Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Integration von Identity and Access Management für Image Builder
Themen
Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
-
Servicebenutzer – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Funktionen zugreifen können (siehe Behebung von IAM-Problemen in Image Builder).
-
Serviceadministrator – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe So funktioniert Image Builder mit IAM-Richtlinien und -Rollen).
-
IAM-Administrator – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe Identitätsbasierte Richtlinien von Image Builder).
Authentifizierung mit Identitäten
Ausführliche Informationen zur Authentifizierung von Personen und Prozessen in Ihrem AWS-Konto Bereich finden Sie unter Identitäten im IAM-Benutzerhandbuch.
IAM-Berechtigungen für benutzerdefinierte Workflows
Wenn Sie benutzerdefinierte Workflows mit bestimmten Schrittaktionen verwendenRegisterImage, wie z. B., können zusätzliche IAM-Berechtigungen erforderlich sein, die über die standardmäßigen verwalteten Richtlinien von Image Builder hinausgehen. In diesem Abschnitt werden die zusätzlichen Berechtigungen beschrieben, die für benutzerdefinierte Workflow-Schrittaktionen erforderlich sind.
RegisterImage Berechtigungen für Schrittaktionen
Für die RegisterImage Schrittaktion sind spezielle EC2 Amazon-Berechtigungen erforderlich, um Snapshot-Tags zu registrieren AMIs und optional abzurufen. Bei Verwendung des includeSnapshotTags Parameters sind zusätzliche Berechtigungen zur Beschreibung von Snapshots erforderlich.
Erforderliche Berechtigungen für die RegisterImage Schrittaktion:
Erlauben Sie für alle Ressourcen die folgenden Aktionen:
-
ec2:RegisterImage -
ec2:DescribeSnapshots
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RegisterImage", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "ec2:CreateAction": "RegisterImage" } } } ] }
Einzelheiten zur Genehmigung:
-
ec2:RegisterImage- Erforderlich, um neue Daten AMIs aus Snapshots zu registrieren -
ec2:DescribeSnapshots- Erforderlich, wenn Snapshot-Tags zum Zusammenführen mit AMI-Tags abgerufen werdenincludeSnapshotTags: true -
ec2:CreateTags- Erforderlich, um Tags auf das registrierte AMI anzuwenden, einschließlich Image Builder Builder-Standard-Tags und zusammengeführter Snapshot-Tags
Anmerkung
Die ec2:DescribeSnapshots Berechtigung wird nur verwendet, wenn der includeSnapshotTags Parameter auf gesetzt isttrue. Wenn Sie diese Funktion nicht verwenden, können Sie diese Berechtigung weglassen.
Verhalten beim Zusammenführen von Tags:
Wenn diese Option aktiviert includeSnapshotTags ist, wird die RegisterImage Schrittaktion:
-
Ruft Tags aus dem ersten Snapshot ab, der in der Blockgeräte-Zuordnung angegeben wurde
-
Schließt alle AWS reservierten Tags aus (solche, deren Schlüssel mit „aws:“ beginnen)
-
Snapshot-Tags mit den standardmäßigen AMI-Registrierungs-Tags von Image Builder zusammenführen
-
Geben Sie Image Builder Builder-Tags Vorrang, wenn Tagschlüssel miteinander kollidieren
Ressourcenbasierte Richtlinien von Image Builder
Informationen zum Erstellen einer Komponente finden Sie unter. Verwenden Sie Komponenten, um Ihr Image Builder Builder-Image anzupassen
Beschränken des Zugriffs auf Image Builder Builder-Komponenten auf bestimmte IP-Adressen
Im folgenden Beispiel wird jedem Benutzer die Berechtigung erteilt, alle Image Builder Builder-Operationen an Komponenten auszuführen. Die Anfrage muss jedoch aus dem in der Bedingung angegebenen IP-Adressbereich stammen.
Die Bedingung in dieser Anweisung identifiziert den Bereich 54.240.143.* der zulässigen IP-Adressen der Internetprotokoll-Version 4 (IPv4), mit einer Ausnahme: 54.240.143.188.
Der Condition Block verwendet die NotIpAddress Bedingungen IpAddress und und den Bedingungsschlüssel, bei dem es sich um einen -weiten Bedingungsschlüssel handeltaws:SourceIp. AWS Weitere Informationen zu diesen Bedingungsschlüsseln finden Sie unter Bedingungen in einer Richtlinie angeben. Die aws:sourceIp IPv4 Werte verwenden die Standard-CIDR-Notation. Weitere Informationen finden Sie unter IP-Adressen-Bedingungsoperatoren im IAM-Benutzerhandbuch.
