Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Image Builder Builder-Infrastrukturkonfiguration verwalten
Sie können Infrastrukturkonfigurationen verwenden, um die Amazon EC2 EC2-Infrastruktur anzugeben, die Image Builder zum Erstellen und Testen Ihres EC2 Image Builder Builder-Images verwendet. Zu den Infrastruktureinstellungen gehören:
+ Instanztypen für Ihre Build- und Testinfrastruktur. Es wird empfohlen, mehr als einen Instanztyp anzugeben, da Image Builder dadurch eine Instanz aus einem Pool mit ausreichender Kapazität starten kann. Dies kann Ihre vorübergehenden Build-Fehler reduzieren.
Für Mac-Images sollten Sie Instanztypen wählen, die das macOS-Betriebssystem nativ unterstützen. Weitere Informationen finden Sie unter [Amazon EC2 Mac-Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html) im *Amazon EC2 EC2-Benutzerhandbuch*.
+ Einstellungen für die Instance-Platzierung, in denen Sie den Host, die Host-Platzierungsgruppe oder die Availability Zone angeben können, in die die von Ihrem Image aus gestarteten Instances gehen sollen.
+ Ein Instance-Profil, das Ihren Build- und Test-Instances die Berechtigungen gewährt, die für die Durchführung von Anpassungsaktivitäten erforderlich sind. Wenn Sie beispielsweise über eine Komponente verfügen, die Ressourcen von Amazon S3 abruft, benötigt das Instance-Profil Berechtigungen für den Zugriff auf diese Dateien. Das Instanzprofil erfordert außerdem einen Mindestsatz an Berechtigungen, damit EC2 Image Builder erfolgreich mit der Instance kommunizieren kann. Weitere Informationen finden Sie unter [Richten Sie sich ein, um benutzerdefinierte Images mit Image Builder zu erstellen](set-up-ib-env.md).
+ Die VPC, das Subnetz und die Sicherheitsgruppen für die Build- und Test-Instances Ihrer Pipeline.
+ Der Amazon S3 S3-Speicherort, an dem Image Builder Anwendungsprotokolle von Ihrem Build und Ihren Tests speichert. Wenn Sie die Protokollierung konfigurieren, muss das in Ihrer Infrastrukturkonfiguration angegebene Instance-Profil über `s3:PutObject` Berechtigungen für den Ziel-Bucket (`arn:aws:s3:::BucketName/*`) verfügen.
+ Ein Amazon EC2 EC2-Schlüsselpaar, mit dem Sie sich bei Ihrer Instance anmelden können, um Fehler zu beheben, falls Ihr Build fehlschlägt und Sie `terminateInstanceOnFailure` auf `false` einstellen.
+ Ein SNS-Thema, bei dem Image Builder Ereignisbenachrichtigungen sendet. Weitere Informationen zur Integration von Image Builder in Amazon SNS finden Sie unter[Amazon SNS SNS-Integration in Image Builder](integ-sns.md).
**Anmerkung**
Wenn Ihr SNS-Thema verschlüsselt ist, muss sich der Schlüssel, der dieses Thema verschlüsselt, in dem Konto befinden, auf dem der Image Builder Builder-Dienst ausgeführt wird. Image Builder kann keine Benachrichtigungen an SNS-Themen senden, die mit Schlüsseln anderer Konten verschlüsselt sind.
Sie können Infrastrukturkonfigurationen mit der Image Builder Builder-Konsole, über die Image Builder Builder-API oder mit **imagebuilder** Befehlen in der erstellen und verwalten AWS CLI.
**Topics**
+ [Details zur Infrastrukturkonfiguration auflisten und anzeigen](infra-config-details.md)
+ [Erstellen einer Infrastrukturkonfiguration](create-infra-config.md)
+ [Aktualisieren Sie eine Infrastrukturkonfiguration](update-infra-config.md)
+ [Image Builder und VPC-Endpunkte mit AWS PrivateLink Schnittstelle](vpc-interface-endpoints.md)
**Tipp**
Wenn Sie über mehrere Ressourcen desselben Typs verfügen, hilft Ihnen das Tagging dabei, eine bestimmte Ressource anhand der Tags zu identifizieren, die Sie ihr zugewiesen haben. Weitere Informationen zum Taggen Ihrer Ressourcen mithilfe von Image Builder Builder-Befehlen finden Sie im AWS CLI[Markieren von Ressourcen](tag-resources.md) Abschnitt dieses Handbuchs.
# Details zur Infrastrukturkonfiguration auflisten und anzeigen
In diesem Abschnitt werden die verschiedenen Möglichkeiten beschrieben, wie Sie Informationen finden und Details zu Ihren EC2 Image Builder Builder-Infrastrukturkonfigurationen anzeigen können.
**Topics**
+ [Listet die Infrastrukturkonfigurationen aus dem AWS CLI](#cli-list-infrastructure-configurations)
+ [Details zur Infrastrukturkonfiguration erhalten Sie von AWS CLI](#cli-get-infrastructure-configuration-details)
## Listet die Infrastrukturkonfigurationen aus dem AWS CLI
Das folgende Beispiel zeigt, wie Sie mit dem **[list-infrastructure-configurations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/list-infrastructure-configurations.html)** Befehl in der alle Ihre Infrastrukturkonfigurationen auflisten können AWS CLI.
```
aws imagebuilder list-infrastructure-configurations
```
## Details zur Infrastrukturkonfiguration erhalten Sie von AWS CLI
Das folgende Beispiel zeigt, wie Sie den **[get-infrastructure-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/get-infrastructure-configuration.html)** Befehl in verwenden AWS CLI , um die Details einer Infrastrukturkonfiguration abzurufen, indem Sie ihren Amazon-Ressourcennamen (ARN) angeben.
```
aws imagebuilder get-infrastructure-configuration --infrastructure-configuration-arn arn:aws:imagebuilder:us-west-2:123456789012:infrastructure-configuration/my-example-infrastructure-configuration
```
# Erstellen einer Infrastrukturkonfiguration
In diesem Abschnitt wird beschrieben, wie Sie die Image Builder Builder-Konsole oder **imagebuilder** Befehle in der verwenden können, AWS CLI um eine Infrastrukturkonfiguration zu erstellen.
------
#### [ Console ]
Gehen Sie folgendermaßen vor, um eine Infrastrukturkonfigurationsressource von der Image Builder Builder-Konsole aus zu erstellen:
1. Öffnen Sie die EC2 Image Builder Builder-Konsole unter [https://console.aws.amazon.com/imagebuilder/](https://console.aws.amazon.com/imagebuilder/).
1. Wählen Sie im Navigationsbereich die Option **Infrastrukturkonfiguration** aus.
1. Wählen Sie **Infrastrukturkonfiguration erstellen** aus.
1. Geben Sie im Abschnitt **Allgemein** die folgenden erforderlichen Informationen ein:
+ Geben Sie den **Namen** Ihrer Infrastrukturkonfigurationsressource ein.
+ Wählen Sie eine **IAM-Rolle** aus, die Sie dem Instanzprofil für Komponentenberechtigungen für Ihre Build- und Test-Instances zuordnen möchten. Image Builder verwendet diese Berechtigungen, um Ihre Komponenten herunterzuladen und auszuführen, Protokolle hochzuladen und alle zusätzlichen Aktionen auszuführen CloudWatch, die in den Komponenten in Ihrem Rezept angegeben sind.
1. Im **AWS Infrastrukturfenster** können Sie die übrigen verfügbaren Infrastruktureinstellungen konfigurieren. Geben Sie die folgenden erforderlichen Informationen ein:
+ **Instanztyp** — Sie können einen oder mehrere Instanztypen angeben, die für diesen Build verwendet werden sollen. Der Service wählt je nach Verfügbarkeit einen dieser Instanztypen aus.
**Anmerkung**
Mac-Instanzen werden auf `.metal` Instanztypen auf einem Dedicated Host ausgeführt. Ihr Instanztyp muss einem der Typen entsprechen, die für den Host definiert sind, auf dem er ausgeführt wird. Weitere Informationen zu Mac-Instances und eine Liste der Instance-Typen, die das macOS-Betriebssystem nativ unterstützen, finden Sie unter [Amazon EC2 Mac-Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html) im *Amazon EC2 EC2-Benutzerhandbuch*.
+ **SNS-Thema (optional)** — Wählen Sie ein SNS-Thema aus, um Benachrichtigungen und Warnungen von EC2 Image Builder zu erhalten.
Wenn Sie keine Werte für die folgenden Einstellungen angeben, verwenden sie gegebenenfalls dienstspezifische Standardwerte.
+ **VPC, Subnetz und Sicherheitsgruppen** — Image Builder verwendet Ihre Standard-VPC und Ihr Standard-Subnetz. Weitere Informationen zur Konfiguration von VPC-Schnittstellenendpunkten finden Sie unter. [Image Builder und VPC-Endpunkte mit AWS PrivateLink Schnittstelle](vpc-interface-endpoints.md)
+ Im Abschnitt **Einstellungen zur Fehlerbehebung** können Sie die folgenden Werte konfigurieren:
+ Standardmäßig ist das Kontrollkästchen **Instanz bei Ausfall beenden** aktiviert. Wenn jedoch ein Build fehlschlägt, können Sie sich zur Fehlerbehebung bei der EC2-Instance anmelden. Wenn Sie möchten, dass Ihre Instance nach einem Build-Fehler weiter ausgeführt wird, deaktivieren Sie das Kontrollkästchen.
+ **key pair** — Wenn Ihre EC2-Instance nach einem Build-Fehler weiter läuft, können Sie ein key pair erstellen oder ein vorhandenes Schlüsselpaar verwenden, um sich bei der Instance anzumelden und Fehler zu beheben.
+ **Logs** — Sie können einen S3-Bucket angeben, in den Image Builder Anwendungsprotokolle schreiben kann, um Sie bei der Fehlerbehebung bei Ihrem Build und Ihren Tests zu unterstützen. Wenn Sie keinen S3-Bucket angeben, schreibt Image Builder die Anwendungsprotokolle in die Instanz.
+ Im Abschnitt **Einstellungen für Instanz-Metadaten** können Sie die folgenden Werte so konfigurieren, dass sie auf die EC2-Instances angewendet werden, die Image Builder zum Erstellen und Testen Ihres Images verwendet:
+ Wählen Sie die **Metadaten-Version** aus, um festzustellen, ob EC2 einen signierten Token-Header für Anfragen zum Abrufen von Instance-Metadaten benötigt.
+ **V1 und V2 (Token optional)** — Standardwert, wenn Sie nichts auswählen.
+ **V2 (Token erforderlich)**
**Anmerkung**
Es wird empfohlen, alle EC2-Instances, die Image Builder aus einem Pipeline-Build startet, IMDSv2 so zu konfigurieren, dass für Anfragen zum Abrufen von Instance-Metadaten ein signierter Token-Header erforderlich ist.
+ **Antwort-Hop-Limit für Metadatentokens** — Die Anzahl der Netzwerk-Hops, die das Metadatentoken zurücklegen kann. Minimale Hops: 1, maximale Anzahl Hops: 64, mit einem Standardwert von einem Hop.
+ Im Abschnitt **Einstellungen für die Instanzplatzierung** können Sie die folgenden Werte so konfigurieren, dass sie auf die EC2-Instances angewendet werden, die Image Builder zum Erstellen und Testen Ihres Images verwendet:
+ Sie können die **Availability Zone** auswählen, in der Image Builder Instanzen während der Image-Erstellung startet.
+ Wählen Sie optional **Tenancy** für die Server aus, auf denen die von Ihnen gestarteten Instances ausgeführt werden. EC2-Instances werden standardmäßig auf gemeinsam genutzter Tenancy-Hardware ausgeführt. Das bedeutet, dass AWS-Konten sich mehrere möglicherweise dieselbe physische Hardware teilen. Eine Instanz mit `dedicated` Tenancy wird auf Single-Tenant-Hardware ausgeführt. Eine Instanz mit `host` Tenancy läuft auf einem Dedicated Host.
Mac-Instanzen benötigen einen Dedicated Host, der als Voraussetzung erstellt wird, bevor Sie ein benutzerdefiniertes Image erstellen. Wählen Sie `host` für Ihr macOS-Image aus. Sie können dann einen Zielhost oder eine Host-Ressourcengruppe auswählen, um Instances zu starten. Dies ist jedoch nicht erforderlich, wenn Ihr Dedicated Host die automatische Platzierung aktiviert hat. Weitere Informationen finden Sie unter [Automatische Platzierung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-hosts-understanding.html#dedicated-hosts-auto-placement) im *Amazon EC2 EC2-Benutzerhandbuch*.
+ **Tenancy-Host-ID** — Die ID des Dedicated Hosts, auf dem die Instances ausgeführt werden.
+ **Tenancy-Host-Ressourcengruppe** — Der Amazon-Ressourcenname (ARN) der Host-Ressourcengruppe, in der die Instances gestartet werden sollen.
1. Im Abschnitt **Infrastruktur-Tags** (optional) können Sie der Amazon EC2 EC2-Instance, die Image Builder während des Build-Prozesses startet, Metadaten-Tags zuweisen. Tags werden als Schlüsselwertpaare eingegeben.
1. Im Abschnitt **Tags** (optional) können Sie der Infrastrukturkonfigurationsressource, die Image Builder als Ausgabe erstellt, Metadaten-Tags zuweisen. Tags werden als Schlüssel-Wert-Paare eingegeben.
------
#### [ AWS CLI ]
Das folgende Verfahren zeigt, wie Sie die Infrastruktur für Ihr Image mit dem Image Builder **[create-infrastructure-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/create-infrastructure-configuration.html)** Builder-Befehl in der konfigurieren AWS CLI. Der Befehl in Schritt 2 nimmt die Datei auf, die Sie in Schritt 1 erstellen. Für diese Beispiele wird die Datei aus Schritt 1 aufgerufen`create-infrastructure-configuration.json`.
1.
**Erstellen einer CLI-Eingabe-JSON-Datei**
Die folgenden Beispiele zeigen Varianten der JSON-Datei, die Sie möglicherweise für die Infrastrukturkonfiguration erstellen. Verwenden Sie ein Dateibearbeitungstool, um eine eigene JSON-Datei zu erstellen.
**Beispiel 1: Konfiguration zur Beibehaltung einer Instanz aus einem fehlgeschlagenen Build**
In diesem Beispiel werden zwei Instanztypen angegeben, `m5.large` und`m5.xlarge`. Es wird empfohlen, mehr als einen Instanztyp anzugeben, da Image Builder dadurch eine Instanz aus einem Pool mit ausreichender Kapazität starten kann. Dies kann Ihre vorübergehenden Build-Fehler reduzieren.
Das `instanceProfileName` gibt das Instanzprofil an, das der Instanz die Berechtigungen gewährt, die das Profil für die Durchführung von Anpassungsaktivitäten benötigt. Wenn Sie beispielsweise über eine Komponente verfügen, die Ressourcen von Amazon S3 abruft, benötigt das Instance-Profil Berechtigungen für den Zugriff auf diese Dateien. Das Instanzprofil erfordert außerdem einen Mindestsatz an Berechtigungen, damit EC2 Image Builder erfolgreich mit der Instance kommunizieren kann. Weitere Informationen finden Sie unter [Richten Sie sich ein, um benutzerdefinierte Images mit Image Builder zu erstellen](set-up-ib-env.md).
```
{
"name": "ExampleInfraConfigDontTerminate",
"description": "An example that will retain instances of failed builds",
"instanceTypes": [
"m5.large", "m5.xlarge"
],
"instanceProfileName": "myIAMInstanceProfileName",
"securityGroupIds": [
"sg-12345678"
],
"subnetId": "sub-12345678",
"logging": {
"s3Logs": {
"s3BucketName": "my-logging-bucket",
"s3KeyPrefix": "my-path"
}
},
"keyPair": "myKeyPairName",
"terminateInstanceOnFailure": false,
"snsTopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic"
}
```
**Beispiel 2: macOS-Konfiguration mit automatischer Platzierung**
In diesem Beispiel werden Instanztypen und Platzierung für eine Mac-Instanz angegeben, bei der für den Dedicated Host die automatische Platzierung aktiviert ist.
```
{
"name": "macOSInfraConfigAutoPlacement",
"description": "An example infrastructure configuration for macOS.",
"instanceProfileName": "EC2InstanceProfileForImageBuilder",
"instanceTypes": ["mac1.metal, mac2.metal"],
"terminateInstanceOnFailure": false,
"placement": {
"tenancy": "host"
}
}
```
**Beispiel 3: macOS-Konfiguration mit angegebener Host-ID**
In diesem Beispiel werden der Instanztyp und die Platzierung für eine Mac-Instanz angegeben, die auf einen bestimmten Dedicated Host abzielt.
```
{
"name": "macOSInfraConfigHostPlacement",
"description": "An example infrastructure configuration for macOS.",
"instanceProfileName": "EC2InstanceProfileForImageBuilder",
"instanceTypes": ["mac2-m1ultra.metal"],
"terminateInstanceOnFailure": false,
"placement": {
"tenancy": "host",
"hostId" : "h-1234567890abcdef0"
}
}
```
1.
**Verwenden Sie die Datei, die Sie erstellt haben, als Eingabe, wenn Sie den folgenden Befehl ausführen.**
```
aws imagebuilder create-infrastructure-configuration --cli-input-json file://create-infrastructure-configuration.json
```
------
# Aktualisieren Sie eine Infrastrukturkonfiguration
In diesem Abschnitt wird beschrieben, wie Sie die Image Builder Builder-Konsole oder **imagebuilder** Befehle in der Ressource AWS CLI zum Aktualisieren einer Infrastrukturkonfiguration verwenden können. Um Ihre Ressourcen nachzuverfolgen, können Sie Tags wie folgt anwenden. Tags werden als Schlüsselwertpaare eingegeben.
+ *Ressourcen-Tags* weisen der Amazon EC2 EC2-Instance, die Image Builder während des Build-Prozesses startet, Metadaten-Tags zu.
+ *Tags* weisen der Infrastrukturkonfigurationsressource, die Image Builder als Ausgabe erstellt, Metadaten-Tags zu.
------
#### [ Console ]
Sie können die folgenden Infrastrukturkonfigurationsdetails von der Image Builder Builder-Konsole aus bearbeiten:
+ Die **Beschreibung** für Ihre Infrastrukturkonfiguration.
+ Die **IAM-Rolle**, die dem Instanzprofil zugeordnet werden soll.
+ **AWS Infrastruktur**, einschließlich des **Instanztyps** und eines **SNS-Themas für Benachrichtigungen**.
+ **VPC, Subnetz und Sicherheitsgruppen**.
+ **Einstellungen zur Fehlerbehebung**, einschließlich **Instanz bei Ausfall beenden**, **Schlüsselpaar** für die Verbindung und optionaler S3-Bucket-Speicherort für Instanzprotokolle.
Gehen Sie folgendermaßen vor, um eine Infrastrukturkonfigurationsressource von der Image Builder Builder-Konsole aus zu aktualisieren:
**Wählen Sie eine bestehende Image Builder Builder-Infrastrukturkonfiguration**
1. Öffnen Sie die EC2 Image Builder Builder-Konsole unter [https://console.aws.amazon.com/imagebuilder/](https://console.aws.amazon.com/imagebuilder/).
1. Um eine Liste der Ressourcen für die Infrastrukturkonfiguration unter Ihrem Konto anzuzeigen, wählen Sie im Navigationsbereich die Option **Infrastrukturkonfiguration** aus.
1. Um Details anzuzeigen oder eine Infrastrukturkonfiguration zu bearbeiten, wählen Sie den Link „**Konfigurationsname**“. Dadurch wird die Detailansicht für die Infrastrukturkonfiguration geöffnet.
**Anmerkung**
Sie können auch das Kontrollkästchen neben dem **Namen der Konfiguration** aktivieren und dann **Detail anzeigen** auswählen.
1. Wählen Sie in der oberen rechten Ecke des **Bereichs Infrastrukturdetails** die Option **Bearbeiten** aus.
1. Wenn Sie bereit sind, die an Ihrer Infrastrukturkonfiguration vorgenommenen Aktualisierungen zu speichern, wählen Sie **Änderungen speichern**.
------
#### [ AWS CLI ]
Das folgende Beispiel zeigt, wie Sie die Infrastrukturkonfiguration für Ihr Image mit dem Image Builder **[update-infrastructure-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/update-infrastructure-configuration.html)** Builder-Befehl in der aktualisieren AWS CLI.
1.
**Erstellen einer CLI-Eingabe-JSON-Datei**
Dieses Beispiel für eine Infrastrukturkonfiguration verwendet dieselben Einstellungen wie das Create-Beispiel, mit der Ausnahme, dass wir die `terminateInstanceOnFailure` Einstellung auf aktualisiert haben`false`. Nachdem wir den **update-infrastructure-configuration** Befehl ausgeführt haben, beenden Pipelines, die diese Infrastrukturkonfiguration verwenden, die Build- und Testinstanzen, wenn der Build fehlschlägt.
Verwenden Sie ein Dateibearbeitungstool, um eine JSON-Datei mit den im folgenden Beispiel gezeigten Schlüsseln und Werten zu erstellen, die für Ihre Umgebung gültig sind. In diesem Beispiel wird eine Datei mit dem Namen`update-infrastructure-configuration.json`:
```
{
"infrastructureConfigurationArn": "arn:aws:imagebuilder:us-west-2:123456789012:infrastructure-configuration/my-example-infrastructure-configuration",
"description": "An example that will terminate instances of failed builds",
"instanceTypes": [
"m5.large", "m5.2xlarge"
],
"instanceProfileName": "myIAMInstanceProfileName",
"securityGroupIds": [
"sg-12345678"
],
"subnetId": "sub-12345678",
"logging": {
"s3Logs": {
"s3BucketName": "my-logging-bucket",
"s3KeyPrefix": "my-path"
}
},
"terminateInstanceOnFailure": true,
"snsTopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic"
}
```
1.
**Verwenden Sie die Datei, die Sie erstellt haben, als Eingabe, wenn Sie den folgenden Befehl ausführen.**
```
aws imagebuilder update-infrastructure-configuration --cli-input-json file://update-infrastructure-configuration.json
```
------
# Image Builder und VPC-Endpunkte mit AWS PrivateLink Schnittstelle
Sie können eine private Verbindung zwischen Ihrer VPC und EC2 Image Builder herstellen, indem Sie einen *VPC-Schnittstellen-Endpunkt* erstellen. Schnittstellenendpunkte werden mit einer Technologie betrieben [AWS PrivateLink](https://aws.amazon.com/privatelink/), mit der Sie privat auf Image Builder zugreifen können, APIs ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung erforderlich ist. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Image Builder APIs zu kommunizieren. Der Datenverkehr zwischen Ihrer VPC und Image Builder verlässt das Amazon-Netzwerk nicht.
Jeder Schnittstellenendpunkt wird durch eine oder mehrere [Elastic-Network-Schnittstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) in Ihren Subnetzen dargestellt. Wenn Sie ein neues Image erstellen, können Sie die VPC-Subnetz-ID in Ihrer Infrastrukturkonfiguration angeben.
**Anmerkung**
Jeder Service, auf den Sie innerhalb einer VPC zugreifen, hat seinen eigenen Schnittstellenendpunkt mit eigener Endpunktrichtlinie. Image Builder lädt die AWSTOE Component Manager-Anwendung herunter und greift auf verwaltete Ressourcen aus S3-Buckets zu, um benutzerdefinierte Images zu erstellen. Um Zugriff auf diese Buckets zu gewähren, müssen Sie die S3-Endpunktrichtlinie aktualisieren, um dies zuzulassen. Weitere Informationen finden Sie unter [Benutzerdefinierte Richtlinien für den S3-Bucket-Zugriff](#vpc-endpoint-policy-s3).
Weitere Informationen zu VPC-Endpunkten finden Sie unter [Schnittstellen-VPC-Endpunkte (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) im *Amazon VPC Benutzerhandbuch*.
## Überlegungen zu Image Builder Builder-VPC-Endpoints
Bevor Sie einen Schnittstellen-VPC-Endpunkt für Image Builder einrichten, sollten Sie die [Eigenschaften und Einschränkungen der Schnittstellen-Endpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations) im *Amazon VPC-Benutzerhandbuch* lesen.
Image Builder unterstützt Aufrufe aller API-Aktionen von Ihrer VPC aus.
## Erstellen Sie einen VPC-Schnittstellen-Endpunkt für Image Builder
Um einen VPC-Endpunkt für den Image Builder Builder-Service zu erstellen, können Sie entweder die Amazon VPC-Konsole oder die AWS Command Line Interface ()AWS CLI verwenden. Weitere Informationen finden Sie unter [Erstellung eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint) im *Benutzerhandbuch für Amazon VPC*.
Erstellen Sie einen VPC-Endpunkt für Image Builder mit dem folgenden Dienstnamen:
+ com.amazonaws. *region*.imagebuilder
Wenn Sie privates DNS für den Endpunkt aktivieren, können Sie API-Anfragen an Image Builder stellen, indem Sie dessen Standard-DNS-Namen für die Region verwenden, zum Beispiel:`imagebuilder.us-east-1.amazonaws.com`. Informationen zum Endpunkt, der für Ihre Zielregion gilt, finden Sie unter [EC2 Image Builder Builder-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/imagebuilder.html#imagebuilder_region) in der. *Allgemeine Amazon Web Services-Referenz*
Weitere Informationen finden Sie unter [Zugriff auf einen Service über einen Schnittstellenendpunkt](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#access-service-though-endpoint) im *Benutzerhandbuch für Amazon VPC*.
## Erstellen Sie eine VPC-Endpunktrichtlinie für Image Builder
Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Image Builder steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.
Wenn Sie in Ihrem Rezept von Amazon verwaltete Komponenten verwenden, muss der VPC-Endpunkt für Image Builder den Zugriff auf die folgende Komponentenbibliothek ermöglichen, die dem Service gehört:
`arn:aws:imagebuilder:region:aws:component/*`
**Wichtig**
Wenn eine nicht standardmäßige Richtlinie auf einen VPC-Schnittstellen-Endpunkt für EC2 Image Builder angewendet wird, werden bestimmte fehlgeschlagene API-Anfragen, z. B. solche, die von fehlschlagen`RequestLimitExceeded`, möglicherweise nicht bei Amazon protokolliert. AWS CloudTrail CloudWatch
Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *Amazon-VPC-Benutzerhandbuch*.
### Benutzerdefinierte Richtlinien für den S3-Bucket-Zugriff
Image Builder verwendet einen öffentlich verfügbaren S3-Bucket, um verwaltete Ressourcen wie Komponenten zu speichern und darauf zuzugreifen. Außerdem wird die AWSTOE Komponentenverwaltungsanwendung aus einem separaten S3-Bucket heruntergeladen. Wenn Sie in Ihrer Umgebung einen VPC-Endpunkt für Amazon S3 verwenden, müssen Sie sicherstellen, dass Ihre S3-VPC-Endpunktrichtlinie Image Builder den Zugriff auf die folgenden S3-Buckets ermöglicht. Die Bucket-Namen sind pro AWS Region (*region*) und Anwendungsumgebung () eindeutig. *environment* Image Builder und AWSTOE unterstützt die folgenden Anwendungsumgebungen: `prod``preprod`, und`beta`.
+ Der AWSTOE Component Manager-Bucket:
```
s3://ec2imagebuilder-toe-region-environment
```
**Beispiel:** s3://ec2 imagebuilder-toe-us-west -2-prod/\$1
+ Der Bucket für verwaltete Ressourcen in Image Builder:
```
s3://ec2imagebuilder-managed-resources-region-environment/components
```
**Beispiel:** s3://ec2 imagebuilder-managed-resources-us -west-2-prod/components/\$1
### Beispiele für VPC-Endpunktrichtlinien
Dieser Abschnitt enthält Beispiele für benutzerdefinierte VPC-Endpunktrichtlinien.
**Allgemeine VPC-Endpunktrichtlinie für Image Builder Builder-Aktionen**
Die folgende Beispiel-Endpunktrichtlinie für Image Builder verweigert die Erlaubnis, Image Builder Builder-Images und -Komponenten zu löschen. Die Beispielrichtlinie gewährt auch die Erlaubnis, alle anderen EC2 Image Builder Builder-Aktionen auszuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "imagebuilder:*",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "imagebuilder:DeleteImage",
"Effect": "Deny",
"Resource": "*"
},
{
"Action": "imagebuilder:DeleteComponent",
"Effect": "Deny",
"Resource": "*"
}
]
}
```
------
**Beschränken Sie den Zugriff nach Organisation, erlauben Sie den Zugriff auf verwaltete Komponenten**
Die folgende Beispiel-Endpunktrichtlinie zeigt, wie Sie den Zugriff auf Identitäten und Ressourcen einschränken, die zu Ihrer Organisation gehören, und wie Sie Zugriff auf die von Amazon verwalteten Image Builder Builder-Komponenten gewähren. Ersetzen Sie *region**principal-org-id*, und *resource-org-id* durch die Werte Ihrer Organisation.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "principal-org-id",
"aws:ResourceOrgID": "resource-org-id"
}
}
},
{
"Sid": "AllowAccessToEC2ImageBuilderComponents",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"imagebuilder:GetComponent"
],
"Resource": [
"arn:aws:imagebuilder:us-east-1:aws:component/*"
]
}
]
}
```
------
**VPC-Endpunktrichtlinie für Amazon S3 S3-Bucket-Zugriff**
Das folgende Beispiel für eine S3-Endpunktrichtlinie zeigt, wie Sie Zugriff auf die S3-Buckets gewähren, die Image Builder zum Erstellen benutzerdefinierter Images verwendet. Ersetzen Sie *region* und *environment* durch die Werte Ihrer Organisation. Fügen Sie der Richtlinie alle weiteren erforderlichen Berechtigungen hinzu, die Ihren Anwendungsanforderungen entsprechen.
**Anmerkung**
Wenn Sie bei Linux-Images keine Benutzerdaten in Ihrem Image-Rezept angeben, fügt Image Builder ein Skript zum Herunterladen und Installieren des Systems Manager Manager-Agenten auf den Build- und Testinstanzen für Ihr Image hinzu. Um den Agenten herunterzuladen, greift Image Builder auf den S3-Bucket für Ihre Build-Region zu.
Um sicherzustellen, dass Image Builder die Build- und Testinstanzen booten kann, fügen Sie Ihrer S3-Endpunktrichtlinie die folgende zusätzliche Ressource hinzu:
"`arn:aws:s3:::amazon-ssm-region/*`"
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowImageBuilderAccessToAppAndComponentBuckets",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::ec2imagebuilder-toe-region-environment/*",
"arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*"
]
}
]
}
```
------