Destinatari Autenticazione con identità Autorizzazioni personalizzate per i flussi di lavoro Policy basate su risorse

Integrazione di Identity and Access Management per Image Builder

Argomenti

Destinatari

Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:

Utente del servizio: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (vedi Risolvi i problemi di IAM in Image Builder)
Amministratore del servizio: determina l’accesso degli utenti e invia le richieste di autorizzazione (vedi Come Image Builder funziona con le politiche e i ruoli IAM)
Amministratore IAM: scrivi policy per gestire l’accesso (vedi Criteri basati sull'identità di Image Builder)

Autenticazione con identità

Per informazioni dettagliate su come fornire l'autenticazione per persone e processi in azienda Account AWS, consulta Identities in the IAM User Guide.

Autorizzazioni IAM per flussi di lavoro personalizzati

Quando si utilizzano flussi di lavoro personalizzati con azioni specifiche, ad esempioRegisterImage, potrebbero essere necessarie autorizzazioni IAM aggiuntive oltre alle policy gestite standard di Image Builder. Questa sezione descrive le autorizzazioni aggiuntive necessarie per le azioni personalizzate in fasi del flusso di lavoro.

RegisterImage autorizzazioni relative alle azioni di fase

L'azione RegisterImage graduale richiede EC2 autorizzazioni Amazon specifiche per la registrazione AMIs e, facoltativamente, il recupero dei tag snapshot. Quando si utilizza il includeSnapshotTags parametro, sono necessarie autorizzazioni aggiuntive per descrivere le istantanee.

Autorizzazioni richieste per RegisterImage l'azione graduale:

Per tutte le risorse, consenti le seguenti azioni:

ec2:RegisterImage
ec2:DescribeSnapshots


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:RegisterImage",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "RegisterImage"
                }
            }
        }
    ]
}

Dettagli delle autorizzazioni:

ec2:RegisterImage- Necessario per la registrazione AMIs di nuove istantanee
ec2:DescribeSnapshots- Richiesto quando si utilizza includeSnapshotTags: true per recuperare i tag snapshot per la fusione con i tag AMI
ec2:CreateTags- Necessario per applicare i tag all'AMI registrata, inclusi i tag predefiniti di Image Builder e i tag snapshot uniti

Nota

L'ec2:DescribeSnapshotsautorizzazione viene utilizzata solo quando il includeSnapshotTags parametro è impostato su. true Se non utilizzi questa funzione, puoi omettere questa autorizzazione.

Comportamento di fusione dei tag:

Quando includeSnapshotTags è abilitata, l'azione RegisterImage graduale:

Recupera i tag dalla prima istantanea specificata nella mappatura del dispositivo a blocchi
Escludi tutti AWS i tag riservati (quelli con chiavi che iniziano con «aws:»)
Unisci i tag snapshot con i tag di registrazione AMI predefiniti di Image Builder
Dai la precedenza ai tag di Image Builder in caso di conflitto tra le chiavi dei tag

Politiche basate sulle risorse di Image Builder

Per informazioni su come creare un componente, vedere. Usa i componenti per personalizzare l'immagine di Image Builder

Limitazione dell'accesso dei componenti Image Builder a indirizzi IP specifici

L'esempio seguente concede a qualsiasi utente le autorizzazioni per eseguire qualsiasi operazione di Image Builder sui componenti. La richiesta deve, tuttavia, avere origine dall'intervallo di indirizzi IP specificati nella condizione.

La condizione di questa istruzione identifica l'intervallo 54.240.143.* di indirizzi IP consentiti per la versione 4 (IPv4) del protocollo Internet, con un'eccezione: 54.240.143.188.

Il Condition blocco utilizza le NotIpAddress condizioni IpAddress and e la chiave condition, che è una chiave di condizione -wide. aws:SourceIp AWS Per ulteriori informazioni su queste chiavi di condizione, vedere Specificazione delle condizioni in una politica. I aws:sourceIp IPv4 valori utilizzano la notazione CIDR standard. Per ulteriori informazioni, consulta Operatori di condizione con indirizzo IP nella Guida per l'utente di IAM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Protezione dei dati

Come Image Builder funziona con le politiche e i ruoli IAM