Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Image Builder
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS-Services in der AWS Cloud läuft. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für EC2 Image Builder gelten, finden Sie unter [AWS-Services Umfang nach AWS Compliance-Programm-Services](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Image Builder anwenden. In den folgenden Themen erfahren Sie, wie Sie Image Builder konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere verwenden können AWS-Services , die Ihnen helfen, Ihre Image Builder Builder-Ressourcen zu überwachen und zu sichern.
**Topics**
+ [Datenschutz und das Modell der AWS gemeinsamen Verantwortung in Image Builder](data-protection.md)
+ [Integration von Identity and Access Management für Image Builder](security-iam.md)
+ [Konformitätsprüfung für Image Builder](compliance.md)
+ [Datenredundanz und Resilienz in Image Builder](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in Image Builder](infrastructure-security.md)
+ [Patch-Management für Image Builder Builder-Images](security-patch-management.md)
+ [Bewährte Sicherheitsmethoden für Image Builder](security-best-practices.md)
# Datenschutz und das Modell der AWS gemeinsamen Verantwortung in Image Builder
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der gilt für den Datenschutz in EC2 Image Builder. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der AWS Cloud alle Systeme laufen. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Image Builder oder anderen Geräten arbeiten und die Konsole, die API oder AWS-Services verwenden AWS SDKs. AWS CLI Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
## Verschlüsselung und Schlüsselverwaltung in Image Builder
Image Builder verschlüsselt Daten während der Übertragung und im Ruhezustand standardmäßig mit einem diensteigenen KMS-Schlüssel, mit Ausnahme der folgenden:
+ **Benutzerdefinierte Komponenten** — Image Builder verschlüsselt benutzerdefinierte Komponenten mit Ihrem Standard-KMS-Schlüssel oder einem diensteigenen KMS-Schlüssel.
+ **Image-Workflows** — Image Builder kann Ihre Image-Workflows mit einem vom Kunden verwalteten Schlüssel verschlüsseln, wenn Sie den Schlüssel bei der Workflow-Erstellung angeben. Image Builder übernimmt die Verschlüsselung und Entschlüsselung mit Ihrem Schlüssel, um die Workflows auszuführen, die Sie für Ihre Bilder konfiguriert haben.
Sie können Ihre eigenen Schlüssel über AWS KMS verwalten. Sie sind jedoch nicht berechtigt, den Image Builder-KMS-Schlüssel zu verwalten, der Image Builder gehört. Weitere Informationen zur Verwaltung Ihrer KMS-Schlüssel mit AWS Key Management Service finden Sie unter [Erste Schritte](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) im AWS Key Management Service Entwicklerhandbuch.
**Verschlüsselungskontext**
Um eine zusätzliche Integritäts- und Authentizitätsprüfung Ihrer verschlüsselten Daten durchzuführen, haben Sie die Möglichkeit, bei der [Verschlüsselung der Daten einen Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) einzubeziehen. Wenn eine Ressource mit einem Verschlüsselungskontext verschlüsselt ist, wird der Kontext AWS KMS kryptografisch an den Chiffretext gebunden. Die Ressource kann nur entschlüsselt werden, wenn der Anforderer eine exakte Übereinstimmung mit dem Kontext unter Berücksichtigung der Groß- und Kleinschreibung angibt.
Die Richtlinienbeispiele in diesem Abschnitt verwenden einen Verschlüsselungskontext, der dem Amazon-Ressourcennamen (ARN) einer Image Builder Builder-Workflow-Ressource ähnelt.
### Verschlüsseln Sie Image-Workflows mit einem vom Kunden verwalteten Schlüssel
Um eine zusätzliche Schutzebene hinzuzufügen, können Sie Ihre Image Builder Builder-Workflow-Ressourcen mit Ihrem eigenen, vom Kunden verwalteten Schlüssel verschlüsseln. Wenn Sie Ihren vom Kunden verwalteten Schlüssel zum Verschlüsseln der von Ihnen erstellten Image Builder-Workflows verwenden, müssen Sie in der Schlüsselrichtlinie Zugriff gewähren, damit Image Builder Ihren Schlüssel beim Verschlüsseln und Entschlüsseln von Workflow-Ressourcen verwenden kann. Sie können den Zugriff jederzeit widerrufen. Image Builder hat jedoch keinen Zugriff auf Workflows, die bereits verschlüsselt sind, wenn Sie den Zugriff auf den Schlüssel widerrufen.
Das Verfahren, um Image Builder Zugriff auf die Verwendung Ihres vom Kunden verwalteten Schlüssels zu gewähren, besteht aus zwei Schritten:
**Schritt 1: Wichtige Richtlinienberechtigungen für Image Builder Builder-Workflows hinzufügen**
Damit Image Builder Workflow-Ressourcen bei der Erstellung oder Verwendung dieser Workflows ver- und entschlüsseln kann, müssen Sie in der KMS-Schlüsselrichtlinie Berechtigungen angeben.
Diese Beispielschlüsselrichtlinie gewährt Image Builder Builder-Pipelines Zugriff, um Workflow-Ressourcen während des Erstellungsprozesses zu verschlüsseln und Workflow-Ressourcen zu entschlüsseln, um sie zu verwenden. Die Richtlinie gewährt auch Schlüsseladministratoren Zugriff. Der Verschlüsselungskontext und die Ressourcenspezifikation verwenden einen Platzhalter, um alle Regionen abzudecken, in denen Sie über Workflow-Ressourcen verfügen.
Als Voraussetzung für die Verwendung von Image-Workflows haben Sie eine IAM-Workflow-Ausführungsrolle erstellt, die Image Builder die Erlaubnis erteilt, Workflow-Aktionen auszuführen. Der Principal für die erste Anweisung, der hier im Beispiel für eine wichtige Richtlinie gezeigt wird, muss Ihre IAM-Workflow-Ausführungsrolle angeben.
Weitere Informationen zu vom Kunden verwalteten Schlüsseln finden Sie unter [Verwaltung des Zugriffs auf vom Kunden verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) im *AWS Key Management Service Entwicklerhandbuch*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow access to build images with encrypted workflow",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/YourImageBuilderExecutionRole"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:imagebuilder:arn": "arn:aws:imagebuilder:*:111122223333:workflow/*"
}
}
},
{
"Sid": "Allow access for key administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:*"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
}
]
}
```
------
**Schritt 2: Gewähren Sie Schlüsselzugriff auf Ihre Workflow-Ausführungsrolle**
Die IAM-Rolle, die Image Builder für die Ausführung Ihrer Workflows annimmt, benötigt die Erlaubnis, Ihren vom Kunden verwalteten Schlüssel zu verwenden. Ohne Zugriff auf Ihren Schlüssel kann Image Builder Ihre Workflow-Ressourcen nicht damit ver- oder entschlüsseln.
Bearbeiten Sie die Richtlinie für Ihre Workflow-Ausführungsrolle, um die folgende Richtlinienerklärung hinzuzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToWorkflowKey",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/key_ID",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:imagebuilder:arn": "arn:aws:imagebuilder:*:111122223333:workflow/*"
}
}
}
]
}
```
------
### AWS CloudTrail Ereignisse für Image-Workflows
Die folgenden Beispiele zeigen typische AWS CloudTrail Einträge zum Verschlüsseln und Entschlüsseln von Image-Workflows, die mit einem vom Kunden verwalteten Schlüssel gespeichert werden.
**Beispiel: GenerateDataKey**
Dieses Beispiel zeigt, wie ein CloudTrail Ereignis aussehen könnte, wenn Image Builder die AWS KMS **GenerateDataKey** API-Aktion aus der Image Builder **CreateWorkflow** Builder-API-Aktion aufruft. Image Builder muss einen neuen Workflow verschlüsseln, bevor die Workflow-Ressource erstellt wird.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "PRINCIPALID1234567890:workflow-role-name",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/workflow-role-name",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "PRINCIPALID1234567890",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-11-21T20:29:31Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "imagebuilder.amazonaws.com"
},
"eventTime": "2023-11-21T20:31:03Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "imagebuilder.amazonaws.com",
"userAgent": "imagebuilder.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:imagebuilder:arn": "arn:aws:imagebuilder:us-west-2:111122223333:workflow/build/sample-encrypted-workflow/1.0.0/*",
"aws-crypto-public-key": "key value"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:alias/ExampleKMSKey",
"numberOfBytes": 32
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**Beispiel: Entschlüsseln**
Dieses Beispiel zeigt, wie ein CloudTrail Ereignis aussehen könnte, wenn Image Builder die AWS KMS **Decrypt** API-Aktion aus der Image Builder **GetWorkflow** Builder-API-Aktion aufruft. Image Builder Builder-Pipelines müssen eine Workflow-Ressource entschlüsseln, bevor sie sie verwenden können.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "PRINCIPALID1234567890:workflow-role-name",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/workflow-role-name",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "PRINCIPALID1234567890",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-11-21T20:29:31Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "imagebuilder.amazonaws.com"
},
"eventTime": "2023-11-21T20:34:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "imagebuilder.amazonaws.com",
"userAgent": "imagebuilder.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:imagebuilder:arn": "arn:aws:imagebuilder:us-west-2:111122223333:workflow/build/sample-encrypted-workflow/1.0.0/*",
"aws-crypto-public-key": "ABC123def4567890abc12345678/90dE/F123abcDEF+4567890abc123D+ef1=="
}
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Datenspeicherung in Image Builder
Image Builder speichert keine Ihrer Protokolle im Service. Alle Protokolle werden auf Ihrer Amazon EC2 EC2-Instance gespeichert, die zum Erstellen des Images verwendet wird, oder in Ihren Systems Manager Manager-Automatisierungsprotokollen.
## Datenschutz bei netzwerkinternem Datenverkehr in Image Builder
Verbindungen zwischen Image Builder und lokalen Standorten, zwischen AZs innerhalb einer AWS Region und zwischen AWS Regionen werden über HTTPS gesichert. Es gibt keine direkten Verbindungen zwischen Konten.
# Integration von Identity and Access Management für Image Builder
**Topics**
+ [Zielgruppe](#security-iam-audience)
+ [Authentifizierung mit Identitäten](#security-iam-authentication)
+ [So funktioniert Image Builder mit IAM-Richtlinien und -Rollen](security_iam_service-with-iam.md)
+ [Datenperimeter für den S3-Bucket-Download-Zugriff in Image Builder verwalten](security-iam-data-perimeter.md)
+ [Identitätsbasierte Richtlinien von Image Builder](security-iam-identity-based-policies.md)
+ [IAM-Berechtigungen für benutzerdefinierte Workflows](#security-iam-custom-workflows)
+ [Ressourcenbasierte Richtlinien von Image Builder](#security-iam-resource-based-policies)
+ [AWS Verwaltete Richtlinien für EC2 Image Builder verwenden](security-iam-awsmanpol.md)
+ [Verwenden Sie mit dem IAM-Dienst verknüpfte Rollen für Image Builder](image-builder-service-linked-role.md)
+ [Behebung von IAM-Problemen in Image Builder](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Behebung von IAM-Problemen in Image Builder](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Image Builder mit IAM-Richtlinien und -Rollen](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Identitätsbasierte Richtlinien von Image Builder](security_iam_service-with-iam.md#security_iam_id-based-policy-examples)).
## Authentifizierung mit Identitäten
Ausführliche Informationen zur Authentifizierung von Personen und Prozessen in Ihrem AWS-Konto Bereich finden Sie unter [Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*.
# So funktioniert Image Builder mit IAM-Richtlinien und -Rollen
Bevor Sie IAM verwenden, um den Zugriff auf Image Builder zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen mit Image Builder verwendet werden können.
Einen allgemeinen Überblick darüber, wie Image Builder und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Identitätsbasierte Richtlinien für Image Builder
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Image Builder
Beispiele für identitätsbasierte Image Builder Builder-Richtlinien finden Sie unter. [Identitätsbasierte Richtlinien von Image Builder](#security_iam_id-based-policy-examples)
## Ressourcenbasierte Richtlinien in Image Builder
**Unterstützt ressourcenbasierte Richtlinien:** Ja
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Richtlinienaktionen für Image Builder
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der Image Builder-Aktionen finden Sie unter [Von EC2 Image Builder definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions) in der *Service Authorization Reference.*
Richtlinienaktionen in Image Builder verwenden das folgende Präfix vor der Aktion:
```
imagebuilder
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"imagebuilder:action1",
"imagebuilder:action2"
]
```
Beispiele für identitätsbasierte Image Builder Builder-Richtlinien finden Sie unter. [Identitätsbasierte Richtlinien von Image Builder](#security_iam_id-based-policy-examples)
## Richtlinienressourcen für Image Builder
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der Image Builder-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von EC2 Image Builder definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-resources-for-iam-policies) in der *Service Authorization Reference.* Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von EC2 Image Builder definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions).
Beispiele für identitätsbasierte Image Builder Builder-Richtlinien finden Sie unter. [Identitätsbasierte Richtlinien von Image Builder](#security_iam_id-based-policy-examples)
## Schlüssel für Richtlinienbedingungen für Image Builder
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Image Builder-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-policy-keys) in der *Service Authorization Reference.* Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von EC2 Image Builder definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions).
Beispiele für identitätsbasierte Image Builder Builder-Richtlinien finden Sie unter. [Identitätsbasierte Richtlinien von Image Builder](#security_iam_id-based-policy-examples)
## ACLs im Image Builder
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## ABAC mit Image Builder
**Unterstützt ABAC (Tags in Richtlinien):** Teilweise
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, um Operationen zu ermöglichen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
## Temporäre Anmeldeinformationen mit Image Builder verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Serviceübergreifende Prinzipalberechtigungen für Image Builder
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anforderung, Anfragen an nachgelagerte Dienste AWS-Service zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für Image Builder
**Unterstützt Servicerollen:** Ja
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Durch das Ändern der Berechtigungen für eine Servicerolle kann die Image Builder Builder-Funktionalität beeinträchtigt werden. Bearbeiten Sie Servicerollen nur, wenn Image Builder Sie dazu anleitet.
## Dienstbezogene Rollen für Image Builder
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Einzelheiten zur dienstverknüpften Image Builder Builder-Rolle finden Sie unter[Verwenden Sie mit dem IAM-Dienst verknüpfte Rollen für Image Builder](image-builder-service-linked-role.md).
## Identitätsbasierte Richtlinien von Image Builder
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Image Builder unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu allen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EC2 Image Builder](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2imagebuilder.html) im *IAM-Benutzerhandbuch*.
### Aktionen
Richtlinienaktionen in Image Builder verwenden das folgende Präfix vor der Aktion:`imagebuilder:`. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Image Builder definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"imagebuilder:action1",
"imagebuilder:action2"
]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `List` beginnen, einschließlich der folgenden Aktion:
```
"Action": "imagebuilder:List*"
```
Eine Liste der Image Builder Builder-Aktionen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) im *IAM-Benutzerhandbuch*.
### Verwalten des Zugriffs mit Richtlinien
*Ausführliche Informationen zur Verwaltung des Zugriffs AWS durch Erstellen von Richtlinien und deren Anhängen an IAM-Identitäten oder AWS Ressourcen finden Sie unter [Richtlinien und Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im IAM-Benutzerhandbuch.*
Die IAM-Rolle, die Sie Ihrem Instanzprofil zuordnen, muss über Berechtigungen zum Ausführen der in Ihrem Image enthaltenen Build- und Testkomponenten verfügen. Die folgenden IAM-Rollenrichtlinien müssen der IAM-Rolle angehängt werden, die dem Instanzprofil zugeordnet ist:
+ EC2InstanceProfileForImageBuilder
+ EC2InstanceProfileForImageBuilderECRContainerBuilds
+ AmazonSSMManagedInstanceCore
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Der ARN besteht aus mehreren Knoten, die helfen, die Ressource zu identifizieren und sicherzustellen, dass der Name eindeutig ist. Die letzten Knoten im Namen enthalten verschiedene Formatierungsvarianten für den Ressourcentyp, den Namen und die ID. Wenn Image Builder eine Ressource erstellt, verwendet es das folgende Format:
`arn:aws:imagebuilder:region:owner:resource-type/resource-name/version/build-version`
**Anmerkung**
Die Build-Version ist nicht immer im Ressourcen-ARN enthalten. Einige API-Operationen, z. B., benötigen jedoch die Build-Version [GetComponent](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_GetComponent.html), um eine abzurufende Ressource eindeutig zu identifizieren.
Für die Ressourcen, die Image Builder in seinen Rezepten verwendet, z. B. das Basis-Image oder Komponenten, kann der Besitzerknoten einer der folgenden sein:
+ Die Kontonummer des Ressourcenbesitzers
+ Für von Amazon verwaltete Ressourcen: `aws`
+ Für AWS Marketplace Ressourcen: `aws-marketplace`
Das folgende Beispiel zeigt den ARN für eine verwaltete Komponente zur Installation des CloudWatch Amazon-Agenten unter Linux:
```
arn:aws:imagebuilder:us-east-1:aws:component/amazon-cloudwatch-agent-linux/1.0.1/1
```
Dieses Beispiel zeigt den ARN für eine fiktive verwaltete Komponente aus dem: AWS Marketplace
```
arn:aws:imagebuilder:us-east-1:aws-marketplace:component/example-linux-software-component/1.0.1
```
Weitere Hinweise zum Abrufen einer Liste von Komponenten, einschließlich der Verwendung eines Besitzfilters, finden Sie unter. [Image Builder Builder-Komponenten auflisten](component-details.md#list-components)
**Beispiel ARNs**
Im Folgenden finden Sie einige Beispiele für Ressourcen ARNs , die Sie in einer IAM-Richtlinie angeben könnten:
+ Instance-ARN
```
"Resource": "arn:aws:imagebuilder:us-east-1:111122223333:instance/i-1234567890abcdef0"
```
+ Beispiel mit einem Platzhalter (\$1) zur Angabe aller Instanzen für ein bestimmtes Konto
```
"Resource": "arn:aws:imagebuilder:us-east-1:111122223333:instance/*"
```
+ Beispiel mit einem Platzhalter (\$1) zur Angabe aller Versionen eines verwalteten Image-Workflows
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:workflow/build/build-image/*"
```
+ ARN für verwaltetes Bild
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:image/amazon-linux-2-arm64/2024.12.17/1"
```
+ Beispiel mit einem Platzhalter (\$1) zur Angabe aller Versionen eines verwalteten Images
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:image/amazon-linux-2-arm64/x.x.x"
```
Viele EC2 Image Builder API-Aktionen beinhalten mehrere Ressourcen. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
```
"Resource": [
"resource1",
"resource2"
]
```
### Bedingungsschlüssel
Image Builder stellt dienstspezifische Bedingungsschlüssel bereit und unterstützt die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*. Die folgenden dienstspezifischen Bedingungsschlüssel werden bereitgestellt.
#### Imagebuilder: CreatedResourceTagKeys
Funktioniert mit [Zeichenfolgenoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Verwenden Sie diesen Schlüssel, um den Zugriff nach dem Vorhandensein von Tagschlüsseln in der Anfrage zu filtern. Auf diese Weise können Sie die von Image Builder erstellten Ressourcen verwalten.
**Verfügbarkeit** — Dieser Schlüssel ist nur für `CreateInfrastrucutreConfiguration` und verfügbar `UpdateInfrastructureConfiguration` APIs.
#### imagebuilder:/CreatedResourceTag
Funktioniert mit [Zeichenfolgenoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Verwenden Sie diesen Schlüssel, um den Zugriff nach den Tag-Schlüssel-Wert-Paaren zu filtern, die mit der von Image Builder erstellten Ressource verknüpft sind. Auf diese Weise können Sie Image Builder Builder-Ressourcen über definierte Tags verwalten.
**Verfügbarkeit** — Dieser Schlüssel ist nur für `CreateInfrastrucutreConfiguration` und verfügbar `UpdateInfrastructureConfiguration` APIs.
#### Imagebuilder: LifecyclePolicyResourceType
Funktioniert mit [Zeichenfolgenoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Verwenden Sie diesen Schlüssel, um den Zugriff nach dem in der Anfrage angegebenen Lifecycle-Ressourcentyp zu filtern.
Der Wert für diesen Schlüssel kann entweder `AMI_IMAGE` oder sein`CONTAINER_IMAGE`.
**Verfügbarkeit** — Dieser Schlüssel ist nur für `CreateLifecyclePolicy` und verfügbar `UpdateLifecyclePolicy`APIs.
#### ImageBuilder: EC2 MetadataHttpTokens
Funktioniert mit [Zeichenfolgenoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Verwenden Sie diesen Schlüssel, um den Zugriff nach der in der Anfrage angegebenen HTTP-Token-Anforderung für EC2-Instance-Metadaten zu filtern.
Dieser Wert für diesen Schlüssel kann entweder `optional` oder `required` sein.
**Verfügbarkeit** — Dieser Schlüssel ist nur für `CreateInfrastrucutreConfiguration` und verfügbar `UpdateInfrastructureConfiguration` APIs.
#### Imagebuilder: StatusTopicArn
Funktioniert mit [Zeichenfolgenoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Verwenden Sie diesen Schlüssel, um den Zugriff nach dem SNS-Themen-ARN in der Anfrage zu filtern, für die Terminalstatusbenachrichtigungen veröffentlicht werden.
**Verfügbarkeit** — Dieser Schlüssel ist nur für `CreateInfrastrucutreConfiguration` und `UpdateInfrastructureConfiguration` APIs verfügbar.
### Beispiele
Beispiele für identitätsbasierte Image Builder Builder-Richtlinien finden Sie unter. [Identitätsbasierte Richtlinien von Image Builder](security-iam-identity-based-policies.md)
## Ressourcenbasierte Richtlinien von Image Builder
Ressourcenbasierte Richtlinien geben an, welche Aktionen ein bestimmter Prinzipal auf der Image Builder Builder-Ressource ausführen kann und unter welchen Bedingungen. Image Builder unterstützt ressourcenbasierte Berechtigungsrichtlinien für Komponenten, Bilder und Image-Rezepte. Ressourcenbasierte Richtlinien ermöglichen die Erteilung von Nutzungsberechtigungen für andere -Konten pro Ressource. Sie können auch eine ressourcenbasierte Richtlinie verwenden, um einem AWS Dienst den Zugriff auf Ihre Komponenten, Bilder und Image-Rezepte zu ermöglichen.
Informationen zum Anhängen einer ressourcenbasierten Richtlinie an eine Komponente, ein Bild oder ein Image-Rezept finden Sie unter. [Teilen Sie Image Builder Builder-Ressourcen mit AWS RAM](manage-shared-resources.md)
**Anmerkung**
Wenn Sie eine Ressourcenrichtlinie mit Image Builder aktualisieren, wird das Update in der RAM-Konsole angezeigt.
## Autorisierung basierend auf Image Builder Builder-Tags
Sie können Tags an Image Builder-Ressourcen anhängen oder Tags in einer Anfrage an Image Builder übergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `imagebuilder:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden. Weitere Informationen zum Taggen von Image Builder Builder-Ressourcen finden Sie unter[Kennzeichnen Sie eine Ressource aus dem AWS CLI](tag-resources.md#cli-tag-resource).
## Image Builder IAM-Rollen
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität innerhalb von Ihnen AWS-Konto , die über bestimmte Berechtigungen verfügt.
### Temporäre Anmeldeinformationen mit Image Builder verwenden
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
### Service-verknüpfte Rollen
[Mit Diensten verknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) ermöglichen AWS-Services den Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein Benutzer mit Administratorzugriff kann die Berechtigungen für dienstbezogene Rollen einsehen, aber nicht bearbeiten.
Image Builder unterstützt dienstverknüpfte Rollen. Informationen zum Erstellen oder Verwalten von dienstverknüpften Image Builder Builder-Rollen finden Sie unter[Verwenden Sie mit dem IAM-Dienst verknüpfte Rollen für Image Builder](image-builder-service-linked-role.md).
### Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Das bedeutet, dass ein Benutzer mit Administratorzugriff die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
# Datenperimeter für den S3-Bucket-Download-Zugriff in Image Builder verwalten
EC2 Image Builder verwaltet zwei Klassen von AWS diensteigenen S3-Buckets, die herunterladbare Ressourcen enthalten, die für die Ausführung von Image Builder Builder-Workloads in Ihrem Konto erforderlich sind. Wenn Sie Datenperimeter verwenden, um den Zugriff auf Amazon S3 in Ihrer Umgebung zu kontrollieren, müssen Sie möglicherweise den Zugriff auf diese Buckets explizit zulassen. Sie können den Bucket-ARN oder die Bucket-URL verwenden, um diese Buckets auf eine Zulassungsliste zu setzen, je nachdem, wie Sie den Zugriff auf Amazon S3 kontrollieren.
**Bootstrapping-Skripts für die Komponentenverwaltung (erforderlich)**
Dieser S3-Bucket enthält Bootstrapping-Skripts zum Einrichten der AWSTOE Anwendung auf den EC2-Instances, die zum Erstellen von Images verwendet werden. Image Builder benötigt Zugriff zum Herunterladen der Skripts, um das Erstellen und Testen neuer Images zu unterstützen.
+ **S3-Bucket ARN:** `arn::s3:::ec2imagebuilder-managed-resources--prod`
+ **URL des S3-Buckets:** `https://ec2imagebuilder-managed-resources-.s3..`
**Verwaltete Komponenten**
Dieser S3-Bucket enthält Paketnutzlasten für von Amazon verwaltete Komponenten. Image Builder benötigt Zugriff zum Herunterladen aller verwalteten Komponenten, die in Ihren Rezepten konfiguriert sind.
+ **S3-Bucket ARN:** `arn::s3:::ec2imagebuilder-toe--prod`
+ **URL des S3-Buckets:** `https://ec2imagebuilder-toe-.s3..`
# Identitätsbasierte Richtlinien von Image Builder
**Topics**
+ [Bewährte Methoden für identitätsbasierte Richtlinien](#security-iam-service-policy-best-practices)
+ [Verwenden der Image Builder Builder-Konsole](#sec-iam-id-based-policies-using-console)
## Bewährte Methoden für identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Image Builder Builder-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Image Builder Builder-Konsole
Um auf die EC2 Image Builder Builder-Konsole zugreifen zu können, benötigen Sie einen Mindestsatz an Berechtigungen. Mit diesen Berechtigungen können Sie Details zu den Image Builder Builder-Ressourcen in Ihrem auflisten und anzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie.
Um sicherzustellen, dass Ihre IAM-Entitäten die Image Builder Builder-Konsole verwenden können, müssen Sie ihnen eine der folgenden AWS verwalteten Richtlinien zuordnen:
+ [AWSImageBuilderReadOnlyAccess-Richtlinie](security-iam-awsmanpol.md#sec-iam-manpol-AWSImageBuilderReadOnlyAccess)
+ [AWSImageBuilderFullAccess-Richtlinie](security-iam-awsmanpol.md#sec-iam-manpol-AWSImageBuilderFullAccess)
Weitere Informationen zu verwalteten Richtlinien von Image Builder finden Sie unter[AWS Verwaltete Richtlinien für EC2 Image Builder verwenden](security-iam-awsmanpol.md).
**Wichtig**
Die **AWSImageBuilderFullAccess**Richtlinie ist erforderlich, um die mit dem Service verknüpfte Image Builder Builder-Rolle zu erstellen. Wenn Sie diese Richtlinie an eine IAM-Entität anhängen, müssen Sie auch die folgende benutzerdefinierte Richtlinie anhängen und die Ressourcen angeben, die Sie verwenden möchten und die nicht `imagebuilder` im Ressourcennamen enthalten sind:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:*:*:*imagebuilder*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetInstanceProfile"
],
"Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*imagebuilder*",
"arn:aws:iam::*:role/*imagebuilder*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:s3::*:*imagebuilder*"
}
]
}
```
------
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die Sie ausführen möchten.
## IAM-Berechtigungen für benutzerdefinierte Workflows
Wenn Sie benutzerdefinierte Workflows mit bestimmten Schrittaktionen verwenden[RegisterImage](wfdoc-step-actions.md#wfdoc-step-action-register-image), wie z. B., können zusätzliche IAM-Berechtigungen erforderlich sein, die über die standardmäßigen verwalteten Richtlinien von Image Builder hinausgehen. In diesem Abschnitt werden die zusätzlichen Berechtigungen beschrieben, die für benutzerdefinierte Workflow-Schrittaktionen erforderlich sind.
### RegisterImage Berechtigungen für Schrittaktionen
Für die `RegisterImage` Schrittaktion sind spezielle Amazon EC2 EC2-Berechtigungen erforderlich, um Snapshot-Tags zu registrieren AMIs und optional abzurufen. Bei Verwendung des `includeSnapshotTags` Parameters sind zusätzliche Berechtigungen zur Beschreibung von Snapshots erforderlich.
**Erforderliche Berechtigungen für die RegisterImage Schrittaktion:**
Erlauben Sie für alle Ressourcen die folgenden Aktionen:
+ `ec2:RegisterImage`
+ `ec2:DescribeSnapshots`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RegisterImage",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::image/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "RegisterImage"
}
}
}
]
}
```
**Einzelheiten zur Genehmigung:**
+ `ec2:RegisterImage`- Erforderlich, um neue Daten AMIs aus Snapshots zu registrieren
+ `ec2:DescribeSnapshots`- Erforderlich, wenn Snapshot-Tags `includeSnapshotTags: true` zum Zusammenführen mit AMI-Tags abgerufen werden sollen
+ `ec2:CreateTags`- Erforderlich, um Tags auf das registrierte AMI anzuwenden, einschließlich Image Builder Builder-Standard-Tags und zusammengeführter Snapshot-Tags
**Anmerkung**
Die `ec2:DescribeSnapshots` Berechtigung wird nur verwendet, wenn der `includeSnapshotTags` Parameter auf gesetzt ist`true`. Wenn Sie diese Funktion nicht verwenden, können Sie diese Berechtigung weglassen.
**Verhalten beim Zusammenführen von Tags:**
Wenn diese Option aktiviert `includeSnapshotTags` ist, wird die RegisterImage Schrittaktion:
+ Ruft Tags aus dem ersten Snapshot ab, der in der Blockgeräte-Zuordnung angegeben wurde
+ Schließt alle AWS reservierten Tags aus (solche, deren Schlüssel mit „aws:“ beginnen)
+ Snapshot-Tags mit den Standard-AMI-Registrierungs-Tags von Image Builder zusammenführen
+ Geben Sie Image Builder Builder-Tags Vorrang, wenn Tagschlüssel miteinander kollidieren
## Ressourcenbasierte Richtlinien von Image Builder
Informationen zum Erstellen einer Komponente finden Sie unter. [Verwenden Sie Komponenten, um Ihr Image Builder Builder-Image anzupassen](manage-components.md)
### Beschränken des Zugriffs auf Image Builder Builder-Komponenten auf bestimmte IP-Adressen
Im folgenden Beispiel wird jedem Benutzer die Berechtigung erteilt, alle Image Builder Builder-Operationen an Komponenten auszuführen. Die Anfrage muss jedoch aus dem in der Bedingung angegebenen IP-Adressbereich stammen.
Die Bedingung in dieser Anweisung identifiziert den Bereich 54.240.143.\$1 der zulässigen IP-Adressen der Internetprotokoll-Version 4 (IPv4), mit einer Ausnahme: 54.240.143.188.
Der `Condition` Block verwendet die `NotIpAddress` Bedingungen `IpAddress` und und den Bedingungsschlüssel, bei dem es sich um einen -weiten Bedingungsschlüssel handelt`aws:SourceIp`. AWS Weitere Informationen zu diesen Bedingungsschlüsseln finden Sie unter [Bedingungen in einer Richtlinie angeben](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html). Die `aws:sourceIp` IPv4 Werte verwenden die Standard-CIDR-Notation. Weitere Informationen finden Sie unter [IP-Adressen-Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) im *IAM-Benutzerhandbuch*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "IBPolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Action": "imagebuilder:GetComponent",
"Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
```
------
# AWS Verwaltete Richtlinien für EC2 Image Builder verwenden
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWSImageBuilderFullAccess-Richtlinie
Die **AWSImageBuilderFullAccess**Richtlinie gewährt vollen Zugriff auf Image Builder Builder-Ressourcen für die Rolle, der sie zugeordnet ist, sodass die Rolle Image Builder Builder-Ressourcen auflisten, beschreiben, erstellen, aktualisieren und löschen kann. Die Richtlinie gewährt außerdem gezielte Berechtigungen für verwandte Benutzer, AWS-Services die beispielsweise zur Überprüfung von Ressourcen oder zur Anzeige der aktuellen Ressourcen für das Konto in der erforderlich sind AWS-Managementkonsole.
### Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ **Image Builder** — Administratorzugriff wird gewährt, sodass die Rolle Image Builder Builder-Ressourcen auflisten, beschreiben, erstellen, aktualisieren und löschen kann.
+ **Amazon EC2** — Zugriff wird für Amazon EC2 gewährt. Beschreiben Sie Aktionen, die erforderlich sind, um das Vorhandensein von Ressourcen zu überprüfen oder Listen der Ressourcen abzurufen, die zu dem Konto gehören.
+ **IAM** — Zugriff wird gewährt, um Instanzprofile abzurufen und zu verwenden, deren Name „imagebuilder“ enthält, um das Vorhandensein der mit dem Service verknüpften Image Builder Builder-Rolle über die `iam:GetRole` API-Aktion zu überprüfen und um die mit dem Service verknüpfte Image Builder Builder-Rolle zu erstellen.
+ **License Manager** — Zugriff wird gewährt, um Lizenzkonfigurationen oder Lizenzen für eine Ressource aufzulisten.
+ **Amazon S3** — Zugriff wird auf Listen-Buckets gewährt, die zum Konto gehören, sowie auf Image Builder Builder-Buckets, deren Namen „imagebuilder“ enthalten.
+ **Amazon SNS** — Amazon SNS werden Schreibberechtigungen erteilt, um die Inhaberschaft von Themen zu überprüfen, die „Imagebuilder“ enthalten.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## AWSImageBuilderReadOnlyAccess-Richtlinie
Die **AWSImageBuilderReadOnlyAccess**Richtlinie bietet schreibgeschützten Zugriff auf alle Image Builder Builder-Ressourcen. Über die `iam:GetRole` API-Aktion werden Berechtigungen erteilt, um zu überprüfen, ob die mit dem Image Builder Builder-Dienst verknüpfte Rolle vorhanden ist.
### Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ **Image Builder — Der** Zugriff wird für den schreibgeschützten Zugriff auf Image Builder Builder-Ressourcen gewährt.
+ **IAM** — Zugriff wird gewährt, um das Vorhandensein der mit dem Service verknüpften Image Builder Builder-Rolle über die `iam:GetRole` API-Aktion zu überprüfen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## AWSServiceRoleForImageBuilder-Richtlinie
Die **AWSServiceRoleForImageBuilder**Richtlinie ermöglicht es Image Builder, in AWS-Services Ihrem Namen anzurufen.
### Details zu Berechtigungen
Diese Richtlinie wird der mit dem Dienst verknüpften Image Builder Builder-Rolle zugewiesen, wenn die Rolle über Systems Manager erstellt wird. Weitere Informationen zur dienstverknüpften Image Builder Builder-Rolle finden Sie unter[Verwenden Sie mit dem IAM-Dienst verknüpfte Rollen für Image Builder](image-builder-service-linked-role.md).
Die Richtlinie umfasst folgende Berechtigungen:
+ **CloudWatch Protokolle** — Der Zugriff ist berechtigt, CloudWatch Protokolle zu erstellen und in jede Protokollgruppe hochzuladen, deren Name mit `/aws/imagebuilder/` beginnt.
+ **Amazon EC2** — Image Builder erhält Zugriff, um von ihm erstellte Images (AMIs) zu erstellen, Schnappschüsse davon zu erstellen und zu registrieren und EC2-Instances in Ihrem Konto zu starten. Image Builder verwendet nach Bedarf zugehörige Snapshots, Volumes, Netzwerkschnittstellen, Subnetze, Sicherheitsgruppen, Lizenzkonfigurationen und Schlüsselpaare, sofern das Image, die Instanz und die Volumes, die erstellt oder verwendet werden, mit `CreatedBy: EC2 Image Builder` oder gekennzeichnet sind. `CreatedBy: EC2 Fast Launch`
Image Builder kann Informationen über Amazon EC2 EC2-Images, Instance-Attribute, Instance-Status, die für Ihr Konto verfügbaren Instance-Typen, Startvorlagen, Subnetze, Hosts und Tags auf Ihren Amazon EC2 EC2-Ressourcen abrufen.
Image Builder kann die Bildeinstellungen aktualisieren, um das schnellere Starten von Windows-Instanzen in Ihrem Konto zu aktivieren oder zu deaktivieren, mit denen das Bild gekennzeichnet ist`CreatedBy: EC2 Image Builder`.
Darüber hinaus kann Image Builder Instances, die in Ihrem Konto ausgeführt werden, starten, stoppen und beenden, Amazon EBS-Snapshots teilen, Images erstellen und aktualisieren und Vorlagen starten, bestehende Images deregistrieren, Tags hinzufügen und Images zwischen Konten replizieren, für die Sie über die Richtlinie Berechtigungen erteilt haben. **Ec2ImageBuilderCrossAccountDistributionAccess** Image Builder Builder-Tagging ist für all diese Aktionen erforderlich, wie zuvor beschrieben.
+ **Amazon ECR** — Image Builder erhält Zugriff, um bei Bedarf ein Repository für Container-Image-Schwachstellenscans zu erstellen und die erstellten Ressourcen zu taggen, um den Umfang seiner Operationen einzuschränken. Image Builder erhält außerdem Zugriff auf das Löschen der Container-Images, die es für die Scans erstellt hat, nachdem es Schnappschüsse der Sicherheitsanfälligkeiten erstellt hat.
+ **EventBridge**— Image Builder erhält Zugriff zum Erstellen und Verwalten von EventBridge Regeln.
+ **IAM** — Image Builder erhält Zugriff, um jede Rolle in Ihrem Konto an Amazon EC2 und VM Import/Export weiterzugeben.
+ **Amazon Inspector** — Image Builder erhält Zugriff, um festzustellen, wann Amazon Inspector Build-Instance-Scans abschließt, und um Ergebnisse für Images zu sammeln, die so konfiguriert sind, dass dies zulässig ist.
+ **AWS KMS**— Amazon EBS wird Zugriff gewährt, um Amazon EBS-Volumes zu verschlüsseln, zu entschlüsseln oder erneut zu verschlüsseln. Dies ist wichtig, um sicherzustellen, dass verschlüsselte Volumes funktionieren, wenn Image Builder ein Image erstellt.
+ **License Manager** — Image Builder erhält Zugriff, um die License Manager Manager-Spezifikationen über zu aktualisieren`license-manager:UpdateLicenseSpecificationsForResource`.
+ **Amazon SNS** — Schreibberechtigungen werden für jedes Amazon SNS SNS-Thema in Ihrem Konto gewährt.
+ **Systems Manager** — Image Builder erhält Zugriff, um Systems Manager Manager-Befehle und deren Aufrufe sowie Inventareinträge aufzulisten, Instanzinformationen und den Status der Automatisierungsausführung zu beschreiben, Hosts zur Unterstützung der Instanzplatzierung zu beschreiben und Details zum Befehlsaufruf abzurufen. Image Builder kann auch Automatisierungssignale senden und Automatisierungsausführungen für jede Ressource in Ihrem Konto beenden.
Image Builder kann Ausführungsbefehle für jede Instanz ausgeben, die `"CreatedBy": "EC2 Image Builder"` für die folgenden Skriptdateien gekennzeichnet ist:`AWS-RunPowerShellScript`,`AWS-RunShellScript`, oder. `AWSEC2-RunSysprep` Image Builder kann in Ihrem Konto eine Systems Manager Manager-Automatisierungsausführung für Automatisierungsdokumente starten, bei denen der Name mit beginnt`ImageBuilder`.
Image Builder ist auch in der Lage, State Manager-Zuordnungen für jede Instanz in Ihrem Konto zu erstellen oder zu löschen, sofern das Zuordnungsdokument vorhanden ist`AWS-GatherSoftwareInventory`, und die mit dem Service verknüpfte Systems Manager Manager-Rolle in Ihrem Konto zu erstellen.
Image Builder ist in der Lage, öffentliche Parameter des Parameterspeichers zu lesen und private Parameter mit dem Präfix zu lesen und zu aktualisieren, `/imagebuilder/` sodass der Parameterwert mit dem Ausgabe-AMI aktualisiert werden kann IDs , das Image Builder aus einem neuen Build erstellt.
+ **AWS STS**— Image Builder hat Zugriff darauf, **EC2ImageBuilderDistributionCrossAccountRole**von Ihrem Konto benannte Rollen auf jedes Konto zu übertragen, sofern die Vertrauensrichtlinie für die Rolle dies zulässt. Dies wird für die kontoübergreifende Verteilung von Images verwendet.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## Ec2ImageBuilderCrossAccountDistributionAccess-Richtlinie
Die **Ec2ImageBuilderCrossAccountDistributionAccess**Richtlinie gewährt Image Builder die Erlaubnis, Bilder auf Konten in Zielregionen zu verteilen. Darüber hinaus kann Image Builder jedes Amazon EC2 EC2-Image im Konto beschreiben, kopieren und Tags darauf anwenden. Die Richtlinie gewährt auch die Möglichkeit, AMI-Berechtigungen über die `ec2:ModifyImageAttribute` API-Aktion zu ändern.
### Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ **Amazon EC2** — Amazon EC2 erhält Zugriff, um Attribute für ein Bild zu beschreiben, zu kopieren und zu ändern und Tags für alle Amazon EC2 EC2-Images im Konto zu erstellen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## EC2ImageBuilderLifecycleExecutionPolicy-Richtlinie
Die **EC2ImageBuilderLifecycleExecutionPolicy**Richtlinie gewährt Image Builder Berechtigungen zum Ausführen von Aktionen wie Verwerfen, Deaktivieren oder Löschen von Image Builder Builder-Image-Ressourcen und den ihnen zugrunde liegenden Ressourcen (AMIs, Snapshots), um automatisierte Regeln für Image-Lebenszyklusverwaltungsaufgaben zu unterstützen.
### Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ **Amazon EC2** — Amazon EC2 wird Zugriff gewährt, um die folgenden Aktionen für Amazon Machine Images (AMIs) in dem Konto auszuführen, das mit gekennzeichnet ist. `CreatedBy: EC2 Image Builder`
+ Aktiviert und deaktiviert ein AMI.
+ Aktiviert und deaktiviert die Image-Veralterung.
+ Beschreiben Sie ein AMI und melden Sie es ab.
+ Beschreiben und ändern Sie AMI-Image-Attribute.
+ Löschen Sie Volume-Snapshots, die dem AMI zugeordnet sind.
+ Ruft Tags für eine Ressource ab.
+ Hinzufügen oder Entfernen veralteter Tags aus einem AMI.
+ **Amazon ECR** — Amazon ECR wird Zugriff gewährt, um die folgenden Batch-Aktionen an ECR-Repositorys mit dem Tag durchzuführen. `LifecycleExecutionAccess: EC2 Image Builder` Batch-Aktionen unterstützen automatisierte Lebenszyklusregeln für Container-Images.
+ `ecr:BatchGetImage`
+ `ecr:BatchDeleteImage`
Der Zugriff auf Repository-Ebene für ECR-Repositorys, die mit gekennzeichnet sind, wird auf Repository-Ebene gewährt. `LifecycleExecutionAccess: EC2 Image Builder`
+ **AWS Ressourcengruppen** — Image Builder erhält Zugriff, um Ressourcen auf der Grundlage von Tags abzurufen.
+ **EC2 Image Builder** — Image Builder erhält Zugriff zum Löschen von Image Builder-Image-Ressourcen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## EC2InstanceProfileForImageBuilder-Richtlinie
Die **EC2InstanceProfileForImageBuilder**Richtlinie gewährt die Mindestberechtigungen, die für die Verwendung einer EC2-Instance mit Image Builder erforderlich sind. Dies schließt nicht die Berechtigungen ein, die für die Verwendung des Systems Manager Agent erforderlich sind.
### Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ **CloudWatch Protokolle** — Es wird Zugriff gewährt, um CloudWatch Protokolle zu erstellen und in jede Protokollgruppe hochzuladen, deren Name mit beginnt`/aws/imagebuilder/`.
+ **Amazon EC2** — Zugriff wird gewährt, um Volumes und Snapshots zu beschreiben, Snapshots von Volume- oder Snapshot-Ressourcen zu erstellen, die Image Builder erstellt hat, und um Tags für Image Builder Builder-Ressourcen zu erstellen.
+ **Image Builder** — Zugriff wird gewährt, um jeden Image Builder oder jede AWS Marketplace Komponente abzurufen.
+ **AWS KMS**— Zugriff wird gewährt, um eine Image Builder Builder-Komponente zu entschlüsseln, wenn sie über AWS KMS verschlüsselt wurde.
+ **Amazon S3** — Zugriff wird gewährt, um Objekte abzurufen, die in einem Amazon S3 S3-Bucket gespeichert sind`ec2imagebuilder-`, dessen Name mit beginnt, oder Ressourcen mit einer ISO-Dateierweiterung.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## EC2InstanceProfileForImageBuilderECRContainerBuilds-Richtlinie
Die **EC2InstanceProfileForImageBuilderECRContainerBuilds**Richtlinie gewährt die Mindestberechtigungen, die für eine EC2-Instance erforderlich sind, wenn mit Image Builder Docker-Images erstellt und die Images anschließend in einem Amazon ECR-Container-Repository registriert und gespeichert werden. Dies schließt nicht die Berechtigungen ein, die für die Verwendung des Systems Manager Agent erforderlich sind.
### Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ **CloudWatch Protokolle** — Es wird Zugriff gewährt, um CloudWatch Protokolle zu erstellen und in jede Protokollgruppe hochzuladen, deren Name mit beginnt`/aws/imagebuilder/`.
+ **Amazon ECR** — Amazon ECR wird Zugriff gewährt, um ein Container-Image abzurufen, zu registrieren und zu speichern und ein Autorisierungstoken zu erhalten.
+ **Image Builder** — Zugriff wird gewährt, um eine Image Builder Builder-Komponente oder ein Container-Rezept abzurufen.
+ **AWS KMS**— Zugriff wird gewährt, um eine Image Builder Builder-Komponente oder ein Container-Rezept zu entschlüsseln, sofern es über AWS KMS verschlüsselt wurde.
+ **Amazon S3** — Zugriff wird gewährt, um Objekte abzurufen, die in einem Amazon S3 S3-Bucket gespeichert sind, dessen Name mit beginnt`ec2imagebuilder-`.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## Image Builder Builder-Updates für AWS verwaltete Richtlinien
Dieser Abschnitt enthält Informationen zu Aktualisierungen der AWS verwalteten Richtlinien für Image Builder, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der Seite Image Builder [Builder-Dokumentenverlauf](doc-history.md), um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Datum |
| --- | --- | --- |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie | Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 26. Februar 2026 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie | Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen, um die Verwendung von AWS Systems Manager (SSM) Parameter Store-Parametern in Rezepten und bei der Imageverteilung zu unterstützen. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 23. Juli 2025 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie | Image Builder hat die folgenden Änderungen an der Instanzprofilrichtlinie vorgenommen, um mehr Dateierweiterungen für ISO-Dateidownloads zu unterstützen. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 19. Mai 2025 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie | Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen, um den Import von ISO-Dateien des Microsoft-Clientbetriebssystems als Basisimage zu unterstützen. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 30. Dezember 2024 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie | Image Builder hat die folgenden Änderungen an der Instanzprofilrichtlinie vorgenommen, um die Image-Erstellung aus Festplatten-Image-Dateien zu unterstützen. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 30. Dezember 2024 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder) – Richtlinie aktualisieren | Image Builder hat die `EC2InstanceProfileForImageBuilder` Richtlinie aktualisiert, sodass Image Builder AWS Marketplace Komponenten abrufen kann. | 2. Dezember 2024 |
| [EC2ImageBuilderLifecycleExecutionPolicy](#sec-iam-manpol-EC2ImageBuilderLifecycleExecutionPolicy) – Neue Richtlinie | Image Builder hat die neue `EC2ImageBuilderLifecycleExecutionPolicy` Richtlinie hinzugefügt, die Berechtigungen für das Image-Lebenszyklusmanagement enthält. | 17. November 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie | Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen, um die Instanzplatzierung zu unterstützen. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 19. Oktober 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie | Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen, um die Instanzplatzierung zu unterstützen. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 28. September 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie | Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen, damit Image Builder Builder-Workflows Schwachstellen sowohl für AMI- als auch für ECR-Container-Image-Builds sammeln können. Die neuen Berechtigungen unterstützen die CVE-Erkennungs- und Berichtsfunktion. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 30. März 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie | Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 22. März 2022 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie | Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 21. Februar 2022 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie | Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 20. November 2021 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie | Image Builder hat neue Berechtigungen hinzugefügt, um Probleme zu beheben, bei denen mehrere Inventarzuordnungen dazu führen, dass der Image-Build hängen bleibt. | 11. August 2021 |
| [AWSImageBuilderFullAccess](#sec-iam-manpol-AWSImageBuilderFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Image Builder hat die folgenden Änderungen an der Vollzugriffsrolle vorgenommen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 13. April 2021 |
| Image Builder hat mit der Nachverfolgung von Änderungen begonnen | Image Builder hat damit begonnen, Änderungen für seine AWS verwalteten Richtlinien nachzuverfolgen. | 02. April 2021 |
# Verwenden Sie mit dem IAM-Dienst verknüpfte Rollen für Image Builder
EC2 Image Builder verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, die direkt mit Image Builder verknüpft ist. Dienstbezogene Rollen sind von Image Builder vordefiniert und enthalten alle Berechtigungen, die der Dienst benötigt, um andere in AWS-Services Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle macht die Einrichtung von Image Builder effizienter, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Image Builder definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur Image Builder seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Die Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden.
Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter That [Work AWS-Services with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Diensten, für die in der Spalte **Serviceverknüpfte** Rolle der Wert **Ja** steht. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Dienstbezogene Rollenberechtigungen für Image Builder
Image Builder verwendet die **AWSServiceRoleForImageBuilder**dienstverknüpfte Rolle, um EC2 Image Builder den Zugriff auf AWS Ressourcen in Ihrem Namen zu ermöglichen. Die serviceverknüpfte Rolle vertraut darauf, dass der Service *imagebuilder.amazonaws.com* die Rolle übernimmt.
Sie müssen diese serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Ihr erstes Image Builder-Image in der AWS Management Console, der AWS CLI oder der AWS API erstellen, erstellt Image Builder die serviceverknüpfte Rolle für Sie.
Mit den folgenden Aktionen wird ein neues Image erstellt:
+ Führen Sie den Pipeline-Assistenten in der Image Builder Builder-Konsole aus, um ein benutzerdefiniertes Image zu erstellen.
+ Verwenden Sie eine der folgenden API-Aktionen oder den entsprechenden AWS CLI Befehl:
+ Die **[CreateImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_CreateImage.html)** API-Aktion (**[create-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/create-image.html)**in der AWS CLI).
+ Die **[ImportVmImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_ImportVmImage.html)** API-Aktion (**[import-vm-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/import-vm-image.html)**in der AWS CLI).
+ Die **[StartImagePipelineExecution](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_StartImagePipelineExecution.html)** API-Aktion (**[start-image-pipeline-execution](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/start-image-pipeline-execution.html)**in der AWS CLI).
**Wichtig**
Wenn die mit dem Dienst verknüpfte Rolle aus Ihrem Konto gelöscht wird, können Sie sie mit demselben Verfahren erneut erstellen. Wenn Sie Ihre erste EC2 Image Builder Builder-Ressource erstellen, erstellt Image Builder die serviceverknüpfte Rolle erneut für Sie.
Die Berechtigungen für die finden Sie auf der **AWSServiceRoleForImageBuilder**Seite. [AWSServiceRoleForImageBuilder-Richtlinie](security-iam-awsmanpol.md#sec-iam-manpol-AWSServiceRoleForImageBuilder) Weitere Informationen zur Konfiguration von Berechtigungen für eine dienstverknüpfte Rolle finden Sie unter [Berechtigungen für dienstverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Entfernen einer mit dem Image Builder Builder-Dienst verknüpften Rolle aus Ihrem Konto
Sie können die IAM-Konsole, die oder die AWS API verwenden AWS CLI, um die serviceverknüpfte Rolle für Image Builder manuell aus Ihrem Konto zu entfernen. Bevor Sie dies tun, müssen Sie jedoch sicherstellen, dass keine Image Builder Builder-Ressourcen aktiviert sind, die darauf verweisen.
**Anmerkung**
Wenn der Image Builder Builder-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Von der `AWSServiceRoleForImageBuilder` Rolle verwendete Image Builder Builder-Ressourcen bereinigen**
1. Stellen Sie vor dem Start sicher, dass keine Pipeline-Builds ausgeführt werden. Um einen laufenden Build abzubrechen, verwenden Sie den `cancel-image-creation` Befehl von AWS CLI.
```
aws imagebuilder cancel-image-creation --image-build-version-arn arn:aws:imagebuilder:us-east-1:123456789012:image-pipeline/sample-pipeline
```
1. Ändern Sie alle Pipeline-Zeitpläne so, dass sie einen manuellen Erstellungsprozess verwenden, oder löschen Sie sie, wenn Sie sie nicht mehr verwenden möchten. Weitere Informationen zum Löschen von Ressourcen finden Sie unter[Löschen Sie veraltete oder ungenutzte Image Builder Builder-Ressourcen](delete-resources.md).
**Löschen Sie die dienstverknüpfte Rolle mithilfe von IAM**
Sie können die IAM-Konsole, die oder die AWS API verwenden AWS CLI, um die `AWSServiceRoleForImageBuilder` Rolle aus Ihrem Konto zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für mit dem Service verknüpfte Image Builder Builder-Rollen
Image Builder unterstützt die Verwendung von dienstbezogenen Rollen in allen AWS Regionen, in denen der Service verfügbar ist. Eine Liste der unterstützten AWS Regionen finden Sie unter[AWS Regionen und Endpunkte](what-is-image-builder.md#image-builder-regions).
# Behebung von IAM-Problemen in Image Builder
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Image Builder auszuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam durchzuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Image Builder Builder-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Image Builder auszuführen
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `imagebuilder:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: imagebuilder:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `imagebuilder:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam durchzuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion auszuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Image Builder übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Image Builder auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Image Builder Builder-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Image Builder diese Funktionen unterstützt, finden Sie unter[So funktioniert Image Builder mit IAM-Richtlinien und -Rollen](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Konformitätsprüfung für Image Builder
EC2 Image Builder fällt nicht in den Geltungsbereich von AWS Compliance-Programmen.
Informationen darüber, ob AWS-Service ein in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter [AWS-Services Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
Sie können Compliance-Produkte von AWS Marketplace oder Komponenten von AWS Task Orchestrator and Executor (AWSTOE) in Ihre Image Builder Builder-Images integrieren, um sicherzustellen, dass Ihre Images konform sind. Weitere Informationen finden Sie unter [Compliance-Produkte für Ihre Image Builder Builder-Images](integ-compliance-products.md).
# Datenredundanz und Resilienz in Image Builder
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWS Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Der EC2 Image Builder Builder-Service ermöglicht es Ihnen, in einer Region erstellte Images mit anderen Regionen zu verteilen, sodass sie für mehrere Regionen ausfallsicher sind. AMIs Es gibt keinen Mechanismus zum „Sichern“ von Image-Pipelines, Rezepten oder Komponenten. Sie können die Rezept- und Komponentendokumente außerhalb des Image Builder Builder-Service speichern, z. B. in einem Amazon S3 S3-Bucket.
Der EC2 Image Builder kann nicht für High Availability (HA) konfiguriert werden. Sie können Images auf mehrere Regionen verteilen, um die Verfügbarkeit der Images zu erhöhen.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).
# Infrastruktursicherheit in Image Builder
Das AWS globale Netzwerk bietet Sicherheitsfunktionen und steuert den Netzwerkzugriff für Dienste wie EC2 Image Builder. Weitere Informationen zur Infrastruktursicherheit, die diese Dienste AWS bieten, finden Sie im Abschnitt [Infrastruktursicherheit](https://docs.aws.amazon.com/whitepapers/latest/introduction-aws-security/infrastructure-security.html) im Whitepaper *Einführung in die AWS Sicherheit*.
Um Anfragen für Image Builder API-Aktionen über das AWS globale Netzwerk zu senden, muss Ihre Client-Software die folgenden Sicherheitsrichtlinien erfüllen:
+ Um Anfragen für Image Builder Builder-API-Aktionen zu senden, muss die Clientsoftware eine unterstützte Version von Transport Layer Security (TLS) verwenden.
**Anmerkung**
AWS stellt die Unterstützung für die TLS-Versionen 1.0 und 1.1 ein. Wir empfehlen dringend, dass Sie Ihre Client-Software so aktualisieren, dass sie TLS Version 1.2 oder höher verwendet, damit Sie weiterhin eine Verbindung herstellen können. Weitere Informationen finden Sie in diesem [AWS Sicherheits-Blogbeitrag](https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/).
+ Die Client-Software muss Cipher Suites mit Perfect Forward Secrecy (PFS) wie Ephemeral Diffie-Hellman (DHE) oder Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) unterstützen. Die meisten aktuellen Systeme, wie Java 7 und höher, unterstützen diese Modi.
+ Sie müssen Ihre API-Anfragen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signieren, der einem AWS Identity and Access Management (IAM-) Prinzipal zugeordnet ist. Oder Sie können das [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html)(AWS STS) verwenden, um temporäre Sicherheitsanmeldedaten für Ihre Anfragen zu generieren.
Darüber hinaus müssen die EC2-Instances, die Image Builder zum Erstellen und Testen von Images verwendet, AWS Systems Manager Zugriff haben.
# Patch-Management für Image Builder Builder-Images
AWS stellt AMIs jeden Monat aktualisierte Updates bereit, auf denen die neuesten Updates und Sicherheitspatches für die folgenden Betriebssysteme installiert sind. Sie können diese AMIs als Basisimage für Ihre Anpassungen verwenden. Weitere Informationen finden Sie unter [Unterstützte Betriebssysteme](what-is-image-builder.md#image-builder-os).
+ Linux-Distributionen, darunter Amazon Linux 2 AL2023, Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, SUSE Linux Enterprise Server
+ Windows Server 2016 und höher
+ macOS 10.14.x und höher
Nachdem Sie ein benutzerdefiniertes Image erstellt haben, sind Sie gemäß dem Modell der [gemeinsamen Verantwortung für das Patchen des Amazon EC2-Systems verantwortlich](https://aws.amazon.com/compliance/shared-responsibility-model/). Wenn die EC2-Instances in Ihrem Anwendungs-Workload einfach ausgetauscht werden können, ist es möglicherweise am effizientesten, das Basis-AMI zu aktualisieren und alle Rechenknoten, die auf diesem Image basieren, erneut bereitzustellen.
**Anmerkung**
Für macOS-Patches empfehlen wir, dass Sie eine neue Version Ihres Rezepts erstellen, die das neueste verwaltete AMI für das Basis-Image verwendet, und dann ein aktualisiertes benutzerdefiniertes Image aus dem Rezept und Ihren anderen Image-Build-Ressourcen erstellen. Wenn sich Ihre Mac-Instances nicht einfach austauschen lassen, finden Sie auf [der Seite Betriebssystem und Software auf Mac-Instances aktualisieren](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/mac-instance-updates.html) im *Amazon EC2 EC2-Benutzerhandbuch* weitere Informationen.
Im Folgenden finden Sie zwei Möglichkeiten, wie Sie Ihren Image Builder AMIs auf dem neuesten Stand halten können.
+ **AWS-bereitgestellte Patching-Komponenten** — EC2 Image Builder stellt die folgenden Build-Komponenten bereit, mit denen alle ausstehenden Betriebssystemupdates installiert werden:
+ `update-linux`
+ `update-windows`
Diese Komponenten verwenden das `UpdateOS` Aktionsmodul. Weitere Informationen finden Sie unter [OS aktualisieren](toe-action-modules.md#action-modules-updateos). Die Komponenten können Ihren Image-Build-Pipelines hinzugefügt werden, indem Sie sie aus der Liste der AWS bereitgestellten Komponenten auswählen.
+ **Benutzerdefinierte Builder-Komponenten mit Patching-Vorgängen** — Um Patches selektiv auf unterstützten Betriebssystemen zu installieren oder zu aktualisieren AMIs, können Sie eine Image Builder-Komponente erstellen, um die erforderlichen Patches zu installieren. Eine benutzerdefinierte Komponente kann Patches mithilfe von Shell-Skripts (Bash oder PowerShell) installieren oder das `UpdateOS` Aktionsmodul verwenden, um Patches für die Installation oder den Ausschluss anzugeben. Weitere Informationen finden Sie unter [Aktionsmodule, die vom AWSTOE Komponentenmanager unterstützt werden](toe-action-modules.md).
Komponente, die das `UpdateOS` Aktionsmodul verwendet (nur Linux und Windows). Das `UpdateOS` Aktionsmodul wird für macOS nicht unterstützt.)
```
schemaVersion: 1.0
phases:
- name: build
steps:
- name: UpdateOS
action: UpdateOS
```
Komponente, die Bash verwendet, um Yum-Updates zu installieren
```
schemaVersion: 1.0
phases:
- name: build
steps:
- name: InstallYumUpdates
action: ExecuteBash
inputs:
commands:
- sudo yum update -y
```
# Bewährte Sicherheitsmethoden für Image Builder
EC2 Image Builder bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
+ Verwenden Sie in Image Builder Builder-Rezepten keine übermäßig freizügigen Sicherheitsgruppen.
+ Teilen Sie keine Bilder mit Konten, denen Sie nicht vertrauen.
+ Veröffentlichen Sie keine Bilder, die private oder sensible Daten enthalten.
+ Wenden Sie bei der Image-Erstellung alle verfügbaren Windows- oder Linux-Sicherheitspatches an.
+ Wenden Sie regelmäßig verwaltete AMI-Updates auf Ihre macOS-Rezepte an und erstellen Sie neue Images, um Instances mit den neuesten Sicherheitspatches zu starten.
Wir empfehlen Ihnen dringend, Ihre Images zu testen, um den Sicherheitsstatus und die geltenden Sicherheitsstandards zu überprüfen. Lösungen wie [Amazon Inspector](https://aws.amazon.com/inspector/) können dabei helfen, den Sicherheits- und Compliance-Status von Bildern zu überprüfen.
**IMDSv2 für Image Builder Builder-Pipelines**
Wenn Ihre Image Builder-Pipeline ausgeführt wird, sendet sie HTTP-Anfragen zum Starten von EC2-Instances, die Image Builder zum Erstellen und Testen Ihres Images verwendet. Um die Version von IMDS zu konfigurieren, die Ihre Pipeline für die Startanfragen verwendet, legen Sie den `httpTokens` Parameter in den Metadateneinstellungen Ihrer Image Builder Builder-Infrastrukturkonfigurationsinstanz fest.
**Anmerkung**
Es wird empfohlen, alle EC2-Instances, die Image Builder aus einem Pipeline-Build startet, IMDSv2 so zu konfigurieren, dass für Anfragen zum Abrufen von Instance-Metadaten ein signierter Token-Header erforderlich ist.
Weitere Informationen zur Image Builder Builder-Infrastrukturkonfiguration finden Sie unter[Image Builder Builder-Infrastrukturkonfiguration verwalten](manage-infra-config.md). Weitere Informationen zu EC2-Instance-Metadatenoptionen für Linux-Images finden [Sie unter Konfiguration der Instance-Metadatenoptionen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) im Amazon EC2 EC2-Benutzerhandbuch. Informationen zu Windows-Images finden [Sie unter Konfiguration der Optionen für Instance-Metadaten](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) im Amazon EC2 EC2-Benutzerhandbuch.
## Bereinigung nach dem Build erforderlich
Nachdem Image Builder alle Build-Schritte für Ihr benutzerdefiniertes Image abgeschlossen hat, bereitet Image Builder die Build-Instanz für Tests und Image-Erstellung vor. Bevor Sie die Build-Instanz herunterfahren, um den Snapshot zu erstellen, führt Image Builder die folgende Bereinigung durch, um die Sicherheit Ihres Images zu gewährleisten:
------
#### [ Linux ]
Die Image Builder Builder-Pipeline führt ein Bereinigungsskript aus, um sicherzustellen, dass das endgültige Image den bewährten Sicherheitsmethoden entspricht, und um alle Build-Artefakte oder Einstellungen zu entfernen, die nicht in Ihren Snapshot übertragen werden sollten. Sie können jedoch Abschnitte des Skripts überspringen oder die Benutzerdaten vollständig überschreiben. Daher entsprechen die von Image Builder Builder-Pipelines erstellten Bilder nicht unbedingt bestimmten regulatorischen Kriterien.
Wenn die Pipeline ihre Build- und Testphasen abgeschlossen hat, führt Image Builder automatisch das folgende Bereinigungsskript aus, kurz bevor das Ausgabe-Image erstellt wird.
**Wichtig**
Wenn Sie **Benutzerdaten** in Ihrem Rezept überschreiben, wird das Skript nicht ausgeführt. Stellen Sie in diesem Fall sicher, dass Sie einen Befehl in Ihre Benutzerdaten aufnehmen, der eine leere Datei mit dem Namen erstellt`perform_cleanup`. Image Builder erkennt diese Datei und führt das Bereinigungsskript aus, bevor das neue Image erstellt wird.
```
#!/bin/bash
if [[ ! -f {{workingDirectory}}/perform_cleanup ]]; then
echo "Skipping cleanup"
exit 0
else
sudo rm -f {{workingDirectory}}/perform_cleanup
fi
function cleanup() {
FILES=("$@")
for FILE in "${FILES[@]}"; do
if [[ -f "$FILE" ]]; then
echo "Deleting $FILE";
sudo shred -zuf $FILE;
fi;
if [[ -f $FILE ]]; then
echo "Failed to delete '$FILE'. Failing."
exit 1
fi;
done
};
# Clean up for cloud-init files
CLOUD_INIT_FILES=(
"/etc/sudoers.d/90-cloud-init-users"
"/etc/locale.conf"
"/var/log/cloud-init.log"
"/var/log/cloud-init-output.log"
)
if [[ -f {{workingDirectory}}/skip_cleanup_cloudinit_files ]]; then
echo "Skipping cleanup of cloud init files"
else
echo "Cleaning up cloud init files"
cleanup "${CLOUD_INIT_FILES[@]}"
if [[ $( sudo find /var/lib/cloud -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting files within /var/lib/cloud/*"
sudo find /var/lib/cloud -type f -exec shred -zuf {} \;
fi;
if [[ $( sudo ls /var/lib/cloud | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/lib/cloud/*"
sudo rm -rf /var/lib/cloud/* || true
fi;
fi;
# Clean up for temporary instance files
INSTANCE_FILES=(
"/etc/.updated"
"/etc/aliases.db"
"/etc/hostname"
"/var/lib/misc/postfix.aliasesdb-stamp"
"/var/lib/postfix/master.lock"
"/var/spool/postfix/pid/master.pid"
"/var/.updated"
"/var/cache/yum/x86_64/2/.gpgkeyschecked.yum"
)
if [[ -f {{workingDirectory}}/skip_cleanup_instance_files ]]; then
echo "Skipping cleanup of instance files"
else
echo "Cleaning up instance files"
cleanup "${INSTANCE_FILES[@]}"
fi;
# Clean up for ssh files
SSH_FILES=(
"/etc/ssh/ssh_host_rsa_key"
"/etc/ssh/ssh_host_rsa_key.pub"
"/etc/ssh/ssh_host_ecdsa_key"
"/etc/ssh/ssh_host_ecdsa_key.pub"
"/etc/ssh/ssh_host_ed25519_key"
"/etc/ssh/ssh_host_ed25519_key.pub"
"/root/.ssh/authorized_keys"
)
if [[ -f {{workingDirectory}}/skip_cleanup_ssh_files ]]; then
echo "Skipping cleanup of ssh files"
else
echo "Cleaning up ssh files"
cleanup "${SSH_FILES[@]}"
USERS=$(ls /home/)
for user in $USERS; do
echo Deleting /home/"$user"/.ssh/authorized_keys;
sudo find /home/"$user"/.ssh/authorized_keys -type f -exec shred -zuf {} \;
done
for user in $USERS; do
if [[ -f /home/"$user"/.ssh/authorized_keys ]]; then
echo Failed to delete /home/"$user"/.ssh/authorized_keys;
exit 1
fi;
done;
fi;
# Clean up for instance log files
INSTANCE_LOG_FILES=(
"/var/log/audit/audit.log"
"/var/log/boot.log"
"/var/log/dmesg"
"/var/log/cron"
)
if [[ -f {{workingDirectory}}/skip_cleanup_instance_log_files ]]; then
echo "Skipping cleanup of instance log files"
else
echo "Cleaning up instance log files"
cleanup "${INSTANCE_LOG_FILES[@]}"
fi;
# Clean up for TOE files
if [[ -f {{workingDirectory}}/skip_cleanup_toe_files ]]; then
echo "Skipping cleanup of TOE files"
else
echo "Cleaning TOE files"
if [[ $( sudo find {{workingDirectory}}/TOE_* -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within {{workingDirectory}}/TOE_*"
sudo find {{workingDirectory}}/TOE_* -type f -exec shred -zuf {} \;
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete {{workingDirectory}}/TOE_*"
exit 1
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type d | sudo wc -l) -gt 0 ]]; then
echo "Deleting {{workingDirectory}}/TOE_*"
sudo rm -rf {{workingDirectory}}/TOE_*
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type d | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete {{workingDirectory}}/TOE_*"
exit 1
fi
fi
# Clean up for ssm log files
if [[ -f {{workingDirectory}}/skip_cleanup_ssm_log_files ]]; then
echo "Skipping cleanup of ssm log files"
else
echo "Cleaning up ssm log files"
if [[ $( sudo find /var/log/amazon/ssm -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within /var/log/amazon/ssm/*"
sudo find /var/log/amazon/ssm -type f -exec shred -zuf {} \;
fi
if [[ $( sudo find /var/log/amazon/ssm -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete /var/log/amazon/ssm"
exit 1
fi
if [[ -d "/var/log/amazon/ssm" ]]; then
echo "Deleting /var/log/amazon/ssm/*"
sudo rm -rf /var/log/amazon/ssm
fi
if [[ -d "/var/log/amazon/ssm" ]]; then
echo "Failed to delete /var/log/amazon/ssm"
exit 1
fi
fi
if [[ $( sudo find /var/log/sa/sa* -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/log/sa/sa*"
sudo shred -zuf /var/log/sa/sa*
fi
if [[ $( sudo find /var/log/sa/sa* -type f | sudo wc -l ) -gt 0 ]]; then
echo "Failed to delete /var/log/sa/sa*"
exit 1
fi
if [[ $( sudo find /var/lib/dhclient/dhclient*.lease -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/lib/dhclient/dhclient*.lease"
sudo shred -zuf /var/lib/dhclient/dhclient*.lease
fi
if [[ $( sudo find /var/lib/dhclient/dhclient*.lease -type f | sudo wc -l ) -gt 0 ]]; then
echo "Failed to delete /var/lib/dhclient/dhclient*.lease"
exit 1
fi
if [[ $( sudo find /var/tmp -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within /var/tmp/*"
sudo find /var/tmp -type f -exec shred -zuf {} \;
fi
if [[ $( sudo find /var/tmp -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete /var/tmp"
exit 1
fi
if [[ $( sudo ls /var/tmp | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/tmp/*"
sudo rm -rf /var/tmp/*
fi
# Shredding is not guaranteed to work well on rolling logs
if [[ -f "/var/lib/rsyslog/imjournal.state" ]]; then
echo "Deleting /var/lib/rsyslog/imjournal.state"
sudo shred -zuf /var/lib/rsyslog/imjournal.state
sudo rm -f /var/lib/rsyslog/imjournal.state
fi
if [[ $( sudo ls /var/log/journal/ | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/log/journal/*"
sudo find /var/log/journal/ -type f -exec shred -zuf {} \;
sudo rm -rf /var/log/journal/*
fi
sudo touch /etc/machine-id
```
------
#### [ Windows ]
Nachdem die Image Builder Builder-Pipeline Windows-Abbilder angepasst hat, wird das Microsoft [Sysprep-Hilfsprogramm](https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/sysprep--generalize--a-windows-installation?view=windows-11) ausgeführt. Diese Aktionen folgen den [AWS bewährten Methoden zum Härten und Reinigen des Images](https://aws.amazon.com/articles/public-ami-publishing-hardening-and-clean-up-requirements/).
------
#### [ macOS ]
Die Image Builder Builder-Pipeline führt ein Bereinigungsskript aus, um sicherzustellen, dass das endgültige Image den bewährten Sicherheitsmethoden entspricht, und um alle Build-Artefakte oder Einstellungen zu entfernen, die nicht in Ihren Snapshot übertragen werden sollten. Sie können jedoch Abschnitte des Skripts überspringen oder die Benutzerdaten vollständig überschreiben. Daher entsprechen die von Image Builder Builder-Pipelines erstellten Bilder nicht unbedingt bestimmten regulatorischen Kriterien.
Wenn die Pipeline ihre Build- und Testphasen abgeschlossen hat, führt Image Builder automatisch das folgende Bereinigungsskript aus, kurz bevor das Ausgabe-Image erstellt wird.
**Wichtig**
Wenn Sie **Benutzerdaten** in Ihrem Rezept überschreiben, wird das Skript nicht ausgeführt. Stellen Sie in diesem Fall sicher, dass Sie einen Befehl in Ihre Benutzerdaten aufnehmen, der eine leere Datei mit dem Namen erstellt`perform_cleanup`. Image Builder erkennt diese Datei und führt das Bereinigungsskript aus, bevor das neue Image erstellt wird.
```
#!/bin/bash
if [[ ! -f {{workingDirectory}}/perform_cleanup ]]; then
echo "Skipping cleanup"
exit 0
else
sudo rm -f {{workingDirectory}}/perform_cleanup
fi
function cleanup() {
FILES=("$@")
for FILE in "${FILES[@]}"; do
if [[ -f "$FILE" ]]; then
echo "Deleting $FILE";
sudo rm -f $FILE;
fi;
if [[ -f $FILE ]]; then
echo "Failed to delete '$FILE'. Failing."
exit 1
fi;
done
};
# Clean up for cloud-init files
CLOUD_INIT_FILES=(
"/etc/sudoers.d/90-cloud-init-users"
"/etc/locale.conf"
"/var/log/cloud-init.log"
"/var/log/cloud-init-output.log"
)
if [[ -f {{workingDirectory}}/skip_cleanup_cloudinit_files ]]; then
echo "Skipping cleanup of cloud init files"
else
echo "Cleaning up cloud init files"
cleanup "${CLOUD_INIT_FILES[@]}"
if [[ $( sudo find /var/lib/cloud -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting files within /var/lib/cloud/*"
sudo find /var/lib/cloud -type f -exec rm -f {} \;
fi;
if [[ $( sudo ls /var/lib/cloud | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/lib/cloud/*"
sudo rm -rf /var/lib/cloud/* || true
fi;
fi;
# Clean up for temporary instance files
INSTANCE_FILES=(
"/etc/.updated"
"/etc/aliases.db"
"/etc/hostname"
"/var/lib/misc/postfix.aliasesdb-stamp"
"/var/lib/postfix/master.lock"
"/var/spool/postfix/pid/master.pid"
"/var/.updated"
"/var/cache/yum/x86_64/2/.gpgkeyschecked.yum"
)
if [[ -f {{workingDirectory}}/skip_cleanup_instance_files ]]; then
echo "Skipping cleanup of instance files"
else
echo "Cleaning up instance files"
cleanup "${INSTANCE_FILES[@]}"
fi;
# Clean up for ssh files
SSH_FILES=(
"/etc/ssh/ssh_host_rsa_key"
"/etc/ssh/ssh_host_rsa_key.pub"
"/etc/ssh/ssh_host_ecdsa_key"
"/etc/ssh/ssh_host_ecdsa_key.pub"
"/etc/ssh/ssh_host_ed25519_key"
"/etc/ssh/ssh_host_ed25519_key.pub"
"/root/.ssh/authorized_keys"
)
if [[ -f {{workingDirectory}}/skip_cleanup_ssh_files ]]; then
echo "Skipping cleanup of ssh files"
else
echo "Cleaning up ssh files"
cleanup "${SSH_FILES[@]}"
USERS=$(ls /home/)
for user in $USERS; do
echo Deleting /home/"$user"/.ssh/authorized_keys;
sudo find /home/"$user"/.ssh/authorized_keys -type f -exec rm -f {} \;
done
for user in $USERS; do
if [[ -f /home/"$user"/.ssh/authorized_keys ]]; then
echo Failed to delete /home/"$user"/.ssh/authorized_keys;
exit 1
fi;
done;
fi;
# Clean up for instance log files
INSTANCE_LOG_FILES=(
"/var/log/audit/audit.log"
"/var/log/boot.log"
"/var/log/dmesg"
"/var/log/cron"
"/var/log/amazon/ec2/ec2-macos-init.log"
"/var/log/amazon/ec2/ena-ethernet.log"
"/var/log/amazon/ec2/system-monitoring.log"
)
if [[ -f {{workingDirectory}}/skip_cleanup_instance_log_files ]]; then
echo "Skipping cleanup of instance log files"
else
echo "Cleaning up instance log files"
cleanup "${INSTANCE_LOG_FILES[@]}"
fi;
# Clean up for TOE files
if [[ -f {{workingDirectory}}/skip_cleanup_toe_files ]]; then
echo "Skipping cleanup of TOE files"
else
echo "Cleaning TOE files"
if [[ $( sudo find {{workingDirectory}}/TOE_* -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within {{workingDirectory}}/TOE_*"
sudo find {{workingDirectory}}/TOE_* -type f -exec rm -f {} \;
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete {{workingDirectory}}/TOE_*"
exit 1
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type d | sudo wc -l) -gt 0 ]]; then
echo "Deleting {{workingDirectory}}/TOE_*"
sudo rm -rf {{workingDirectory}}/TOE_*
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type d | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete {{workingDirectory}}/TOE_*"
exit 1
fi
fi
# Clean up for ssm log files
if [[ -f {{workingDirectory}}/skip_cleanup_ssm_log_files ]]; then
echo "Skipping cleanup of ssm log files"
else
echo "Cleaning up ssm log files"
if [[ $( sudo find /var/log/amazon/ssm -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within /var/log/amazon/ssm/*"
sudo find /var/log/amazon/ssm -type f -exec rm -f {} \;
fi
if [[ $( sudo find /var/log/amazon/ssm -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete /var/log/amazon/ssm"
exit 1
fi
if [[ -d "/var/log/amazon/ssm" ]]; then
echo "Deleting /var/log/amazon/ssm/*"
sudo rm -rf /var/log/amazon/ssm
fi
if [[ -d "/var/log/amazon/ssm" ]]; then
echo "Failed to delete /var/log/amazon/ssm"
exit 1
fi
fi
if [[ $( sudo find /var/log/sa/sa* -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/log/sa/sa*"
sudo rm -f /var/log/sa/sa*
fi
if [[ $( sudo find /var/log/sa/sa* -type f | sudo wc -l ) -gt 0 ]]; then
echo "Failed to delete /var/log/sa/sa*"
exit 1
fi
if [[ $( sudo find /var/lib/dhclient/dhclient*.lease -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/lib/dhclient/dhclient*.lease"
sudo rm -f /var/lib/dhclient/dhclient*.lease
fi
if [[ $( sudo find /var/lib/dhclient/dhclient*.lease -type f | sudo wc -l ) -gt 0 ]]; then
echo "Failed to delete /var/lib/dhclient/dhclient*.lease"
exit 1
fi
if [[ $( sudo find /var/tmp -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within /var/tmp/*"
sudo find /var/tmp -type f -exec rm -f {} \;
fi
if [[ $( sudo find /var/tmp -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete /var/tmp"
exit 1
fi
if [[ $( sudo ls /var/tmp | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/tmp/*"
sudo rm -rf /var/tmp/*
fi
# Shredding is not guaranteed to work well on rolling logs
if [[ -f "/var/lib/rsyslog/imjournal.state" ]]; then
echo "Deleting /var/lib/rsyslog/imjournal.state"
sudo rm -f /var/lib/rsyslog/imjournal.state
sudo rm -f /var/lib/rsyslog/imjournal.state
fi
if [[ $( sudo ls /var/log/journal/ | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/log/journal/*"
sudo find /var/log/journal/ -type f -exec rm -f {} \;
sudo rm -rf /var/log/journal/*
fi
sudo touch /etc/machine-id
```
------
## Überschreiben Sie das Linux-Bereinigungsskript
Image Builder erstellt Bilder, die standardmäßig sicher sind und unseren bewährten Sicherheitsmethoden entsprechen. In einigen fortgeschritteneren Anwendungsfällen müssen Sie jedoch möglicherweise einen oder mehrere Abschnitte des integrierten Bereinigungsskripts überspringen. Wenn Sie einen Teil der Bereinigung überspringen müssen, empfehlen wir Ihnen dringend, Ihr Ausgabe-AMI zu testen, um die Sicherheit Ihres Images zu gewährleisten.
**Wichtig**
Das Überspringen von Abschnitten im Bereinigungsskript kann dazu führen, dass vertrauliche Informationen wie Kontodetails des Besitzers oder SSH-Schlüssel in das endgültige Image aufgenommen und in jedem Fall von diesem Image aus gestartet werden. Möglicherweise treten auch Probleme beim Starten in verschiedenen Availability Zones, Regionen oder Konten auf.
In der folgenden Tabelle werden die Abschnitte des Bereinigungsskripts, die Dateien, die in diesem Abschnitt gelöscht werden, und die Dateinamen beschrieben, mit denen Sie einen Abschnitt kennzeichnen können, den Image Builder überspringen soll. Um einen bestimmten Abschnitt des Bereinigungsskripts zu überspringen, können Sie das Aktionsmodul der [CreateFile](toe-action-modules.md#action-modules-createfile) Komponente oder einen Befehl in Ihren Benutzerdaten (falls überschrieben) verwenden, um eine leere Datei mit dem Namen zu erstellen, der in der Spalte **Dateiname des Übersprungsabschnitts** angegeben ist.
**Anmerkung**
Die Dateien, die Sie erstellen, um einen Abschnitt des Bereinigungsskripts zu überspringen, sollten keine Dateierweiterung enthalten. Wenn Sie beispielsweise den `CLOUD_INIT_FILES` Abschnitt des Skripts überspringen möchten, aber eine Datei mit dem Namen erstellen`skip_cleanup_cloudinit_files.txt`, erkennt Image Builder die übersprungene Datei nicht.
**Input**
| Abschnitt aufräumen | Dateien wurden entfernt | Dateiname des Abschnitts überspringen |
| --- | --- | --- |
| `CLOUD_INIT_FILES` | `/etc/sudoers.d/90-cloud-init-users` `/etc/locale.conf` `/var/log/cloud-init.log` `/var/log/cloud-init-output.log` | `skip_cleanup_cloudinit_files` |
| `INSTANCE_FILES` | `/etc/.updated` `/etc/aliases.db` `/etc/hostname` `/var/lib/misc/postfix.aliasesdb-stamp` `/var/lib/postfix/master.lock` `/var/spool/postfix/pid/master.pid` `/var/.updated` `/var/cache/yum/x86_64/2/.gpgkeyschecked.yum` | `skip_cleanup_instance_files` |
| `SSH_FILES` | `/etc/ssh/ssh_host_rsa_key` `/etc/ssh/ssh_host_rsa_key.pub` `/etc/ssh/ssh_host_ecdsa_key` `/etc/ssh/ssh_host_ecdsa_key.pub` `/etc/ssh/ssh_host_ed25519_key` `/etc/ssh/ssh_host_ed25519_key.pub` `/root/.ssh/authorized_keys` `/home//.ssh/authorized_keys;` | `skip_cleanup_ssh_files` |
| `INSTANCE_LOG_FILES` | `/var/log/audit/audit.log` `/var/log/boot.log` `/var/log/dmesg` `/var/log/cron` | `skip_cleanup_instance_log_files` |
| `TOE_FILES` | `{{workingDirectory}}/TOE_*` | `skip_cleanup_toe_files` |
| `SSM_LOG_FILES` | `/var/log/amazon/ssm/*` | `skip_cleanup_ssm_log_files` |