资源的策略

有关如何创建组件的信息，请参阅 使用 Image Builder 管理组件。

限制 Image Builder 组件访问特定的 IP 地址

以下示例为任何用户授予权限以对组件执行任何 Image Builder 操作。但是，请求必须来自条件中指定的 IP 地址范围。

此语句中的条件确定允许的 Internet 协议版本 4 (IPv4) IP 地址范围为 54.240.143.*，只有一个例外：54.240.143.188。

该Condition块使用IpAddress和NotIpAddress条件和aws:SourceIp条件键，后者是一个 AWS宽范围的条件键。有关这些条件键的更多信息，请参阅在策略中指定条件。aws:sourceIp IPv4 值使用标准 CIDR 表示法。有关更多信息，请参阅 《IAM 用户指南》中的 IP 地址条件运算符。

{
  "Version": "2012-10-17",
  "Id": "IBPolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "imagebuilder.GetComponent:*",
      "Resource": "arn:aws:imagebuilder:::examplecomponent/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}