Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Integration von Identity and Access Management für Image Builder
<a name="security-iam"></a>

**Topics**
+ [Zielgruppe](#security-iam-audience)
+ [Authentifizierung mit Identitäten](#security-iam-authentication)
+ [So funktioniert Image Builder mit IAM-Richtlinien und -Rollen](security_iam_service-with-iam.md)
+ [Datenperimeter für den S3-Bucket-Download-Zugriff in Image Builder verwalten](security-iam-data-perimeter.md)
+ [Identitätsbasierte Richtlinien von Image Builder](security-iam-identity-based-policies.md)
+ [IAM-Berechtigungen für benutzerdefinierte Workflows](#security-iam-custom-workflows)
+ [Ressourcenbasierte Richtlinien von Image Builder](#security-iam-resource-based-policies)
+ [AWS Verwaltete Richtlinien für EC2 Image Builder verwenden](security-iam-awsmanpol.md)
+ [Verwenden Sie mit dem IAM-Dienst verknüpfte Rollen für Image Builder](image-builder-service-linked-role.md)
+ [Behebung von IAM-Problemen in Image Builder](security_iam_troubleshoot.md)

## Zielgruppe
<a name="security-iam-audience"></a>

Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Behebung von IAM-Problemen in Image Builder](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Image Builder mit IAM-Richtlinien und -Rollen](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Identitätsbasierte Richtlinien von Image Builder](security_iam_service-with-iam.md#security_iam_id-based-policy-examples)).

## Authentifizierung mit Identitäten
<a name="security-iam-authentication"></a>

Ausführliche Informationen zur Authentifizierung von Personen und Prozessen in Ihrem AWS-Konto Bereich finden Sie unter [Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*. 

# So funktioniert Image Builder mit IAM-Richtlinien und -Rollen
<a name="security_iam_service-with-iam"></a>

Bevor Sie IAM verwenden, um den Zugriff auf Image Builder zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen mit Image Builder verwendet werden können.

Einen allgemeinen Überblick darüber, wie Image Builder und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).

## Identitätsbasierte Richtlinien für Image Builder
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Unterstützt Richtlinien auf Identitätsbasis:** Ja

Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.

### Beispiele für identitätsbasierte Richtlinien für Image Builder
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Beispiele für identitätsbasierte Image Builder Builder-Richtlinien finden Sie unter. [Identitätsbasierte Richtlinien von Image Builder](#security_iam_id-based-policy-examples)

## Ressourcenbasierte Richtlinien in Image Builder
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Unterstützt ressourcenbasierte Richtlinien:** Ja

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services

Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

## Richtlinienaktionen für Image Builder
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Unterstützt Richtlinienaktionen:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.



Eine Liste der Image Builder-Aktionen finden Sie unter [Von EC2 Image Builder definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions) in der *Service Authorization Reference.*

Richtlinienaktionen in Image Builder verwenden das folgende Präfix vor der Aktion:

```
imagebuilder
```

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:

```
"Action": [
	"imagebuilder:action1",
	"imagebuilder:action2"
	]
```





Beispiele für identitätsbasierte Image Builder Builder-Richtlinien finden Sie unter. [Identitätsbasierte Richtlinien von Image Builder](#security_iam_id-based-policy-examples)

## Richtlinienressourcen für Image Builder
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Unterstützt Richtlinienressourcen:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

```
"Resource": "*"
```

Eine Liste der Image Builder-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von EC2 Image Builder definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-resources-for-iam-policies) in der *Service Authorization Reference.* Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von EC2 Image Builder definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions).

Beispiele für identitätsbasierte Image Builder Builder-Richtlinien finden Sie unter. [Identitätsbasierte Richtlinien von Image Builder](#security_iam_id-based-policy-examples)

## Schlüssel für Richtlinienbedingungen für Image Builder
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.

Eine Liste der Image Builder-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-policy-keys) in der *Service Authorization Reference.* Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von EC2 Image Builder definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions).

Beispiele für identitätsbasierte Image Builder Builder-Richtlinien finden Sie unter. [Identitätsbasierte Richtlinien von Image Builder](#security_iam_id-based-policy-examples)

## ACLs im Image Builder
<a name="security_iam_service-with-iam-acls"></a>

**Unterstützt ACLs:** Nein 

Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.

## ABAC mit Image Builder
<a name="security_iam_service-with-iam-tags"></a>

**Unterstützt ABAC (Tags in Richtlinien):** Teilweise

Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, um Operationen zu ermöglichen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.

Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.

Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.

*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.

## Temporäre Anmeldeinformationen mit Image Builder verwenden
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Unterstützt temporäre Anmeldeinformationen:** Ja

Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.

## Serviceübergreifende Prinzipalberechtigungen für Image Builder
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Unterstützt Forward Access Sessions (FAS):** Ja

 Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anforderung, Anfragen an nachgelagerte Dienste AWS-Service zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Servicerollen für Image Builder
<a name="security_iam_service-with-iam-roles-service"></a>

**Unterstützt Servicerollen:** Ja

 Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*. 

**Warnung**  
Durch das Ändern der Berechtigungen für eine Servicerolle kann die Image Builder Builder-Funktionalität beeinträchtigt werden. Bearbeiten Sie Servicerollen nur, wenn Image Builder Sie dazu anleitet.

## Dienstbezogene Rollen für Image Builder
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Unterstützt serviceverknüpfte Rollen:** Ja

 Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten. 

Einzelheiten zur dienstverknüpften Image Builder Builder-Rolle finden Sie unter[Verwenden Sie mit dem IAM-Dienst verknüpfte Rollen für Image Builder](image-builder-service-linked-role.md).

## Identitätsbasierte Richtlinien von Image Builder
<a name="security_iam_id-based-policy-examples"></a>

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Image Builder unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu allen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EC2 Image Builder](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2imagebuilder.html) im *IAM-Benutzerhandbuch*.

### Aktionen
<a name="sec-iam-ib-id-based-policies-actions"></a>

Richtlinienaktionen in Image Builder verwenden das folgende Präfix vor der Aktion:`imagebuilder:`. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Image Builder definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:

```
"Action": [
	"imagebuilder:action1",
	"imagebuilder:action2"
]
```

Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `List` beginnen, einschließlich der folgenden Aktion:

```
"Action": "imagebuilder:List*"
```

Eine Liste der Image Builder Builder-Aktionen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) im *IAM-Benutzerhandbuch*.

### Verwalten des Zugriffs mit Richtlinien
<a name="security-iam-manage-access"></a>

*Ausführliche Informationen zur Verwaltung des Zugriffs AWS durch Erstellen von Richtlinien und deren Anhängen an IAM-Identitäten oder AWS Ressourcen finden Sie unter [Richtlinien und Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im IAM-Benutzerhandbuch.* 

Die IAM-Rolle, die Sie Ihrem Instanzprofil zuordnen, muss über Berechtigungen zum Ausführen der in Ihrem Image enthaltenen Build- und Testkomponenten verfügen. Die folgenden IAM-Rollenrichtlinien müssen der IAM-Rolle angehängt werden, die dem Instanzprofil zugeordnet ist:
+ EC2InstanceProfileForImageBuilder
+ EC2InstanceProfileForImageBuilderECRContainerBuilds
+ AmazonSSMManagedInstanceCore

### Ressourcen
<a name="sec-iam-ib-id-based-policies-resources"></a>

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

```
"Resource": "*"
```

Der ARN besteht aus mehreren Knoten, die helfen, die Ressource zu identifizieren und sicherzustellen, dass der Name eindeutig ist. Die letzten Knoten im Namen enthalten verschiedene Formatierungsvarianten für den Ressourcentyp, den Namen und die ID. Wenn Image Builder eine Ressource erstellt, verwendet es das folgende Format:

`arn:aws:imagebuilder:region:owner:resource-type/resource-name/version/build-version`

**Anmerkung**  
Die Build-Version ist nicht immer im Ressourcen-ARN enthalten. Einige API-Operationen, z. B., benötigen jedoch die Build-Version [GetComponent](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_GetComponent.html), um eine abzurufende Ressource eindeutig zu identifizieren.

Für die Ressourcen, die Image Builder in seinen Rezepten verwendet, z. B. das Basis-Image oder Komponenten, kann der Besitzerknoten einer der folgenden sein:
+ Die Kontonummer des Ressourcenbesitzers
+ Für von Amazon verwaltete Ressourcen: `aws`
+ Für AWS Marketplace Ressourcen: `aws-marketplace`

Das folgende Beispiel zeigt den ARN für eine verwaltete Komponente zur Installation des CloudWatch Amazon-Agenten unter Linux:

```
arn:aws:imagebuilder:us-east-1:aws:component/amazon-cloudwatch-agent-linux/1.0.1/1
```

Dieses Beispiel zeigt den ARN für eine fiktive verwaltete Komponente aus dem: AWS Marketplace

```
arn:aws:imagebuilder:us-east-1:aws-marketplace:component/example-linux-software-component/1.0.1
```

Weitere Hinweise zum Abrufen einer Liste von Komponenten, einschließlich der Verwendung eines Besitzfilters, finden Sie unter. [Image Builder Builder-Komponenten auflisten](component-details.md#list-components)

**Beispiel ARNs**  
Im Folgenden finden Sie einige Beispiele für Ressourcen ARNs , die Sie in einer IAM-Richtlinie angeben könnten:
+ Instance-ARN

  ```
  "Resource": "arn:aws:imagebuilder:us-east-1:111122223333:instance/i-1234567890abcdef0"
  ```
+ Beispiel mit einem Platzhalter (\$1) zur Angabe aller Instanzen für ein bestimmtes Konto

  ```
  "Resource": "arn:aws:imagebuilder:us-east-1:111122223333:instance/*"
  ```
+ Beispiel mit einem Platzhalter (\$1) zur Angabe aller Versionen eines verwalteten Image-Workflows

  ```
  "Resource": "arn:aws:imagebuilder:us-east-1:aws:workflow/build/build-image/*"
  ```
+ ARN für verwaltetes Bild

  ```
  "Resource": "arn:aws:imagebuilder:us-east-1:aws:image/amazon-linux-2-arm64/2024.12.17/1"
  ```
+ Beispiel mit einem Platzhalter (\$1) zur Angabe aller Versionen eines verwalteten Images

  ```
  "Resource": "arn:aws:imagebuilder:us-east-1:aws:image/amazon-linux-2-arm64/x.x.x"
  ```

Viele EC2 Image Builder API-Aktionen beinhalten mehrere Ressourcen. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas. 

```
"Resource": [
	  "resource1",
	  "resource2"
]
```

### Bedingungsschlüssel
<a name="sec-iam-ib-id-based-policies-conditionkeys"></a>

Image Builder stellt dienstspezifische Bedingungsschlüssel bereit und unterstützt die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*. Die folgenden dienstspezifischen Bedingungsschlüssel werden bereitgestellt.

#### Imagebuilder: CreatedResourceTagKeys
<a name="image-builder-security-createdresourcetagkeys"></a>

Funktioniert mit [Zeichenfolgenoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).

Verwenden Sie diesen Schlüssel, um den Zugriff nach dem Vorhandensein von Tagschlüsseln in der Anfrage zu filtern. Auf diese Weise können Sie die von Image Builder erstellten Ressourcen verwalten.

**Verfügbarkeit** — Dieser Schlüssel ist nur für `CreateInfrastrucutreConfiguration` und verfügbar `UpdateInfrastructureConfiguration` APIs.

#### imagebuilder:/CreatedResourceTag<key>
<a name="image-builder-security-createdresourcetag"></a>

Funktioniert mit [Zeichenfolgenoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).

Verwenden Sie diesen Schlüssel, um den Zugriff nach den Tag-Schlüssel-Wert-Paaren zu filtern, die mit der von Image Builder erstellten Ressource verknüpft sind. Auf diese Weise können Sie Image Builder Builder-Ressourcen über definierte Tags verwalten.

**Verfügbarkeit** — Dieser Schlüssel ist nur für `CreateInfrastrucutreConfiguration` und verfügbar `UpdateInfrastructureConfiguration` APIs.

#### Imagebuilder: LifecyclePolicyResourceType
<a name="image-builder-security-lifecyclepolicyresourcetype"></a>

Funktioniert mit [Zeichenfolgenoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).

Verwenden Sie diesen Schlüssel, um den Zugriff nach dem in der Anfrage angegebenen Lifecycle-Ressourcentyp zu filtern.

Der Wert für diesen Schlüssel kann entweder `AMI_IMAGE` oder sein`CONTAINER_IMAGE`.

**Verfügbarkeit** — Dieser Schlüssel ist nur für `CreateLifecyclePolicy` und verfügbar `UpdateLifecyclePolicy`APIs.

#### ImageBuilder: EC2 MetadataHttpTokens
<a name="image-builder-security-ec2metadatatokens"></a>

Funktioniert mit [Zeichenfolgenoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).

Verwenden Sie diesen Schlüssel, um den Zugriff nach der in der Anfrage angegebenen HTTP-Token-Anforderung für EC2-Instance-Metadaten zu filtern.

Dieser Wert für diesen Schlüssel kann entweder `optional` oder `required` sein.

**Verfügbarkeit** — Dieser Schlüssel ist nur für `CreateInfrastrucutreConfiguration` und verfügbar `UpdateInfrastructureConfiguration` APIs.

#### Imagebuilder: StatusTopicArn
<a name="image-builder-security-statustopicarn"></a>

Funktioniert mit [Zeichenfolgenoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).

Verwenden Sie diesen Schlüssel, um den Zugriff nach dem SNS-Themen-ARN in der Anfrage zu filtern, für die Terminalstatusbenachrichtigungen veröffentlicht werden.

**Verfügbarkeit** — Dieser Schlüssel ist nur für `CreateInfrastrucutreConfiguration` und `UpdateInfrastructureConfiguration` APIs verfügbar.

### Beispiele
<a name="sec-iam-ib-id-based-policies-examples"></a>



Beispiele für identitätsbasierte Image Builder Builder-Richtlinien finden Sie unter. [Identitätsbasierte Richtlinien von Image Builder](security-iam-identity-based-policies.md)

## Ressourcenbasierte Richtlinien von Image Builder
<a name="security-iam-service-with-ib-resource-based-policies"></a>

Ressourcenbasierte Richtlinien geben an, welche Aktionen ein bestimmter Prinzipal auf der Image Builder Builder-Ressource ausführen kann und unter welchen Bedingungen. Image Builder unterstützt ressourcenbasierte Berechtigungsrichtlinien für Komponenten, Bilder und Image-Rezepte. Ressourcenbasierte Richtlinien ermöglichen die Erteilung von Nutzungsberechtigungen für andere -Konten pro Ressource. Sie können auch eine ressourcenbasierte Richtlinie verwenden, um einem AWS Dienst den Zugriff auf Ihre Komponenten, Bilder und Image-Rezepte zu ermöglichen.

Informationen zum Anhängen einer ressourcenbasierten Richtlinie an eine Komponente, ein Bild oder ein Image-Rezept finden Sie unter. [Teilen Sie Image Builder Builder-Ressourcen mit AWS RAM](manage-shared-resources.md)

**Anmerkung**  
Wenn Sie eine Ressourcenrichtlinie mit Image Builder aktualisieren, wird das Update in der RAM-Konsole angezeigt.

## Autorisierung basierend auf Image Builder Builder-Tags
<a name="security-iam-service-with-ib-tags"></a>

Sie können Tags an Image Builder-Ressourcen anhängen oder Tags in einer Anfrage an Image Builder übergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `imagebuilder:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden. Weitere Informationen zum Taggen von Image Builder Builder-Ressourcen finden Sie unter[Kennzeichnen Sie eine Ressource aus dem AWS CLI](tag-resources.md#cli-tag-resource).

## Image Builder IAM-Rollen
<a name="security-iam-service-with-ib-roles"></a>

Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität innerhalb von Ihnen AWS-Konto , die über bestimmte Berechtigungen verfügt.

### Temporäre Anmeldeinformationen mit Image Builder verwenden
<a name="security-iam-service-with-ib-roles-tempcreds"></a>

Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html). 

### Service-verknüpfte Rollen
<a name="sec-iam-ib-service-linked-roles"></a>

[Mit Diensten verknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) ermöglichen AWS-Services den Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein Benutzer mit Administratorzugriff kann die Berechtigungen für dienstbezogene Rollen einsehen, aber nicht bearbeiten.

Image Builder unterstützt dienstverknüpfte Rollen. Informationen zum Erstellen oder Verwalten von dienstverknüpften Image Builder Builder-Rollen finden Sie unter[Verwenden Sie mit dem IAM-Dienst verknüpfte Rollen für Image Builder](image-builder-service-linked-role.md).

### Servicerollen
<a name="sec-iam-ib-service-roles"></a>

Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Das bedeutet, dass ein Benutzer mit Administratorzugriff die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.

# Datenperimeter für den S3-Bucket-Download-Zugriff in Image Builder verwalten
<a name="security-iam-data-perimeter"></a>

EC2 Image Builder verwaltet zwei Klassen von AWS diensteigenen S3-Buckets, die herunterladbare Ressourcen enthalten, die für die Ausführung von Image Builder Builder-Workloads in Ihrem Konto erforderlich sind. Wenn Sie Datenperimeter verwenden, um den Zugriff auf Amazon S3 in Ihrer Umgebung zu kontrollieren, müssen Sie möglicherweise den Zugriff auf diese Buckets explizit zulassen. Sie können den Bucket-ARN oder die Bucket-URL verwenden, um diese Buckets auf eine Zulassungsliste zu setzen, je nachdem, wie Sie den Zugriff auf Amazon S3 kontrollieren.

**Bootstrapping-Skripts für die Komponentenverwaltung (erforderlich)**  
Dieser S3-Bucket enthält Bootstrapping-Skripts zum Einrichten der AWSTOE Anwendung auf den EC2-Instances, die zum Erstellen von Images verwendet werden. Image Builder benötigt Zugriff zum Herunterladen der Skripts, um das Erstellen und Testen neuer Images zu unterstützen.  
+ **S3-Bucket ARN:** `arn:<AWS partition>:s3:::ec2imagebuilder-managed-resources-<AWS Region>-prod`
+ **URL des S3-Buckets:** `https://ec2imagebuilder-managed-resources-<AWS Region>.s3.<AWS Region>.<AWS partition-specific domain name>`

**Verwaltete Komponenten**  
Dieser S3-Bucket enthält Paketnutzlasten für von Amazon verwaltete Komponenten. Image Builder benötigt Zugriff zum Herunterladen aller verwalteten Komponenten, die in Ihren Rezepten konfiguriert sind.  
+ **S3-Bucket ARN:** `arn:<AWS partition>:s3:::ec2imagebuilder-toe-<AWS Region>-prod`
+ **URL des S3-Buckets:** `https://ec2imagebuilder-toe-<AWS Region>.s3.<AWS Region>.<AWS partition-specific domain name>`

# Identitätsbasierte Richtlinien von Image Builder
<a name="security-iam-identity-based-policies"></a>

**Topics**
+ [Bewährte Methoden für identitätsbasierte Richtlinien](#security-iam-service-policy-best-practices)
+ [Verwenden der Image Builder Builder-Konsole](#sec-iam-id-based-policies-using-console)

## Bewährte Methoden für identitätsbasierte Richtlinien
<a name="security-iam-service-policy-best-practices"></a>

Identitätsbasierte Richtlinien legen fest, ob jemand Image Builder Builder-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

## Verwenden der Image Builder Builder-Konsole
<a name="sec-iam-id-based-policies-using-console"></a>

Um auf die EC2 Image Builder Builder-Konsole zugreifen zu können, benötigen Sie einen Mindestsatz an Berechtigungen. Mit diesen Berechtigungen können Sie Details zu den Image Builder Builder-Ressourcen in Ihrem auflisten und anzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie.

Um sicherzustellen, dass Ihre IAM-Entitäten die Image Builder Builder-Konsole verwenden können, müssen Sie ihnen eine der folgenden AWS verwalteten Richtlinien zuordnen:
+ [AWSImageBuilderReadOnlyAccess-Richtlinie](security-iam-awsmanpol.md#sec-iam-manpol-AWSImageBuilderReadOnlyAccess)
+ [AWSImageBuilderFullAccess-Richtlinie](security-iam-awsmanpol.md#sec-iam-manpol-AWSImageBuilderFullAccess)

Weitere Informationen zu verwalteten Richtlinien von Image Builder finden Sie unter[AWS Verwaltete Richtlinien für EC2 Image Builder verwenden](security-iam-awsmanpol.md).

**Wichtig**  
Die **AWSImageBuilderFullAccess**Richtlinie ist erforderlich, um die mit dem Service verknüpfte Image Builder Builder-Rolle zu erstellen. Wenn Sie diese Richtlinie an eine IAM-Entität anhängen, müssen Sie auch die folgende benutzerdefinierte Richtlinie anhängen und die Ressourcen angeben, die Sie verwenden möchten und die nicht `imagebuilder` im Ressourcennamen enthalten sind:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": "arn:aws:sns:*:*:*imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetInstanceProfile"
            ],
            "Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::*:instance-profile/*imagebuilder*",
                "arn:aws:iam::*:role/*imagebuilder*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ec2.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3::*:*imagebuilder*"
        }
    ]
}
```

------

Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die Sie ausführen möchten.

## IAM-Berechtigungen für benutzerdefinierte Workflows
<a name="security-iam-custom-workflows"></a>

Wenn Sie benutzerdefinierte Workflows mit bestimmten Schrittaktionen verwenden[RegisterImage](wfdoc-step-actions.md#wfdoc-step-action-register-image), wie z. B., können zusätzliche IAM-Berechtigungen erforderlich sein, die über die standardmäßigen verwalteten Richtlinien von Image Builder hinausgehen. In diesem Abschnitt werden die zusätzlichen Berechtigungen beschrieben, die für benutzerdefinierte Workflow-Schrittaktionen erforderlich sind.

### RegisterImage Berechtigungen für Schrittaktionen
<a name="security-iam-registerimage-permissions"></a>

Für die `RegisterImage` Schrittaktion sind spezielle Amazon EC2 EC2-Berechtigungen erforderlich, um Snapshot-Tags zu registrieren AMIs und optional abzurufen. Bei Verwendung des `includeSnapshotTags` Parameters sind zusätzliche Berechtigungen zur Beschreibung von Snapshots erforderlich.

**Erforderliche Berechtigungen für die RegisterImage Schrittaktion:**

Erlauben Sie für alle Ressourcen die folgenden Aktionen:
+ `ec2:RegisterImage`
+ `ec2:DescribeSnapshots`

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:RegisterImage",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "RegisterImage"
                }
            }
        }
    ]
}
```

**Einzelheiten zur Genehmigung:**
+ `ec2:RegisterImage`- Erforderlich, um neue Daten AMIs aus Snapshots zu registrieren
+ `ec2:DescribeSnapshots`- Erforderlich, wenn Snapshot-Tags `includeSnapshotTags: true` zum Zusammenführen mit AMI-Tags abgerufen werden sollen
+ `ec2:CreateTags`- Erforderlich, um Tags auf das registrierte AMI anzuwenden, einschließlich Image Builder Builder-Standard-Tags und zusammengeführter Snapshot-Tags

**Anmerkung**  
Die `ec2:DescribeSnapshots` Berechtigung wird nur verwendet, wenn der `includeSnapshotTags` Parameter auf gesetzt ist`true`. Wenn Sie diese Funktion nicht verwenden, können Sie diese Berechtigung weglassen.

**Verhalten beim Zusammenführen von Tags:**

Wenn diese Option aktiviert `includeSnapshotTags` ist, wird die RegisterImage Schrittaktion:
+ Ruft Tags aus dem ersten Snapshot ab, der in der Blockgeräte-Zuordnung angegeben wurde
+ Schließt alle AWS reservierten Tags aus (solche, deren Schlüssel mit „aws:“ beginnen)
+ Snapshot-Tags mit den Standard-AMI-Registrierungs-Tags von Image Builder zusammenführen
+ Geben Sie Image Builder Builder-Tags Vorrang, wenn Tagschlüssel miteinander kollidieren

## Ressourcenbasierte Richtlinien von Image Builder
<a name="security-iam-resource-based-policies"></a>

Informationen zum Erstellen einer Komponente finden Sie unter. [Verwenden Sie Komponenten, um Ihr Image Builder Builder-Image anzupassen](manage-components.md)

### Beschränken des Zugriffs auf Image Builder Builder-Komponenten auf bestimmte IP-Adressen
<a name="sec-iam-resourcepol-restrict-component-by-ip"></a>

Im folgenden Beispiel wird jedem Benutzer die Berechtigung erteilt, alle Image Builder Builder-Operationen an Komponenten auszuführen. Die Anfrage muss jedoch aus dem in der Bedingung angegebenen IP-Adressbereich stammen.

Die Bedingung in dieser Anweisung identifiziert den Bereich 54.240.143.\$1 der zulässigen IP-Adressen der Internetprotokoll-Version 4 (IPv4), mit einer Ausnahme: 54.240.143.188.

Der `Condition` Block verwendet die `NotIpAddress` Bedingungen `IpAddress` und und den Bedingungsschlüssel, bei dem es sich um einen -weiten Bedingungsschlüssel handelt`aws:SourceIp`. AWS Weitere Informationen zu diesen Bedingungsschlüsseln finden Sie unter [Bedingungen in einer Richtlinie angeben](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html). Die `aws:sourceIp` IPv4 Werte verwenden die Standard-CIDR-Notation. Weitere Informationen finden Sie unter [IP-Adressen-Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) im *IAM-Benutzerhandbuch*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id": "IBPolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Action": "imagebuilder:GetComponent",
      "Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}
```

------

# AWS Verwaltete Richtlinien für EC2 Image Builder verwenden
<a name="security-iam-awsmanpol"></a>

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

## AWSImageBuilderFullAccess-Richtlinie
<a name="sec-iam-manpol-AWSImageBuilderFullAccess"></a>

Die **AWSImageBuilderFullAccess**Richtlinie gewährt vollen Zugriff auf Image Builder Builder-Ressourcen für die Rolle, der sie zugeordnet ist, sodass die Rolle Image Builder Builder-Ressourcen auflisten, beschreiben, erstellen, aktualisieren und löschen kann. Die Richtlinie gewährt außerdem gezielte Berechtigungen für verwandte Benutzer, AWS-Services die beispielsweise zur Überprüfung von Ressourcen oder zur Anzeige der aktuellen Ressourcen für das Konto in der erforderlich sind AWS-Managementkonsole.

### Details zu Berechtigungen
<a name="sec-iam-manpol-AWSImageBuilderFullAccess-details"></a>

Diese Richtlinie umfasst die folgenden Berechtigungen:
+ **Image Builder** — Administratorzugriff wird gewährt, sodass die Rolle Image Builder Builder-Ressourcen auflisten, beschreiben, erstellen, aktualisieren und löschen kann.
+ **Amazon EC2** — Zugriff wird für Amazon EC2 gewährt. Beschreiben Sie Aktionen, die erforderlich sind, um das Vorhandensein von Ressourcen zu überprüfen oder Listen der Ressourcen abzurufen, die zu dem Konto gehören.
+ **IAM** — Zugriff wird gewährt, um Instanzprofile abzurufen und zu verwenden, deren Name „imagebuilder“ enthält, um das Vorhandensein der mit dem Service verknüpften Image Builder Builder-Rolle über die `iam:GetRole` API-Aktion zu überprüfen und um die mit dem Service verknüpfte Image Builder Builder-Rolle zu erstellen.
+ **License Manager** — Zugriff wird gewährt, um Lizenzkonfigurationen oder Lizenzen für eine Ressource aufzulisten.
+ **Amazon S3** — Zugriff wird auf Listen-Buckets gewährt, die zum Konto gehören, sowie auf Image Builder Builder-Buckets, deren Namen „imagebuilder“ enthalten. 
+ **Amazon SNS** — Amazon SNS werden Schreibberechtigungen erteilt, um die Inhaberschaft von Themen zu überprüfen, die „Imagebuilder“ enthalten.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

## AWSImageBuilderReadOnlyAccess-Richtlinie
<a name="sec-iam-manpol-AWSImageBuilderReadOnlyAccess"></a>

Die **AWSImageBuilderReadOnlyAccess**Richtlinie bietet schreibgeschützten Zugriff auf alle Image Builder Builder-Ressourcen. Über die `iam:GetRole` API-Aktion werden Berechtigungen erteilt, um zu überprüfen, ob die mit dem Image Builder Builder-Dienst verknüpfte Rolle vorhanden ist.

### Details zu Berechtigungen
<a name="sec-iam-manpol-AWSImageBuilderReadOnlyAccess-details"></a>

Diese Richtlinie umfasst die folgenden Berechtigungen:
+ **Image Builder — Der** Zugriff wird für den schreibgeschützten Zugriff auf Image Builder Builder-Ressourcen gewährt.
+ **IAM** — Zugriff wird gewährt, um das Vorhandensein der mit dem Service verknüpften Image Builder Builder-Rolle über die `iam:GetRole` API-Aktion zu überprüfen.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

## AWSServiceRoleForImageBuilder-Richtlinie
<a name="sec-iam-manpol-AWSServiceRoleForImageBuilder"></a>

Die **AWSServiceRoleForImageBuilder**Richtlinie ermöglicht es Image Builder, in AWS-Services Ihrem Namen anzurufen.

### Details zu Berechtigungen
<a name="sec-iam-manpol-AWSServiceRoleForImageBuilder-details"></a>

Diese Richtlinie wird der mit dem Dienst verknüpften Image Builder Builder-Rolle zugewiesen, wenn die Rolle über Systems Manager erstellt wird. Weitere Informationen zur dienstverknüpften Image Builder Builder-Rolle finden Sie unter[Verwenden Sie mit dem IAM-Dienst verknüpfte Rollen für Image Builder](image-builder-service-linked-role.md).

Die Richtlinie umfasst folgende Berechtigungen:
+ **CloudWatch Protokolle** — Der Zugriff ist berechtigt, CloudWatch Protokolle zu erstellen und in jede Protokollgruppe hochzuladen, deren Name mit `/aws/imagebuilder/` beginnt.
+ **Amazon EC2** — Image Builder erhält Zugriff, um von ihm erstellte Images (AMIs) zu erstellen, Schnappschüsse davon zu erstellen und zu registrieren und EC2-Instances in Ihrem Konto zu starten. Image Builder verwendet nach Bedarf zugehörige Snapshots, Volumes, Netzwerkschnittstellen, Subnetze, Sicherheitsgruppen, Lizenzkonfigurationen und Schlüsselpaare, sofern das Image, die Instanz und die Volumes, die erstellt oder verwendet werden, mit `CreatedBy: EC2 Image Builder` oder gekennzeichnet sind. `CreatedBy: EC2 Fast Launch`

  Image Builder kann Informationen über Amazon EC2 EC2-Images, Instance-Attribute, Instance-Status, die für Ihr Konto verfügbaren Instance-Typen, Startvorlagen, Subnetze, Hosts und Tags auf Ihren Amazon EC2 EC2-Ressourcen abrufen.

  Image Builder kann die Bildeinstellungen aktualisieren, um das schnellere Starten von Windows-Instanzen in Ihrem Konto zu aktivieren oder zu deaktivieren, mit denen das Bild gekennzeichnet ist`CreatedBy: EC2 Image Builder`.

  Darüber hinaus kann Image Builder Instances, die in Ihrem Konto ausgeführt werden, starten, stoppen und beenden, Amazon EBS-Snapshots teilen, Images erstellen und aktualisieren und Vorlagen starten, bestehende Images deregistrieren, Tags hinzufügen und Images zwischen Konten replizieren, für die Sie über die Richtlinie Berechtigungen erteilt haben. **Ec2ImageBuilderCrossAccountDistributionAccess** Image Builder Builder-Tagging ist für all diese Aktionen erforderlich, wie zuvor beschrieben.
+ **Amazon ECR** — Image Builder erhält Zugriff, um bei Bedarf ein Repository für Container-Image-Schwachstellenscans zu erstellen und die erstellten Ressourcen zu taggen, um den Umfang seiner Operationen einzuschränken. Image Builder erhält außerdem Zugriff auf das Löschen der Container-Images, die es für die Scans erstellt hat, nachdem es Schnappschüsse der Sicherheitsanfälligkeiten erstellt hat.
+ **EventBridge**— Image Builder erhält Zugriff zum Erstellen und Verwalten von EventBridge Regeln.
+ **IAM** — Image Builder erhält Zugriff, um jede Rolle in Ihrem Konto an Amazon EC2 und VM Import/Export weiterzugeben.
+ **Amazon Inspector** — Image Builder erhält Zugriff, um festzustellen, wann Amazon Inspector Build-Instance-Scans abschließt, und um Ergebnisse für Images zu sammeln, die so konfiguriert sind, dass dies zulässig ist.
+ **AWS KMS**— Amazon EBS wird Zugriff gewährt, um Amazon EBS-Volumes zu verschlüsseln, zu entschlüsseln oder erneut zu verschlüsseln. Dies ist wichtig, um sicherzustellen, dass verschlüsselte Volumes funktionieren, wenn Image Builder ein Image erstellt.
+ **License Manager** — Image Builder erhält Zugriff, um die License Manager Manager-Spezifikationen über zu aktualisieren`license-manager:UpdateLicenseSpecificationsForResource`.
+ **Amazon SNS** — Schreibberechtigungen werden für jedes Amazon SNS SNS-Thema in Ihrem Konto gewährt.
+ **Systems Manager** — Image Builder erhält Zugriff, um Systems Manager Manager-Befehle und deren Aufrufe sowie Inventareinträge aufzulisten, Instanzinformationen und den Status der Automatisierungsausführung zu beschreiben, Hosts zur Unterstützung der Instanzplatzierung zu beschreiben und Details zum Befehlsaufruf abzurufen. Image Builder kann auch Automatisierungssignale senden und Automatisierungsausführungen für jede Ressource in Ihrem Konto beenden.

  Image Builder kann Ausführungsbefehle für jede Instanz ausgeben, die `"CreatedBy": "EC2 Image Builder"` für die folgenden Skriptdateien gekennzeichnet ist:`AWS-RunPowerShellScript`,`AWS-RunShellScript`, oder. `AWSEC2-RunSysprep` Image Builder kann in Ihrem Konto eine Systems Manager Manager-Automatisierungsausführung für Automatisierungsdokumente starten, bei denen der Name mit beginnt`ImageBuilder`.

  Image Builder ist auch in der Lage, State Manager-Zuordnungen für jede Instanz in Ihrem Konto zu erstellen oder zu löschen, sofern das Zuordnungsdokument vorhanden ist`AWS-GatherSoftwareInventory`, und die mit dem Service verknüpfte Systems Manager Manager-Rolle in Ihrem Konto zu erstellen.

  Image Builder ist in der Lage, öffentliche Parameter des Parameterspeichers zu lesen und private Parameter mit dem Präfix zu lesen und zu aktualisieren, `/imagebuilder/` sodass der Parameterwert mit dem Ausgabe-AMI aktualisiert werden kann IDs , das Image Builder aus einem neuen Build erstellt.
+ **AWS STS**— Image Builder hat Zugriff darauf, **EC2ImageBuilderDistributionCrossAccountRole**von Ihrem Konto benannte Rollen auf jedes Konto zu übertragen, sofern die Vertrauensrichtlinie für die Rolle dies zulässt. Dies wird für die kontoübergreifende Verteilung von Images verwendet.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

## Ec2ImageBuilderCrossAccountDistributionAccess-Richtlinie
<a name="sec-iam-manpol-Ec2ImageBuilderCrossAccountDistributionAccess"></a>

Die **Ec2ImageBuilderCrossAccountDistributionAccess**Richtlinie gewährt Image Builder die Erlaubnis, Bilder auf Konten in Zielregionen zu verteilen. Darüber hinaus kann Image Builder jedes Amazon EC2 EC2-Image im Konto beschreiben, kopieren und Tags darauf anwenden. Die Richtlinie gewährt auch die Möglichkeit, AMI-Berechtigungen über die `ec2:ModifyImageAttribute` API-Aktion zu ändern.

### Details zu Berechtigungen
<a name="sec-iam-manpol-Ec2ImageBuilderCrossAccountDistributionAccess-details"></a>

Diese Richtlinie umfasst die folgenden Berechtigungen:
+ **Amazon EC2** — Amazon EC2 erhält Zugriff, um Attribute für ein Bild zu beschreiben, zu kopieren und zu ändern und Tags für alle Amazon EC2 EC2-Images im Konto zu erstellen.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

## EC2ImageBuilderLifecycleExecutionPolicy-Richtlinie
<a name="sec-iam-manpol-EC2ImageBuilderLifecycleExecutionPolicy"></a>

Die **EC2ImageBuilderLifecycleExecutionPolicy**Richtlinie gewährt Image Builder Berechtigungen zum Ausführen von Aktionen wie Verwerfen, Deaktivieren oder Löschen von Image Builder Builder-Image-Ressourcen und den ihnen zugrunde liegenden Ressourcen (AMIs, Snapshots), um automatisierte Regeln für Image-Lebenszyklusverwaltungsaufgaben zu unterstützen.

### Details zu Berechtigungen
<a name="sec-iam-manpol-EC2ImageBuilderLifecycleExecutionPolicy-details"></a>

Diese Richtlinie umfasst die folgenden Berechtigungen:
+ **Amazon EC2** — Amazon EC2 wird Zugriff gewährt, um die folgenden Aktionen für Amazon Machine Images (AMIs) in dem Konto auszuführen, das mit gekennzeichnet ist. `CreatedBy: EC2 Image Builder`
  + Aktiviert und deaktiviert ein AMI.
  + Aktiviert und deaktiviert die Image-Veralterung.
  + Beschreiben Sie ein AMI und melden Sie es ab.
  + Beschreiben und ändern Sie AMI-Image-Attribute.
  + Löschen Sie Volume-Snapshots, die dem AMI zugeordnet sind.
  + Ruft Tags für eine Ressource ab.
  + Hinzufügen oder Entfernen veralteter Tags aus einem AMI.
+ **Amazon ECR** — Amazon ECR wird Zugriff gewährt, um die folgenden Batch-Aktionen an ECR-Repositorys mit dem Tag durchzuführen. `LifecycleExecutionAccess: EC2 Image Builder` Batch-Aktionen unterstützen automatisierte Lebenszyklusregeln für Container-Images.
  + `ecr:BatchGetImage`
  + `ecr:BatchDeleteImage`

  Der Zugriff auf Repository-Ebene für ECR-Repositorys, die mit gekennzeichnet sind, wird auf Repository-Ebene gewährt. `LifecycleExecutionAccess: EC2 Image Builder`
+ **AWS Ressourcengruppen** — Image Builder erhält Zugriff, um Ressourcen auf der Grundlage von Tags abzurufen.
+ **EC2 Image Builder** — Image Builder erhält Zugriff zum Löschen von Image Builder-Image-Ressourcen.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

## EC2InstanceProfileForImageBuilder-Richtlinie
<a name="sec-iam-manpol-EC2InstanceProfileForImageBuilder"></a>

Die **EC2InstanceProfileForImageBuilder**Richtlinie gewährt die Mindestberechtigungen, die für die Verwendung einer EC2-Instance mit Image Builder erforderlich sind. Dies schließt nicht die Berechtigungen ein, die für die Verwendung des Systems Manager Agent erforderlich sind.

### Details zu Berechtigungen
<a name="sec-iam-manpol-EC2InstanceProfileForImageBuilder-details"></a>

Diese Richtlinie umfasst die folgenden Berechtigungen:
+ **CloudWatch Protokolle** — Es wird Zugriff gewährt, um CloudWatch Protokolle zu erstellen und in jede Protokollgruppe hochzuladen, deren Name mit beginnt`/aws/imagebuilder/`.
+ **Amazon EC2** — Zugriff wird gewährt, um Volumes und Snapshots zu beschreiben, Snapshots von Volume- oder Snapshot-Ressourcen zu erstellen, die Image Builder erstellt hat, und um Tags für Image Builder Builder-Ressourcen zu erstellen.
+ **Image Builder** — Zugriff wird gewährt, um jeden Image Builder oder jede AWS Marketplace Komponente abzurufen.
+ **AWS KMS**— Zugriff wird gewährt, um eine Image Builder Builder-Komponente zu entschlüsseln, wenn sie über AWS KMS verschlüsselt wurde.
+ **Amazon S3** — Zugriff wird gewährt, um Objekte abzurufen, die in einem Amazon S3 S3-Bucket gespeichert sind`ec2imagebuilder-`, dessen Name mit beginnt, oder Ressourcen mit einer ISO-Dateierweiterung.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

## EC2InstanceProfileForImageBuilderECRContainerBuilds-Richtlinie
<a name="sec-iam-manpol-EC2InstanceProfileForImageBuilderECRContainerBuilds"></a>

Die **EC2InstanceProfileForImageBuilderECRContainerBuilds**Richtlinie gewährt die Mindestberechtigungen, die für eine EC2-Instance erforderlich sind, wenn mit Image Builder Docker-Images erstellt und die Images anschließend in einem Amazon ECR-Container-Repository registriert und gespeichert werden. Dies schließt nicht die Berechtigungen ein, die für die Verwendung des Systems Manager Agent erforderlich sind.

### Details zu Berechtigungen
<a name="sec-iam-manpol-EC2InstanceProfileForImageBuilderECRContainerBuilds-details"></a>

Diese Richtlinie umfasst die folgenden Berechtigungen:
+ **CloudWatch Protokolle** — Es wird Zugriff gewährt, um CloudWatch Protokolle zu erstellen und in jede Protokollgruppe hochzuladen, deren Name mit beginnt`/aws/imagebuilder/`.
+ **Amazon ECR** — Amazon ECR wird Zugriff gewährt, um ein Container-Image abzurufen, zu registrieren und zu speichern und ein Autorisierungstoken zu erhalten.
+ **Image Builder** — Zugriff wird gewährt, um eine Image Builder Builder-Komponente oder ein Container-Rezept abzurufen.
+ **AWS KMS**— Zugriff wird gewährt, um eine Image Builder Builder-Komponente oder ein Container-Rezept zu entschlüsseln, sofern es über AWS KMS verschlüsselt wurde.
+ **Amazon S3** — Zugriff wird gewährt, um Objekte abzurufen, die in einem Amazon S3 S3-Bucket gespeichert sind, dessen Name mit beginnt`ec2imagebuilder-`.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

## Image Builder Builder-Updates für AWS verwaltete Richtlinien
<a name="security-iam-awsmanpol-updates"></a>

Dieser Abschnitt enthält Informationen zu Aktualisierungen der AWS verwalteten Richtlinien für Image Builder, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der Seite Image Builder [Builder-Dokumentenverlauf](doc-history.md), um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.




| Änderungen | Beschreibung | Datum | 
| --- | --- | --- | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie  |  Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 26. Februar 2026 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie  |  Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen, um die Verwendung von AWS Systems Manager (SSM) Parameter Store-Parametern in Rezepten und bei der Imageverteilung zu unterstützen. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 23. Juli 2025 | 
|  [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie  |  Image Builder hat die folgenden Änderungen an der Instanzprofilrichtlinie vorgenommen, um mehr Dateierweiterungen für ISO-Dateidownloads zu unterstützen. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 19. Mai 2025 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie  |  Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen, um den Import von ISO-Dateien des Microsoft-Clientbetriebssystems als Basisimage zu unterstützen. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 30. Dezember 2024 | 
|  [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie  |  Image Builder hat die folgenden Änderungen an der Instanzprofilrichtlinie vorgenommen, um die Image-Erstellung aus Festplatten-Image-Dateien zu unterstützen. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 30. Dezember 2024 | 
|  [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder) – Richtlinie aktualisieren  |  Image Builder hat die `EC2InstanceProfileForImageBuilder` Richtlinie aktualisiert, sodass Image Builder AWS Marketplace Komponenten abrufen kann.  | 2. Dezember 2024 | 
|  [EC2ImageBuilderLifecycleExecutionPolicy](#sec-iam-manpol-EC2ImageBuilderLifecycleExecutionPolicy) – Neue Richtlinie  |  Image Builder hat die neue `EC2ImageBuilderLifecycleExecutionPolicy` Richtlinie hinzugefügt, die Berechtigungen für das Image-Lebenszyklusmanagement enthält.  | 17. November 2023 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie  |  Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen, um die Instanzplatzierung zu unterstützen. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 19. Oktober 2023 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie  |  Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen, um die Instanzplatzierung zu unterstützen. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 28. September 2023 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie  |  Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen, damit Image Builder Builder-Workflows Schwachstellen sowohl für AMI- als auch für ECR-Container-Image-Builds sammeln können. Die neuen Berechtigungen unterstützen die CVE-Erkennungs- und Berichtsfunktion. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 30. März 2023 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie  |  Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 22. März 2022 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie  |  Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 21. Februar 2022 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie  |  Image Builder hat die folgenden Änderungen an der Servicerolle vorgenommen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 20. November 2021 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Aktualisierung auf eine bestehende Richtlinie  |  Image Builder hat neue Berechtigungen hinzugefügt, um Probleme zu beheben, bei denen mehrere Inventarzuordnungen dazu führen, dass der Image-Build hängen bleibt.  | 11. August 2021 | 
|  [AWSImageBuilderFullAccess](#sec-iam-manpol-AWSImageBuilderFullAccess) – Aktualisierung auf eine bestehende Richtlinie  |  Image Builder hat die folgenden Änderungen an der Vollzugriffsrolle vorgenommen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 13. April 2021 | 
|  Image Builder hat mit der Nachverfolgung von Änderungen begonnen  |  Image Builder hat damit begonnen, Änderungen für seine AWS verwalteten Richtlinien nachzuverfolgen.  | 02. April 2021 | 

# Verwenden Sie mit dem IAM-Dienst verknüpfte Rollen für Image Builder
<a name="image-builder-service-linked-role"></a>

EC2 Image Builder verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, die direkt mit Image Builder verknüpft ist. Dienstbezogene Rollen sind von Image Builder vordefiniert und enthalten alle Berechtigungen, die der Dienst benötigt, um andere in AWS-Services Ihrem Namen aufzurufen. 

Eine dienstbezogene Rolle macht die Einrichtung von Image Builder effizienter, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Image Builder definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur Image Builder seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Die Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden. 

Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter That [Work AWS-Services with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Diensten, für die in der Spalte **Serviceverknüpfte** Rolle der Wert **Ja** steht. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

## Dienstbezogene Rollenberechtigungen für Image Builder
<a name="image-builder-slr-permissions"></a>

Image Builder verwendet die **AWSServiceRoleForImageBuilder**dienstverknüpfte Rolle, um EC2 Image Builder den Zugriff auf AWS Ressourcen in Ihrem Namen zu ermöglichen. Die serviceverknüpfte Rolle vertraut darauf, dass der Service *imagebuilder.amazonaws.com* die Rolle übernimmt.

Sie müssen diese serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Ihr erstes Image Builder-Image in der AWS Management Console, der AWS CLI oder der AWS API erstellen, erstellt Image Builder die serviceverknüpfte Rolle für Sie.

Mit den folgenden Aktionen wird ein neues Image erstellt:
+ Führen Sie den Pipeline-Assistenten in der Image Builder Builder-Konsole aus, um ein benutzerdefiniertes Image zu erstellen.
+ Verwenden Sie eine der folgenden API-Aktionen oder den entsprechenden AWS CLI Befehl:
  + Die **[CreateImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_CreateImage.html)** API-Aktion (**[create-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/create-image.html)**in der AWS CLI).
  + Die **[ImportVmImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_ImportVmImage.html)** API-Aktion (**[import-vm-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/import-vm-image.html)**in der AWS CLI).
  + Die **[StartImagePipelineExecution](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_StartImagePipelineExecution.html)** API-Aktion (**[start-image-pipeline-execution](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/start-image-pipeline-execution.html)**in der AWS CLI).

**Wichtig**  
Wenn die mit dem Dienst verknüpfte Rolle aus Ihrem Konto gelöscht wird, können Sie sie mit demselben Verfahren erneut erstellen. Wenn Sie Ihre erste EC2 Image Builder Builder-Ressource erstellen, erstellt Image Builder die serviceverknüpfte Rolle erneut für Sie.

Die Berechtigungen für die finden Sie auf der **AWSServiceRoleForImageBuilder**Seite. [AWSServiceRoleForImageBuilder-Richtlinie](security-iam-awsmanpol.md#sec-iam-manpol-AWSServiceRoleForImageBuilder) Weitere Informationen zur Konfiguration von Berechtigungen für eine dienstverknüpfte Rolle finden Sie unter [Berechtigungen für dienstverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.

## Entfernen einer mit dem Image Builder Builder-Dienst verknüpften Rolle aus Ihrem Konto
<a name="image-builder-slr-deleting"></a>

Sie können die IAM-Konsole, die oder die AWS API verwenden AWS CLI, um die serviceverknüpfte Rolle für Image Builder manuell aus Ihrem Konto zu entfernen. Bevor Sie dies tun, müssen Sie jedoch sicherstellen, dass keine Image Builder Builder-Ressourcen aktiviert sind, die darauf verweisen.

**Anmerkung**  
Wenn der Image Builder Builder-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

**Von der `AWSServiceRoleForImageBuilder` Rolle verwendete Image Builder Builder-Ressourcen bereinigen**

1. Stellen Sie vor dem Start sicher, dass keine Pipeline-Builds ausgeführt werden. Um einen laufenden Build abzubrechen, verwenden Sie den `cancel-image-creation` Befehl von AWS CLI.

   ```
   aws imagebuilder cancel-image-creation --image-build-version-arn arn:aws:imagebuilder:us-east-1:123456789012:image-pipeline/sample-pipeline
   ```

1. Ändern Sie alle Pipeline-Zeitpläne so, dass sie einen manuellen Erstellungsprozess verwenden, oder löschen Sie sie, wenn Sie sie nicht mehr verwenden möchten. Weitere Informationen zum Löschen von Ressourcen finden Sie unter[Löschen Sie veraltete oder ungenutzte Image Builder Builder-Ressourcen](delete-resources.md).

**Löschen Sie die dienstverknüpfte Rolle mithilfe von IAM**  
Sie können die IAM-Konsole, die oder die AWS API verwenden AWS CLI, um die `AWSServiceRoleForImageBuilder` Rolle aus Ihrem Konto zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.

## Unterstützte Regionen für mit dem Service verknüpfte Image Builder Builder-Rollen
<a name="image-builder-slr-regions"></a>

Image Builder unterstützt die Verwendung von dienstbezogenen Rollen in allen AWS Regionen, in denen der Service verfügbar ist. Eine Liste der unterstützten AWS Regionen finden Sie unter[AWS Regionen und Endpunkte](what-is-image-builder.md#image-builder-regions).

# Behebung von IAM-Problemen in Image Builder
<a name="security_iam_troubleshoot"></a>

**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Image Builder auszuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam durchzuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Image Builder Builder-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)

## Ich bin nicht berechtigt, eine Aktion in Image Builder auszuführen
<a name="security_iam_troubleshoot-no-permissions"></a>

Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.

Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `imagebuilder:GetWidget`-Berechtigungen verfügt.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: imagebuilder:GetWidget on resource: my-example-widget
```

In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `imagebuilder:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

## Ich bin nicht berechtigt, iam durchzuführen: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion auszuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Image Builder übergeben können.

Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.

Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Image Builder auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Image Builder Builder-Ressourcen ermöglichen
<a name="security_iam_troubleshoot-cross-account-access"></a>

Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.

Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Image Builder diese Funktionen unterstützt, finden Sie unter[So funktioniert Image Builder mit IAM-Richtlinien und -Rollen](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.