Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en Generador de imágenes
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que se ejecuta Servicios de AWS en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener información sobre los programas de conformidad que se aplican a Generador de Imágenes de EC2, consulte los Servicios de AWS [ en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza Generador de Imágenes. En los siguientes temas, se le mostrará cómo configurar Generador de Imágenes para satisfacer sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros recursos Servicios de AWS que le ayuden a supervisar y proteger sus recursos de Image Builder.
**Topics**
+ [La protección de datos y el modelo de responsabilidad AWS compartida en Image Builder](data-protection.md)
+ [Integración de Identity and Access Management para Generador de imágenes](security-iam.md)
+ [Validación de conformidad para Image Builder](compliance.md)
+ [Redundancia y resiliencia de datos en Generador de imágenes](disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura en Generador de Imágenes](infrastructure-security.md)
+ [Administración de parches para imágenes de Generador de imágenes](security-patch-management.md)
+ [Prácticas recomendadas de seguridad para Generador de imágenes](security-best-practices.md)
# La protección de datos y el modelo de responsabilidad AWS compartida en Image Builder
El [modelo de ](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a protección de datos en EC2 Image Builder. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con Image Builder u otro Servicios de AWS mediante la consola, la API o AWS SDKs. AWS CLI Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
## Cifrado y administración de claves en Generador de imágenes
Generador de imágenes cifra los datos en tránsito y en reposo de forma predeterminada con una clave de KMS propiedad del servicio, excepto en los siguientes casos:
+ **Componentes personalizados**: Generador de imágenes cifra los componentes personalizados con la clave de KMS predeterminada o una clave de KMS propiedad del servicio.
+ **Flujos de trabajo de imágenes**: Generador de imágenes puede cifrar los flujos de trabajo de imágenes con una clave administrada por el cliente si especifica la clave durante la creación del flujo de trabajo. Generador de imágenes gestiona el cifrado y descifrado con la clave para ejecutar los flujos de trabajo que configuró para las imágenes.
Puede administrar sus propias claves mediante AWS KMS. Sin embargo, no tiene permiso para administrar la clave KMS de Generador de Imágenes de propiedad de Generador de Imágenes. Para obtener más información sobre cómo administrar las claves de KMS con AWS Key Management Service ellas, consulte [Primeros pasos](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) en la Guía para AWS Key Management Service desarrolladores.
**Contexto de cifrado**
Para proporcionar una comprobación adicional de integridad y autenticidad de los datos cifrados, tiene la opción de incluir un [contexto de cifrado](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) al cifrar los datos. Cuando un recurso se cifra con un contexto de cifrado, vincula AWS KMS criptográficamente el contexto al texto cifrado. El recurso solo se puede descifrar si el solicitante proporciona una coincidencia exacta, con distinción de mayúsculas y minúsculas, para el contexto.
En los ejemplos de políticas de esta sección se utiliza un contexto de cifrado similar al nombre de recurso de Amazon (ARN) de un recurso de flujo de trabajo de Generador de imágenes.
### Cifrado de flujos de trabajo de imágenes con una clave administrada por el cliente
Para agregar una capa de protección, puede cifrar los recursos de flujo de trabajo de Generador de imágenes con su propia clave administrada por el cliente. Si utiliza la clave administrada por el cliente para cifrar los flujos de trabajo de Generador de imágenes que cree, debe conceder el acceso en la política de claves para que Generador de imágenes utilice su clave al cifrar y descifrar los recursos de flujo de trabajo. Puede revocar el acceso en cualquier momento. Sin embargo, si revoca el acceso a la clave, Generador de imágenes no tendrá acceso a ningún flujo de trabajo que ya esté cifrado.
El proceso para conceder acceso a Generador de imágenes para usar la clave administrada por el cliente consta de los dos pasos siguientes:
**Paso 1: incorporación de permisos de política de claves para los flujos de trabajo de Generador de imágenes**
Para permitir que Generador de imágenes cifre y descifre los recursos de flujo de trabajo al crear o utilizar esos flujos de trabajo, debe especificar los permisos en la política de claves de KMS.
En este ejemplo de política de claves se concede acceso a las canalizaciones de Generador de imágenes para cifrar los recursos de flujo de trabajo durante el proceso de creación y para descifrar los recursos de flujo de trabajo para utilizarlos. La política también concede acceso a los administradores de claves. El contexto de cifrado y la especificación de los recursos utilizan un comodín para abarcar todas las regiones en las que se disponen de recursos de flujo de trabajo.
Como requisito previo para utilizar flujos de trabajo de imágenes, creó un rol de ejecución de flujos de trabajo de IAM que concede permiso a Generador de imágenes para ejecutar acciones de flujo de trabajo. La entidad principal de la primera instrucción que se muestra en este ejemplo de política de claves debe especificar el rol de ejecución de flujos de trabajo de IAM.
Para obtener más información sobre las claves administradas por el cliente, consulte [Managing access to customer managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) en la *Guía para desarrolladores de AWS Key Management Service *.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow access to build images with encrypted workflow",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/YourImageBuilderExecutionRole"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:imagebuilder:arn": "arn:aws:imagebuilder:*:111122223333:workflow/*"
}
}
},
{
"Sid": "Allow access for key administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:*"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
}
]
}
```
------
**Paso 2: concesión de acceso a la clave al rol de ejecución de flujos de trabajo**
El rol de IAM que Generador de imágenes asume para ejecutar los flujos de trabajo necesita permiso para usar la clave administrada por el cliente. Sin acceso a la clave, Generador de imágenes no podrá cifrar ni descifrar los recursos de flujos de trabajo.
Edite la política del rol de ejecución de flujos de trabajo para agregar la siguiente instrucción de política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToWorkflowKey",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/key_ID",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:imagebuilder:arn": "arn:aws:imagebuilder:*:111122223333:workflow/*"
}
}
}
]
}
```
------
### AWS CloudTrail eventos para flujos de trabajo de imágenes
Los siguientes ejemplos muestran AWS CloudTrail las entradas típicas para cifrar y descifrar los flujos de trabajo de imágenes que se almacenan con una clave gestionada por el cliente.
**Ejemplo: GenerateDataKey**
En este ejemplo, se muestra el aspecto que puede tener un CloudTrail evento cuando Image Builder invoca la acción de AWS KMS **GenerateDataKey** API desde la acción de **CreateWorkflow** API de Image Builder. Generador de imágenes debe cifrar un nuevo flujo de trabajo antes de crear el recurso de flujos de trabajo.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "PRINCIPALID1234567890:workflow-role-name",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/workflow-role-name",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "PRINCIPALID1234567890",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-11-21T20:29:31Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "imagebuilder.amazonaws.com"
},
"eventTime": "2023-11-21T20:31:03Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "imagebuilder.amazonaws.com",
"userAgent": "imagebuilder.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:imagebuilder:arn": "arn:aws:imagebuilder:us-west-2:111122223333:workflow/build/sample-encrypted-workflow/1.0.0/*",
"aws-crypto-public-key": "key value"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:alias/ExampleKMSKey",
"numberOfBytes": 32
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**Ejemplo: Decrypt**
En este ejemplo, se muestra el aspecto que puede tener un CloudTrail evento cuando Image Builder invoca la acción de AWS KMS **Decrypt** API desde la acción de **GetWorkflow** API de Image Builder. Las canalizaciones de Generador de imágenes tienen que descifrar un recurso de flujo de trabajo antes de poder usarlo.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "PRINCIPALID1234567890:workflow-role-name",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/workflow-role-name",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "PRINCIPALID1234567890",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-11-21T20:29:31Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "imagebuilder.amazonaws.com"
},
"eventTime": "2023-11-21T20:34:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "imagebuilder.amazonaws.com",
"userAgent": "imagebuilder.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:imagebuilder:arn": "arn:aws:imagebuilder:us-west-2:111122223333:workflow/build/sample-encrypted-workflow/1.0.0/*",
"aws-crypto-public-key": "ABC123def4567890abc12345678/90dE/F123abcDEF+4567890abc123D+ef1=="
}
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Almacenamiento de datos en Generador de imágenes
Generador de Imágenes no almacena ninguno de sus registros en el servicio. Todos los registros se guardan en la instancia de Amazon EC2 que se utiliza para crear la imagen o en los registros de automatización del Administrador de Sistemas.
## Privacidad del tráfico entre redes en Generador de imágenes
Las conexiones están protegidas entre Image Builder y las ubicaciones locales, entre AZs dentro de una AWS región y entre AWS regiones a través de HTTPS. No hay conexiones directas entre las cuentas.
# Integración de Identity and Access Management para Generador de imágenes
**Topics**
+ [Público](#security-iam-audience)
+ [Autenticación con identidades](#security-iam-authentication)
+ [Funcionamiento del Generador de imágenes con las políticas y roles de IAM](security_iam_service-with-iam.md)
+ [Gestione los perímetros de datos para el acceso a la descarga de cubos de S3 en Image Builder](security-iam-data-perimeter.md)
+ [Políticas basadas en identidades de Generador de Imágenes](security-iam-identity-based-policies.md)
+ [Permisos de IAM para flujos de trabajo personalizados](#security-iam-custom-workflows)
+ [Políticas basadas en recursos de Generador de Imágenes](#security-iam-resource-based-policies)
+ [Utilice políticas AWS administradas para EC2 Image Builder](security-iam-awsmanpol.md)
+ [Uso de roles vinculados a servicios de IAM para Generador de imágenes](image-builder-service-linked-role.md)
+ [Solución de problemas de IAM en Generador de imágenes](security_iam_troubleshoot.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñe:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de IAM en Generador de imágenes](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Funcionamiento del Generador de imágenes con las políticas y roles de IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Políticas basadas en identidades de Generador de Imágenes](security_iam_service-with-iam.md#security_iam_id-based-policy-examples)).
## Autenticación con identidades
Para obtener información detallada sobre cómo autenticar a las personas y los procesos de su empresa Cuenta de AWS, consulte [Identidades](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) en la Guía del *usuario de IAM*.
# Funcionamiento del Generador de imágenes con las políticas y roles de IAM
Antes de utilizar IAM para administrar el acceso a Generador de Imágenes, conozca qué características de IAM se pueden utilizar con Generador de Imágenes.
Para obtener una visión general de cómo funcionan Image Builder y otros AWS servicios con la mayoría de las funciones de IAM, consulte [AWS los servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
## Políticas basadas en identidad para Generador de Imágenes
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Ejemplos de políticas basadas en identidad para Generador de Imágenes
Para ver ejemplos de políticas basadas en identidad de Generador de Imágenes, consulte [Políticas basadas en identidades de Generador de Imágenes](#security_iam_id-based-policy-examples).
## Políticas basadas en recursos dentro de Generador de Imágenes
**Compatibilidad con las políticas basadas en recursos:** sí
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Acciones de política para Generador de Imágenes
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de las acciones de Generador de Imágenes, consulte [Acciones definidas por Generador de Imágenes de EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions) en la *referencia de autorizaciones de servicio*.
Las acciones de política de Generador de Imágenes utilizan el siguiente prefijo antes de la acción:
```
imagebuilder
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"imagebuilder:action1",
"imagebuilder:action2"
]
```
Para ver ejemplos de políticas basadas en identidad de Generador de Imágenes, consulte [Políticas basadas en identidades de Generador de Imágenes](#security_iam_id-based-policy-examples).
## Recursos de políticas para Generador de Imágenes
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Para ver una lista de los tipos de recursos de Image Builder y sus ARNs correspondientes, consulte [Recursos definidos por EC2 Image](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-resources-for-iam-policies) Builder en *la Referencia de autorización de servicios*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por Generador de Imágenes de EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions).
Para ver ejemplos de políticas basadas en identidad de Generador de Imágenes, consulte [Políticas basadas en identidades de Generador de Imágenes](#security_iam_id-based-policy-examples).
## Claves de condición de política para Generador de Imágenes
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para ver una lista de las claves de condición de Generador de Imágenes, consulte [Claves de condición para Generador de Imágenes de EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-policy-keys) en la *referencia de autorizaciones de servicio*. Para obtener más información sobre las acciones y los recursos con los que puede utilizar una clave de condición, consulte [Acciones definidas por Generador de Imágenes de EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions).
Para ver ejemplos de políticas basadas en identidad de Generador de Imágenes, consulte [Políticas basadas en identidades de Generador de Imágenes](#security_iam_id-based-policy-examples).
## ACLs en Image Builder
**Soportes ACLs:** No
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
## ABAC con Generador de Imágenes
**Compatibilidad con ABAC (etiquetas en las políticas):** parcial
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del director coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
## Uso de credenciales temporales con Generador de Imágenes
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando se utiliza la federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Permisos de entidades principales entre servicios para Generador de Imágenes
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos del principal que llama y los que solicitan Servicio de AWS para realizar solicitudes a los servicios descendentes. Servicio de AWS Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Roles de servicio para Generador de Imágenes
**Compatible con roles de servicio:** sí
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
**aviso**
Cambiar los permisos de un rol de servicio podría interrumpir la funcionalidad de Generador de Imágenes. Edite los roles de servicio solo cuando Generador de Imágenes proporcione orientación para hacerlo.
## Roles vinculados a servicios para Generador de Imágenes
**Compatible con roles vinculados al servicio:** sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para ver detalles sobre el rol vinculado a servicios de Generador de Imágenes, consulte [Uso de roles vinculados a servicios de IAM para Generador de imágenes](image-builder-service-linked-role.md).
## Políticas basadas en identidades de Generador de Imágenes
Con las políticas basadas en identidades de IAM, puede especificar las acciones permitidas o denegadas, así como los recursos y también las condiciones en las que se permiten o deniegan las acciones. Generador de Imágenes admite acciones, recursos y claves de condición específicos. Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte [Acciones, recursos y claves de condición de Generador de imágenes de Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2imagebuilder.html) en la *Guía del usuario de IAM*.
### Acciones
Las acciones de política de Generador de Imágenes utilizan el siguiente prefijo antes de la acción: `imagebuilder:`. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`. Generador de Imágenes define su propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
```
"Action": [
"imagebuilder:action1",
"imagebuilder:action2"
]
```
Puede utilizar caracteres comodín para especificar varias acciones (\$1). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `List`, incluya la siguiente acción:
```
"Action": "imagebuilder:List*"
```
Para ver una lista de acciones de Generador de Imágenes, consulte [Acciones, recursos y claves de condición de Servicios de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) en la *Guía del usuario de IAM*.
### Administración del acceso con políticas
*Para obtener información detallada sobre cómo gestionar el acceso AWS mediante la creación de políticas y su vinculación a las identidades o los AWS recursos de IAM, consulte [Políticas y permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la Guía del usuario de IAM.*
El rol de IAM que asocie a su perfil de instancia debe tener permisos para ejecutar los componentes de compilación y prueba incluidos en su imagen. Las siguientes políticas del rol de IAM se deben asociar al rol de IAM que está asociado al perfil de instancia:
+ EC2InstanceProfileForImageBuilder
+ EC2InstanceProfileForImageBuilderECRContainerBuilds
+ AmazonSSMManagedInstanceCore
### Recursos
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
El ARN se compone de varios nodos que ayudan a identificar el recurso y garantizar que el nombre sea único. Los últimos nodos del nombre incluyen varias variaciones de formato para el tipo, el nombre y el identificador del recurso. Cuando Image Builder crea un recurso, utiliza el siguiente formato:
`arn:aws:imagebuilder:region:owner:resource-type/resource-name/version/build-version`
**nota**
La versión de compilación no siempre se incluye en el ARN del recurso. Sin embargo, algunas operaciones de la API, por ejemplo [GetComponent](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_GetComponent.html), necesitan la versión de compilación para identificar de forma exclusiva un recurso que se va a recuperar.
Para los recursos que Image Builder utiliza en sus recetas, como la imagen base o los componentes, el nodo propietario puede ser uno de los siguientes:
+ El número de cuenta del propietario del recurso
+ Para los recursos gestionados por Amazon: `aws`
+ Para AWS Marketplace recursos: `aws-marketplace`
El siguiente ejemplo muestra el ARN de un componente gestionado para instalar el CloudWatch agente de Amazon en Linux:
```
arn:aws:imagebuilder:us-east-1:aws:component/amazon-cloudwatch-agent-linux/1.0.1/1
```
En este ejemplo se muestra el ARN de un componente gestionado ficticio de: AWS Marketplace
```
arn:aws:imagebuilder:us-east-1:aws-marketplace:component/example-linux-software-component/1.0.1
```
Para obtener más información sobre cómo obtener una lista de componentes, incluido el uso de un filtro de propiedad, consulte. [Enumeración de componentes de Generador de imágenes](component-details.md#list-components)
**Ejemplo ARNs**
A continuación se muestran algunos ejemplos de recursos ARNs que puede especificar en una política de IAM:
+ ARN de instancia
```
"Resource": "arn:aws:imagebuilder:us-east-1:111122223333:instance/i-1234567890abcdef0"
```
+ Ejemplo de comodín (\$1) para especificar todas las instancias de una cuenta determinada
```
"Resource": "arn:aws:imagebuilder:us-east-1:111122223333:instance/*"
```
+ Ejemplo de comodín (\$1) para especificar todas las versiones de un flujo de trabajo de imágenes gestionadas
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:workflow/build/build-image/*"
```
+ ARN de imagen gestionada
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:image/amazon-linux-2-arm64/2024.12.17/1"
```
+ Ejemplo de comodín (\$1) para especificar todas las versiones de una imagen gestionada
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:image/amazon-linux-2-arm64/x.x.x"
```
En muchas acciones de la API de Generador de Imágenes de EC2 se utilizan varios recursos. Para especificar varios recursos en una sola sentencia, sepárelos ARNs con comas.
```
"Resource": [
"resource1",
"resource2"
]
```
### Claves de condición
Generador de Imágenes proporciona claves de condición específicas del servicio, y admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la Guía del *usuario de IAM*. Se proporcionan las siguientes claves de condición específicas del servicio.
#### generador de imágenes: CreatedResourceTagKeys
Funciona con [operadores de cadena](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Utilice esta clave para filtrar el acceso en función de la presencia de claves de etiqueta en la solicitud. Esto le permite administrar los recursos que crea Generador de Imágenes.
**Disponibilidad**: esta clave solo está disponible para y. `CreateInfrastrucutreConfiguration` `UpdateInfrastructureConfiguration` APIs
#### generador de imágenes:/CreatedResourceTag
Funciona con [operadores de cadena](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Utilice esta clave para filtrar el acceso en función de los pares clave-valor de etiqueta adjuntados al recurso creado por Generador de Imágenes. Esto le permite administrar los recursos de Generador de Imágenes mediante etiquetas definidas.
**Disponibilidad**: esta clave solo está disponible para y. `CreateInfrastrucutreConfiguration` `UpdateInfrastructureConfiguration` APIs
#### generador de imágenes: LifecyclePolicyResourceType
Funciona con [operadores de cadena](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Use esta clave para filtrar el acceso por el tipo de recurso del ciclo de vida especificado en la solicitud.
El valor de esta clave puede ser `AMI_IMAGE` o`CONTAINER_IMAGE`.
**Disponibilidad**: esta clave solo está disponible para los caracteres `CreateLifecyclePolicy` y `UpdateLifecyclePolicy`APIs.
#### Creador de imágenes: EC2 MetadataHttpTokens
Funciona con [operadores de cadena](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Utilice esta clave para filtrar el acceso por el requisito de token HTTP de metadatos de instancia de EC2 especificado en la solicitud.
El valor de esta clave puede ser `optional` o `required`.
**Disponibilidad**: esta clave solo está disponible para y. `CreateInfrastrucutreConfiguration` `UpdateInfrastructureConfiguration` APIs
#### generador de imágenes: StatusTopicArn
Funciona con [operadores de cadena](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Utilice esta clave para filtrar el acceso por el ARN de tema SNS en la solicitud en la que se publicarán las notificaciones de estado del terminal.
**Disponibilidad**: esta clave solo está disponible para y. `CreateInfrastrucutreConfiguration` `UpdateInfrastructureConfiguration` APIs
### Ejemplos
Para ver ejemplos de políticas basadas en identidad de Generador de Imágenes, consulte [Políticas basadas en identidades de Generador de Imágenes](security-iam-identity-based-policies.md).
## Políticas basadas en recursos de Generador de Imágenes
Las políticas basadas en recursos especifican qué acciones puede realizar una entidad principal especificada en el recurso de Generador de imágenes y en qué condiciones. Generador de Imágenes admite políticas de permisos basadas en recursos para los componentes, imágenes y recetas de imágenes. Las políticas basadas en recursos le permiten otorgar permiso de uso a otras cuentas por recurso. También puede utilizar una política basada en recursos para permitir que un AWS servicio acceda a sus componentes, imágenes y recetas de imágenes.
Para obtener información sobre cómo asociar una política basada en recursos a un componente, imagen o receta de imágenes, consulte [Comparta los recursos de Image Builder con AWS RAM](manage-shared-resources.md).
**nota**
Al actualizar una política de recursos usando Generador de Imágenes, la actualización aparecerá en la consola de RAM.
## Autorización basada en etiquetas de Generador de Imágenes
Puede adjuntar etiquetas a los recursos de Generador de Imágenes o transferirlas en una solicitud a Generador de Imágenes. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `imagebuilder:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Para obtener más información acerca del etiquetado de recursos de Generador de Imágenes, consulte [Etiquete un recurso del AWS CLI](tag-resources.md#cli-tag-resource).
## Roles de IAM de Generador de Imágenes
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad dentro de usted Cuenta de AWS que tiene permisos específicos.
### Uso de credenciales temporales con Generador de Imágenes
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Para obtener credenciales de seguridad temporales, puede llamar a operaciones de AWS STS API como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
### Roles vinculados a servicios
Los [roles vinculados a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permiten acceder Servicios de AWS a los recursos de otros servicios para completar una acción en tu nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un usuario con acceso administrativo puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Generador de Imágenes admite roles vinculados a servicios. Para obtener información sobre cómo crear o administrar roles vinculados a servicios de Generador de Imágenes, consulte [Uso de roles vinculados a servicios de IAM para Generador de imágenes](image-builder-service-linked-role.md).
### Roles de servicio
Esta característica permite que un servicio asuma un [rol de servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un usuario con acceso administrativo puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
# Gestione los perímetros de datos para el acceso a la descarga de cubos de S3 en Image Builder
EC2 Image Builder mantiene dos clases AWS de buckets S3 propiedad del servicio que contienen los recursos descargables necesarios para ejecutar las cargas de trabajo de Image Builder en su cuenta. Si utiliza perímetros de datos para controlar el acceso a Amazon S3 en su entorno, es posible que necesite permitir explícitamente el acceso a estos depósitos. Puede usar el ARN del bucket o la URL del bucket para incluir estos buckets en la lista de permitidos, en función de cómo controle el acceso a Amazon S3.
**Scripts de arranque para la administración de componentes (obligatorio)**
Este depósito de S3 contiene scripts de arranque para configurar la TOE de AWS aplicación en las instancias EC2 que se utilizan para crear imágenes. Image Builder requiere acceso para descargar los scripts y así poder crear y probar nuevas imágenes.
+ **ARN de la cubeta S3:** `arn::s3:::ec2imagebuilder-managed-resources--prod`
+ **URL del depósito de S3:** `https://ec2imagebuilder-managed-resources-.s3..`
**Componentes gestionados**
Este depósito de S3 contiene cargas útiles de paquetes para los componentes gestionados por Amazon. Image Builder requiere acceso para descargar todos los componentes gestionados que estén configurados en sus recetas.
+ **ARN de la cubeta S3:** `arn::s3:::ec2imagebuilder-toe--prod`
+ **URL del depósito de S3:** `https://ec2imagebuilder-toe-.s3..`
# Políticas basadas en identidades de Generador de Imágenes
**Topics**
+ [Prácticas recomendadas de políticas basadas en identidad](#security-iam-service-policy-best-practices)
+ [Uso de la consola de Generador de Imágenes](#sec-iam-id-based-policies-using-console)
## Prácticas recomendadas de políticas basadas en identidad
Las políticas basadas en identidad determinan si alguien puede crear, acceder o eliminar los recursos de Generador de Imágenes de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos**: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola de Generador de Imágenes
Para acceder a la consola de Generador de Imágenes de EC2, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver los detalles de los recursos de Generador de Imágenes en su Cuenta de AWS. Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles de IAM) que tengan esa política.
Para garantizar que sus entidades de IAM puedan utilizar la consola de Image Builder, debe adjuntarles una de las siguientes políticas AWS gestionadas:
+ [Política AWSImageBuilderReadOnlyAccess](security-iam-awsmanpol.md#sec-iam-manpol-AWSImageBuilderReadOnlyAccess)
+ [Política AWSImageBuilderFullAccess](security-iam-awsmanpol.md#sec-iam-manpol-AWSImageBuilderFullAccess)
Para obtener más información sobre las políticas administradas de Generador de Imágenes, consulte [Utilice políticas AWS administradas para EC2 Image Builder](security-iam-awsmanpol.md).
**importante**
La política **AWSImageBuilderFullAccess** es necesaria para crear el rol vinculado a servicios de Generador de Imágenes. Al asociar esta política a una entidad de IAM, también debe asociar la siguiente política personalizada e incluir los recursos que desee utilizar y que no tengan `imagebuilder` en el nombre del recurso:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:*:*:*imagebuilder*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetInstanceProfile"
],
"Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*imagebuilder*",
"arn:aws:iam::*:role/*imagebuilder*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:s3::*:*imagebuilder*"
}
]
}
```
------
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.
## Permisos de IAM para flujos de trabajo personalizados
Cuando se utilizan flujos de trabajo personalizados con acciones escalonadas específicas[RegisterImage](wfdoc-step-actions.md#wfdoc-step-action-register-image), por ejemplo, es posible que se requieran permisos de IAM adicionales además de las políticas gestionadas por Image Builder estándar. En esta sección se describen los permisos adicionales necesarios para las acciones escalonadas personalizadas del flujo de trabajo.
### RegisterImage permisos de acción escalonada
La acción `RegisterImage` escalonada requiere permisos específicos de Amazon EC2 para registrar AMIs y, de forma opcional, recuperar etiquetas de instantáneas. Al utilizar el `includeSnapshotTags` parámetro, se necesitan permisos adicionales para describir las instantáneas.
**Permisos necesarios para la acción RegisterImage escalonada:**
Para todos los recursos, permita las siguientes acciones:
+ `ec2:RegisterImage`
+ `ec2:DescribeSnapshots`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RegisterImage",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::image/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "RegisterImage"
}
}
}
]
}
```
**Detalles del permiso:**
+ `ec2:RegisterImage`- Necesario para registrar imágenes nuevas a AMIs partir de instantáneas
+ `ec2:DescribeSnapshots`- Necesario cuando se utiliza `includeSnapshotTags: true` para recuperar etiquetas de instantáneas para fusionarlas con etiquetas AMI
+ `ec2:CreateTags`- Necesario para aplicar etiquetas a la AMI registrada, incluidas las etiquetas predeterminadas de Image Builder y las etiquetas de instantáneas combinadas
**nota**
El `ec2:DescribeSnapshots` permiso solo se usa cuando el `includeSnapshotTags` parámetro está establecido en`true`. Si no usa esta función, puede omitir este permiso.
**Comportamiento de combinación de etiquetas:**
Cuando `includeSnapshotTags` está habilitada, la acción del RegisterImage paso hará lo siguiente:
+ Recupere las etiquetas de la primera instantánea especificada en el mapeo de dispositivos de bloques
+ Excluya todas las etiquetas AWS reservadas (aquellas con claves que comiencen por «aws:»)
+ Combinar etiquetas de instantáneas con las etiquetas de registro AMI predeterminadas de Image Builder
+ Dé prioridad a las etiquetas de Image Builder cuando las claves de etiquetas entren en conflicto
## Políticas basadas en recursos de Generador de Imágenes
Para obtener información sobre cómo crear un componente, consulte [Uso de componentes para personalizar su imagen de Generador de imágenes](manage-components.md).
### Restricción del acceso de los componentes de Generador de Imágenes a direcciones IP específicas
En el siguiente ejemplo se conceden permisos a cualquier usuario para que realice operaciones de Generador de Imágenes en los componentes. Sin embargo, la solicitud debe proceder del rango de direcciones IP especificado en la condición.
La condición de esta declaración identifica el rango 54.240.143.\$1 de direcciones IP del Protocolo de Internet de la versión 4 (IPv4) permitidas, con una excepción: 54.240.143.188.
El `Condition` bloque utiliza las `NotIpAddress` condiciones `IpAddress` y y la clave de condición, que es una clave de condición que abarca todo el espacio`aws:SourceIp`. AWS Para obtener más información sobre estas claves de condición, consulte [Especificación de condiciones en una política](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html). Los `aws:sourceIp` IPv4 valores utilizan la notación CIDR estándar. Para obtener más información, consulte [Operadores de condición de dirección IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) en la *guía del usuario de IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "IBPolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Action": "imagebuilder:GetComponent",
"Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
```
------
# Utilice políticas AWS administradas para EC2 Image Builder
Una política AWS administrada es una política independiente creada y administrada por. AWS AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## Política AWSImageBuilderFullAccess
La política **AWSImageBuilderFullAccess** otorga acceso total a los recursos de Generador de Imágenes de EC2 para el rol al que está asociado, lo que permite al rol enumerar, describir, crear, actualizar y eliminar los recursos de Generador de Imágenes. La política también otorga permisos específicos a los relacionados Servicios de AWS que sean necesarios, por ejemplo, para verificar los recursos o para mostrar los recursos actuales de la cuenta en Consola de administración de AWS.
### Detalles de los permisos
Esta política incluye los permisos siguientes:
+ **Generador de Imágenes**: se concede acceso administrativo para que el rol pueda enumerar, describir, crear, actualizar y eliminar los recursos de Generador de Imágenes de EC2.
+ **Amazon EC2**: se concede acceso a las acciones de Amazon EC2 Describe necesarias para verificar la existencia de los recursos u obtener listas de los recursos que pertenecen a la cuenta.
+ **IAM**: se concede acceso para obtener y utilizar perfiles de instancia cuyo nombre contenga “imagebuilder”, para comprobar la existencia del rol vinculado al servicio de Generador de Imágenes de EC2 mediante la acción de la API `iam:GetRole` y para crear el rol vinculado a servicios de Generador de Imágenes de EC2.
+ **License Manager**: se concede acceso para enumerar las configuraciones de licencia o las licencias de un recurso.
+ **Amazon S3**: se concede acceso a los buckets de listas que pertenecen a la cuenta y también a los buckets de Generador de Imágenes de EC2 con “imagebuilder” en sus nombres.
+ **Amazon SNS**: se conceden permisos de escritura a Amazon SNS para verificar la propiedad de los temas que contienen “imagebuilder”.
Para ver los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html) en la *Referencia de la política administrada de AWS *.
## Política AWSImageBuilderReadOnlyAccess
La política **AWSImageBuilderReadOnlyAccess** proporciona acceso de solo lectura a todos los recursos de Generador de Imágenes. Se conceden permisos para comprobar que el rol vinculado a servicios de Generador de Imágenes de EC2 existe mediante la acción de la API `iam:GetRole`.
### Detalles de los permisos
Esta política incluye los permisos siguientes:
+ **Generador de Imágenes**: se concede acceso para el acceso de solo lectura a los recursos de Generador de Imágenes.
+ **IAM**: se concede acceso para verificar la existencia del rol vinculado a servicios de Generador de Imágenes de EC2 mediante la acción de la API `iam:GetRole`.
Para ver los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html) en la *Referencia de la política administrada de AWS *.
## Política AWSServiceRoleForImageBuilder
La **AWSServiceRoleForImageBuilder**política permite a Image Builder llamar Servicios de AWS en su nombre.
### Detalles de los permisos
Esta política se asocia al rol vinculado a servicios de Generador de Imágenes de EC2 cuando el rol se crea a través de Systems Manager. Para obtener más información sobre el rol vinculado a servicios de Generador de Imágenes, consulte [Uso de roles vinculados a servicios de IAM para Generador de imágenes](image-builder-service-linked-role.md).
La política incluye los siguientes permisos:
+ **CloudWatch Registros**: se permite el acceso para crear y cargar CloudWatch registros en cualquier grupo de registros cuyo nombre comience por`/aws/imagebuilder/`.
+ **Amazon EC2**: se concede acceso a Image Builder para crear, tomar instantáneas y registrar las imágenes (AMI) que cree y lanzar instancias de EC2 en su cuenta. Image Builder utiliza instantáneas, volúmenes, interfaces de red, subredes, grupos de seguridad, configuración de licencias y pares de claves relacionados según sea necesario, siempre que la imagen, la instancia y los volúmenes que se estén creando o utilizando estén etiquetados con `CreatedBy: EC2 Image Builder` o. `CreatedBy: EC2 Fast Launch`
Generador de imágenes puede obtener información sobre las imágenes de Amazon EC2, los atributos de instancias, el estado de instancias, los tipos de instancias disponibles para su cuenta, las plantillas de lanzamiento, las subredes, los hosts y las etiquetas de sus recursos de Amazon EC2.
Generador de Imágenes puede actualizar la configuración de imágenes para permitir o deshabilitar el inicio más rápido de las instancias de Windows en su cuenta, cuando la imagen tenga la etiqueta `CreatedBy: EC2 Image Builder`.
Además, Generador de Imágenes puede iniciar, detener y finalizar las instancias que se ejecuten en su cuenta, compartir instantáneas de Amazon EBS, crear y actualizar imágenes y plantillas de lanzamiento, anular el registro de imágenes existentes, añadir etiquetas y replicar imágenes en cuentas a las que haya concedido permisos mediante la política **Ec2ImageBuilderCrossAccountDistributionAccess**. El etiquetado de Generador de Imágenes es necesario para todas estas acciones, como se describió anteriormente.
+ **Amazon ECR**: se concede acceso a Generador de Imágenes para crear un repositorio, si es necesario, para escanear las vulnerabilidades de las imágenes de contenedor y etiquetar los recursos que crea para limitar el alcance de sus operaciones. También se concede acceso a Generador de Imágenes para eliminar las imágenes de contenedor que creó para los escaneos después de tomar instantáneas de las vulnerabilidades.
+ **EventBridge**— Se concede acceso a Image Builder para crear y gestionar EventBridge reglas.
+ **IAM**: se concede acceso a Generador de Imágenes para transferir cualquier rol de su cuenta a Amazon EC2 y a VM Import/Export.
+ **Amazon Inspector**: se concede acceso a Generador de Imágenes para determinar cuándo Amazon Inspector completa los escaneos de las instancias de compilación y para recopilar los resultados de las imágenes que están configuradas para permitirlo.
+ **AWS KMS**: se concede acceso a Amazon EBS para cifrar, descifrar o volver a cifrar los volúmenes de Amazon EBS. Esto es crucial para garantizar que los volúmenes cifrados funcionen cuando Generador de Imágenes compile una imagen.
+ **License Manager**: se permite el acceso a Generador de Imágenes para actualizar las especificaciones de License Manager a través de `license-manager:UpdateLicenseSpecificationsForResource`.
+ **Amazon SNS**: se conceden permisos de escritura para cualquier tema de Amazon SNS de la cuenta.
+ **Systems Manager**: se concede acceso a Generador de imágenes para enumerar los comandos de Systems Manager, sus invocaciones y las entradas de inventario, describir la información de las instancias y los estados de ejecución de la automatización, describir los hosts para la compatibilidad con la ubicación de instancias y obtener los detalles de las invocaciones. Generador de Imágenes también puede enviar señales de automatización y detener las ejecuciones de automatización de cualquier recurso en su cuenta.
Generador de Imágenes puede emitir invocaciones de comandos de ejecución en cualquier instancia que esté etiquetada con `"CreatedBy": "EC2 Image Builder"` para los siguientes archivos de script: `AWS-RunPowerShellScript`, `AWS-RunShellScript` o `AWSEC2-RunSysprep`. Generador de Imágenes puede iniciar una ejecución de automatización de Systems Manager en su cuenta para los documentos de automatización cuyo nombre comience con `ImageBuilder`.
Generador de Imágenes también puede crear o eliminar asociaciones de State Manager para cualquier instancia en su cuenta, siempre que el documento de asociación sea `AWS-GatherSoftwareInventory`, y crear el rol vinculado a servicios de Systems Manager en su cuenta.
Image Builder puede leer los parámetros públicos del almacén de parámetros y leer y actualizar los parámetros privados con el prefijo `/imagebuilder/` para poder actualizar el valor del parámetro con la AMI de salida IDs que Image Builder crea a partir de una nueva compilación.
+ **AWS STS**: se concede acceso para que Generador de Imágenes asuma los roles denominados **EC2ImageBuilderDistributionCrossAccountRole** en su cuenta a cualquier cuenta en la que la política de confianza del rol lo permita. Esto se utiliza para la distribución de imágenes entre cuentas.
Para ver los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html) en la *Referencia de la política administrada de AWS *.
## Política Ec2ImageBuilderCrossAccountDistributionAccess
La política **Ec2ImageBuilderCrossAccountDistributionAccess** concede permisos a Generador de Imágenes para distribuir imágenes entre las cuentas de las regiones de destino. Además, Generador de Imágenes puede describir, copiar y aplicar etiquetas a cualquier imagen de Amazon EC2 de la cuenta. La política también permite modificar los permisos de la AMI mediante la acción de la API `ec2:ModifyImageAttribute`.
### Detalles de los permisos
Esta política incluye los permisos siguientes:
+ **Amazon EC2**: Amazon EC2 tiene acceso para describir, copiar y modificar los atributos de una imagen y para crear etiquetas para cualquier imagen de Amazon EC2 en la cuenta.
Para ver los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html) en la *Referencia de la política administrada de AWS *.
## Política EC2ImageBuilderLifecycleExecutionPolicy
La **EC2ImageBuilderLifecycleExecutionPolicy**política otorga permisos para que Image Builder lleve a cabo acciones como desaprobar, deshabilitar o eliminar los recursos de imagen de Image Builder y sus recursos subyacentes (AMIsinstantáneas) a fin de respaldar las reglas automatizadas para las tareas de administración del ciclo de vida de las imágenes.
### Detalles de los permisos
Esta política incluye los permisos siguientes:
+ **Amazon EC2**: se concede acceso a Amazon EC2 para realizar las siguientes acciones con Amazon Machine Images AMIs () en la cuenta etiquetada con. `CreatedBy: EC2 Image Builder`
+ Habilitar o deshabilitar una AMI.
+ Habilitar o deshabilitar la obsolescencia de imágenes.
+ Describir una AMI y anular su registro.
+ Describir y modificar los atributos de imagen de la AMI.
+ Eliminar las instantáneas de volumen asociadas a la AMI.
+ Recuperar las etiquetas de un recurso.
+ Agregar o eliminar etiquetas de una AMI para su obsolescencia.
+ **Amazon ECR**: se concede acceso a Amazon ECR para realizar las siguientes acciones por lotes en los repositorios de ECR con la etiqueta `LifecycleExecutionAccess: EC2 Image Builder`. Las acciones por lotes admiten reglas automatizadas del ciclo de vida de las imágenes de contenedor.
+ `ecr:BatchGetImage`
+ `ecr:BatchDeleteImage`
El acceso se concede en el nivel de repositorio para los repositorios de ECR etiquetados con `LifecycleExecutionAccess: EC2 Image Builder`.
+ **AWS Grupos de recursos**: se concede acceso a Image Builder para obtener recursos basados en etiquetas.
+ **Generador de imágenes de EC2**: se concede acceso a Generador de imágenes para eliminar los recursos de imágenes de Generador de imágenes.
Para ver los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html) en la *Referencia de la política administrada de AWS *.
## Política EC2InstanceProfileForImageBuilder
La política **EC2InstanceProfileForImageBuilder** concede los permisos mínimos necesarios para que una instancia de EC2 funcione con Generador de Imágenes. Esto no incluye los permisos necesarios para usar Systems Manager Agent.
### Detalles de los permisos
Esta política incluye los permisos siguientes:
+ **CloudWatch Registros**: se permite el acceso para crear y cargar CloudWatch registros en cualquier grupo de registros cuyo nombre comience por`/aws/imagebuilder/`.
+ **Amazon EC2**: se concede acceso para describir volúmenes e instantáneas, para crear instantáneas de recursos de volúmenes o instantáneas que creó Image Builder y para crear etiquetas para los recursos de Image Builder.
+ **Image Builder**: se permite el acceso a cualquier Image Builder o AWS Marketplace componente.
+ **AWS KMS**— Se concede acceso para descifrar un componente de Image Builder, si se cifró mediante AWS KMS.
+ **Amazon S3**: el acceso se concede para obtener objetos almacenados en un bucket de Amazon S3 cuyo nombre comience por`ec2imagebuilder-`, o recursos que tengan una extensión de archivo ISO.
Para ver los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html) en la *Referencia de la política administrada de AWS *.
## Política EC2InstanceProfileForImageBuilderECRContainerBuilds
La política **EC2InstanceProfileForImageBuilderECRContainerBuilds** concede los permisos mínimos necesarios para que una instancia de EC2 trabaje con Generador de Imágenes para crear imágenes de Docker y, a continuación, registrarlas y almacenarlas en un repositorio de contenedor de Amazon ECR. Esto no incluye los permisos necesarios para usar Systems Manager Agent.
### Detalles de los permisos
Esta política incluye los permisos siguientes:
+ **CloudWatch Registros**: se permite el acceso para crear y cargar CloudWatch registros en cualquier grupo de registros cuyo nombre comience por`/aws/imagebuilder/`.
+ **Amazon ECR**: se concede el acceso a Amazon ECR para obtener, registrar y almacenar una imagen de contenedor y para obtener un token de autorización.
+ **Generador de Imágenes**: se permite el acceso para obtener un componente o receta de contenedor de Generador de Imágenes.
+ **AWS KMS**— Se concede acceso para descifrar un componente de Image Builder o una receta de contenedor, si se cifró mediante AWS KMS.
+ **Amazon S3**: se concede acceso para obtener objetos almacenados en un bucket de Amazon S3 cuyo nombre comience con `ec2imagebuilder-`.
Para ver los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html) en la *Referencia de la política administrada de AWS *.
## Image Builder actualiza las políticas AWS gestionadas
En esta sección se proporciona información sobre las actualizaciones de las políticas AWS gestionadas de Image Builder desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS en la página del [historial de documentos](doc-history.md) de Generador de Imágenes.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): actualización de una política actual | Generador de Imágenes hizo los siguientes cambios en el rol de servicio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 26 de febrero de 2026 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): actualización de una política actual | Image Builder realizó los siguientes cambios en la función de servicio para permitir el uso de parámetros del almacén de parámetros AWS Systems Manager (SSM) en las recetas y durante la distribución de imágenes. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 23 de julio de 2025 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder): actualización de una política actual | Image Builder realizó los siguientes cambios en la política del perfil de la instancia para admitir más extensiones de archivo para las descargas de archivos ISO. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 19 de mayo de 2025 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): actualización de una política actual | Image Builder realizó los siguientes cambios en la función de servicio para permitir la importación de archivos ISO del sistema operativo cliente de Microsoft como imagen base. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 30 de diciembre de 2024 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder): actualización de una política actual | Image Builder realizó los siguientes cambios en la política del perfil de la instancia para permitir la creación de imágenes a partir de archivos de imagen de disco. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 30 de diciembre de 2024 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder): política actualizada | Image Builder actualizó la `EC2InstanceProfileForImageBuilder` política para permitir a Image Builder obtener AWS Marketplace componentes. | 2 de diciembre de 2024 |
| [EC2ImageBuilderLifecycleExecutionPolicy](#sec-iam-manpol-EC2ImageBuilderLifecycleExecutionPolicy): política nueva | Generador de imágenes agregó la nueva política `EC2ImageBuilderLifecycleExecutionPolicy` que contiene permisos para la administración del ciclo de vida de las imágenes. | 17 de noviembre de 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): actualización de una política actual | Generador de imágenes hizo los siguientes cambios en el rol de servicio para brindar compatibilidad con la ubicación de instancias. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 19 de octubre de 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): actualización de una política actual | Generador de imágenes hizo los siguientes cambios en el rol de servicio para brindar compatibilidad con la ubicación de instancias. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 28 de septiembre de 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): actualización de una política actual | Generador de Imágenes realizó los siguientes cambios en el rol de servicio para permitir que los flujos de trabajo de Generador de Imágenes recopilen los resultados de vulnerabilidades para las compilaciones de imágenes de contenedor de AMI y ECR. Los nuevos permisos admiten la característica de detección e informes de CVE. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 30 de marzo de 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): actualización de una política actual | Generador de Imágenes hizo los siguientes cambios en el rol de servicio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 22 de marzo de 2022 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): actualización de una política actual | Generador de Imágenes hizo los siguientes cambios en el rol de servicio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 21 de febrero de 2022 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): actualización de una política actual | Generador de Imágenes hizo los siguientes cambios en el rol de servicio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 20 de noviembre de 2021 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): actualización de una política actual | Generador de Imágenes agregó nuevos permisos para solucionar problemas donde más de una asociación de inventario provoca que la compilación de imágenes se bloquee. | 11 de agosto de 2021 |
| [AWSImageBuilderFullAccess](#sec-iam-manpol-AWSImageBuilderFullAccess): actualización de una política actual | Generador de Imágenes hizo los siguientes cambios en el rol de acceso completo: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 13 de abril de 2021 |
| Generador de Imágenes comenzó el seguimiento de los cambios | Image Builder comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. | 2 de abril de 2021 |
# Uso de roles vinculados a servicios de IAM para Generador de imágenes
EC2 Image Builder AWS Identity and Access Management utiliza funciones vinculadas a servicios (IAM[).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a Generador de Imágenes. Image Builder predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a otros Servicios de AWS en su nombre.
Un rol vinculado a servicios hace que la configuración de Generador de Imágenes sea más eficiente, porque no tiene que añadir manualmente los permisos necesarios. Generador de Imágenes define los permisos de sus roles vinculados a servicios y, a menos que se defina de otra manera, solo Generador de Imágenes puede asumir sus roles. Los permisos definidos incluyen la política de confianza y la política de permisos. La política de permisos no se puede asociar a ninguna otra entidad de IAM.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte los [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los que muestran **Sí** en la columna **Rol vinculado a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados a servicios de Generador de Imágenes
Image Builder utiliza la función **AWSServiceRoleForImageBuilder**vinculada al servicio para permitir que EC2 Image Builder acceda a AWS los recursos en su nombre. El rol vinculado a servicios confía en el servicio *imagebuilder.amazonaws.com* para asumir el rol.
No es necesario crear manualmente este rol vinculado a servicios. Cuando crea su primera imagen de Image Builder en la consola AWS de administración AWS CLI, la o la AWS API, Image Builder crea el rol vinculado al servicio por usted.
Las siguientes acciones crean una nueva imagen:
+ Ejecutar el asistente de canalización en la consola de Generador de Imágenes para crear una imagen personalizada.
+ Utilice una de las siguientes acciones de la API o el comando correspondiente AWS CLI :
+ La acción de la **[CreateImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_CreateImage.html)** API (**[create-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/create-image.html)**en AWS CLI).
+ La acción de la **[ImportVmImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_ImportVmImage.html)** API (**[import-vm-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/import-vm-image.html)**en AWS CLI).
+ La acción de la **[StartImagePipelineExecution](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_StartImagePipelineExecution.html)** API (**[start-image-pipeline-execution](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/start-image-pipeline-execution.html)**en AWS CLI).
**importante**
Si se elimina de su cuenta el rol vinculado a servicios, puede utilizar el mismo proceso para volver a crearlo. Cuando se crea el primer recurso de Generador de Imágenes de EC2, Generador de Imágenes crea el rol vinculado a servicios de nuevo.
Para ver los permisos para **AWSServiceRoleForImageBuilder**, consulte la página [Política AWSServiceRoleForImageBuilder](security-iam-awsmanpol.md#sec-iam-manpol-AWSServiceRoleForImageBuilder). Para obtener más información sobre cómo configurar los permisos para un rol vinculado a servicios, consulte [Permisos de rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Cómo eliminar un rol vinculado a servicios de Generador de Imágenes de su cuenta
Puede utilizar la consola de IAM AWS CLI, la o la AWS API para eliminar manualmente de su cuenta el rol vinculado al servicio de Image Builder. Sin embargo, antes de hacerlo, debe asegurarse de que no haya recursos de Generador de Imágenes habilitados que hagan referencia a este.
**nota**
Si el servicio de Generador de Imágenes está utilizando el rol cuando intenta eliminar los recursos, es posible que no se pueda eliminar. En tal caso, espere unos minutos e intente de nuevo la operación.
**Limipieza de los recursos de Generador de Imágenes utilizados por el rol `AWSServiceRoleForImageBuilder`**
1. Compruebe que no se esté ejecutando ninguna compilación de canalización antes de empezar. Para cancelar una compilación en ejecución, use el comando `cancel-image-creation` de la AWS CLI.
```
aws imagebuilder cancel-image-creation --image-build-version-arn arn:aws:imagebuilder:us-east-1:123456789012:image-pipeline/sample-pipeline
```
1. Cambie todos los cronogramas de canalización para usar un proceso de compilación manual o elimínelos si no los va a volver a usar. Para obtener más información sobre cómo eliminas recursos, consulte [Eliminación de recursos de Generador de imágenes obsoletos o no utilizados](delete-resources.md).
**Cómo eliminar el rol vinculado a servicios con IAM**
Puede utilizar la consola de IAM AWS CLI, la o la AWS API para eliminar el `AWSServiceRoleForImageBuilder` rol de su cuenta. Para obtener más información, consulte [Eliminar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para los roles vinculados a servicios de Generador de imágenes
Image Builder admite el uso de funciones vinculadas a servicios en todas las AWS regiones en las que el servicio esté disponible. Para ver la lista de AWS regiones compatibles, consulte. [AWS Regiones y puntos de enlace](what-is-image-builder.md#image-builder-regions)
# Solución de problemas de IAM en Generador de imágenes
**Topics**
+ [No tengo autorización para realizar una acción en Generador de Imágenes.](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar tareas como: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de Image Builder](#security_iam_troubleshoot-cross-account-access)
## No tengo autorización para realizar una acción en Generador de Imágenes.
Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `imagebuilder:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: imagebuilder:GetWidget on resource: my-example-widget
```
En este caso, la política del usuario `mateojackson` debe actualizarse para permitir el acceso al recurso `my-example-widget` mediante la acción `imagebuilder:GetWidget`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## No estoy autorizado a realizar tareas como: PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, se deben actualizar las políticas a fin de permitirle pasar un rol a Generador de Imágenes.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en Generador de Imágenes. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de Image Builder
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puede utilizar esas políticas para permitir que las personas accedan a sus recursos.
Para obtener más información, consulte lo siguiente:
+ Para conocer si Generador de Imágenes admite estas características, consulte [Funcionamiento del Generador de imágenes con las políticas y roles de IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Validación de conformidad para Image Builder
EC2 Image Builder no está incluido en el ámbito de AWS ningún programa de conformidad.
Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de conformidad específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
Puede incorporar productos de conformidad de () AWS Marketplace o componentes de Ejecutor y orquestador de tareas de AWS (TOE de AWS) en sus imágenes de Image Builder para garantizar que sus imágenes sean conformes. Para obtener más información, consulte [Productos de conformidad para sus imágenes de Generador de Imágenes](integ-compliance-products.md).
# Redundancia y resiliencia de datos en Generador de imágenes
La infraestructura AWS global se basa en AWS regiones y zonas de disponibilidad. AWS Las regiones proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de uno o varios centros de datos.
El servicio EC2 Image Builder le permite distribuir imágenes creadas en una región con otras regiones, lo que les proporciona resiliencia multirregional. AMIs No existe ningún mecanismo para “hacer copias de seguridad” del flujo, recetas o componentes de imágenes. Puede almacenar los documentos de recetas y componentes fuera del servicio Generador de Imágenes, por ejemplo, en un bucket de Amazon S3.
Generador de Imágenes de EC2 no se puede configurar para alta disponibilidad (HA). Puede distribuir imágenes en varias regiones para aumentar la disponibilidad de las imágenes.
[Para obtener más información sobre AWS las regiones y las zonas de disponibilidad, consulte AWS Infraestructura global.](https://aws.amazon.com/about-aws/global-infrastructure/)
# Seguridad de la infraestructura en Generador de Imágenes
La red AWS global proporciona capacidades de seguridad y controla el acceso a la red para servicios como EC2 Image Builder. Para obtener más información sobre la seguridad de infraestructura que AWS proporciona a sus servicios, consulte la sección [Seguridad de la infraestructura](https://docs.aws.amazon.com/whitepapers/latest/introduction-aws-security/infrastructure-security.html) en el documento técnico *Introducción a la seguridad de AWS *.
Para enviar solicitudes a través de la red AWS global de acciones de la API Image Builder, el software de su cliente debe cumplir con las siguientes pautas de seguridad:
+ Para enviar solicitudes de acciones de la API Generador de Imágenes, el software cliente debe usar una versión compatible de seguridad de la capa de transporte (TLS).
**nota**
AWS está eliminando gradualmente la compatibilidad con las versiones 1.0 y 1.1 de TLS. Le recomendamos encarecidamente que actualice el software cliente para que utilice la versión 1.2 o posterior de TLS, de modo que pueda seguir conectándose. Para obtener más información, consulte esta [entrada de blog de seguridad de AWS](https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/).
+ El software cliente también debe ser compatible con conjuntos de cifrado con confidencialidad directa total (PFS), como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas actuales, como Java 7 y posteriores, son compatibles con estos modos.
+ Debe firmar sus solicitudes de API con un identificador de clave de acceso y una clave de acceso secreta que estén asociadas a una entidad principal AWS Identity and Access Management (IAM). También puede utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) para generar credenciales de seguridad temporales para sus solicitudes.
Además, las instancias EC2 que Generador de Imágenes utiliza para crear y probar imágenes deben tener acceso a AWS Systems Manager.
# Administración de parches para imágenes de Generador de imágenes
AWS proporciona actualizaciones gestionadas AMIs cada mes con las últimas actualizaciones y parches de seguridad aplicados a los siguientes sistemas operativos. Puede utilizarlos AMIs como imagen base para sus personalizaciones. Para obtener más información, consulte [Sistemas operativos compatibles](what-is-image-builder.md#image-builder-os).
+ Distribuciones de Linux, incluidas Amazon Linux 2 AL2023, Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu y SUSE Linux Enterprise Server
+ Windows Server 2016 y versiones posteriores
+ macOS 10.14.x y versiones posteriores
Tras crear una imagen personalizada, es responsable de aplicar los parches al sistema Amazon EC2, según el [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/). Si las instancias EC2 de la carga de trabajo de la aplicación se pueden reemplazar fácilmente, lo más eficiente podría ser actualizar la AMI base y volver a implementar todos los nodos de procesamiento en función de esta imagen.
**nota**
Para aplicar parches a macOS, le recomendamos que cree una nueva versión de la receta que utilice la última AMI administrada para la imagen base y, a continuación, cree una imagen personalizada actualizada a partir de la receta y del resto de los recursos de generación de imágenes. Si las instancias de Mac no se sustituyen fácilmente, consulte la página [Actualizar el sistema operativo y el software en las instancias de Mac](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/mac-instance-updates.html) en la *Guía del usuario de Amazon EC2* para obtener más información.
Las siguientes son dos formas de mantener actualizado el Image Builder AMIs .
+ **Componentes de parches proporcionados de AWS**: Generador de Imágenes de EC2 proporciona los siguientes componentes de generación que instalan todas las actualizaciones pendientes del sistema operativo:
+ `update-linux`
+ `update-windows`
Estos componentes utilizan el módulo de acción `UpdateOS`. Para obtener más información, consulte [Actualizar OS](toe-action-modules.md#action-modules-updateos). Los componentes se pueden añadir a los procesos de creación de imágenes seleccionándolos de la lista de componentes proporcionados de AWS.
+ **Componentes de compilación personalizados con operaciones de aplicación de parches**: para instalar o actualizar los parches de forma selectiva en los sistemas operativos compatibles AMIs, puede crear un componente de Image Builder para instalar los parches necesarios. Un componente personalizado puede instalar los parches mediante scripts de shell (Bash o PowerShell), o puede usar el módulo de `UpdateOS` acción para especificar los parches para su instalación o exclusión. Para obtener más información, consulte [Módulos de acción compatibles con el administrador de TOE de AWS componentes](toe-action-modules.md).
Componente que usa el módulo de acción `UpdateOS` (solo para Linux y Windows. El módulo de acción `UpdateOS` no es compatible con macOS.)
```
schemaVersion: 1.0
phases:
- name: build
steps:
- name: UpdateOS
action: UpdateOS
```
Componente que usa Bash para instalar las actualizaciones de yum
```
schemaVersion: 1.0
phases:
- name: build
steps:
- name: InstallYumUpdates
action: ExecuteBash
inputs:
commands:
- sudo yum update -y
```
# Prácticas recomendadas de seguridad para Generador de imágenes
Generador de Imágenes de EC2 proporciona un número de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.
+ No utilice grupos de seguridad demasiado permisivos en las recetas de Generador de Imágenes.
+ No comparta imágenes con cuentas en las que no confíe.
+ No publique imágenes que contengan datos privados o confidenciales.
+ Aplique todos los parches de seguridad disponibles para Windows o Linux durante la creación de imágenes.
+ Aplica periódicamente actualizaciones de AMI administradas a sus recetas de macOS y genera nuevas imágenes para lanzar instancias que tengan los últimos parches de seguridad.
Le recomendamos encarecidamente que pruebe las imágenes para validar la postura de seguridad y los niveles de cumplimiento de seguridad aplicables. Soluciones como [Amazon Inspector](https://aws.amazon.com/inspector/) pueden ayudar a validar la postura de seguridad y conformidad de las imágenes.
**IMDSv2 para canalizaciones de Image Builder**
Cuando se ejecuta la canalización de Generador de Imágenes, esta envía solicitudes HTTP para lanzar instancias de EC2 que Generador de Imágenes utiliza para crear y probar su imagen. Para configurar la versión de IMDS que utiliza su canalización para las solicitudes de lanzamiento, defina el parámetro `httpTokens` en los ajustes de metadatos de la instancia de configuración de infraestructura de Generador de Imágenes.
**nota**
Le recomendamos que configure todas las instancias de EC2 que Image Builder lance desde una compilación de canalización para IMDSv2 que las solicitudes de recuperación de metadatos de las instancias requieran un encabezado de token firmado.
Para obtener más información acerca de la configuración de la infraestructura de Generador de Imágenes, consulte [Administre la configuración de la infraestructura de Generador de imágenes](manage-infra-config.md). Para obtener más información acerca de las opciones de metadatos de la instancia de EC2 para imágenes de Linux, consulte [Configuración de las opciones del servicio de metadatos de instancias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) en la Guía del usuario de Amazon EC2. Para obtener imágenes de Windows, consulte [Configuración de las opciones del servicio de metadatos de instancias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) en la Guía del usuario de Amazon EC2.
## Limpieza posterior a la creación necesaria
Una vez que Generador de Imágenes complete todos los pasos de creación de la imagen personalizada, Generador de Imágenes prepara la instancia de creación para probarla y crear la imagen. Antes de cerrar la instancia de creación para crear la instantánea, Generador de Imágenes realiza la siguiente limpieza para garantizar la seguridad de la imagen:
------
#### [ Linux ]
La canalización de Generador de Imágenes ejecuta un script de limpieza para garantizar que la imagen final siga las mejores prácticas de seguridad y para eliminar cualquier artefacto de creación o configuración que no deba transferirse a la instantánea. Sin embargo, puede omitir secciones del script o anular por completo los datos del usuario. Por lo tanto, las imágenes producidas por las canalizaciones de Generador de Imágenes no cumplen necesariamente con ningún criterio reglamentario específico.
Cuando la canalización finaliza sus etapas de creación y prueba, Generador de Imágenes ejecuta automáticamente el siguiente script de limpieza justo antes de crear la imagen de salida.
**importante**
Si anula los **datos de usuario** en su receta, el script no se ejecutará. En ese caso, asegúrese de incluir un comando en sus datos de usuario que cree un archivo vacío llamado `perform_cleanup`. Generador de Imágenes detecta este archivo y ejecuta el script de limpieza antes de crear la nueva imagen.
```
#!/bin/bash
if [[ ! -f {{workingDirectory}}/perform_cleanup ]]; then
echo "Skipping cleanup"
exit 0
else
sudo rm -f {{workingDirectory}}/perform_cleanup
fi
function cleanup() {
FILES=("$@")
for FILE in "${FILES[@]}"; do
if [[ -f "$FILE" ]]; then
echo "Deleting $FILE";
sudo shred -zuf $FILE;
fi;
if [[ -f $FILE ]]; then
echo "Failed to delete '$FILE'. Failing."
exit 1
fi;
done
};
# Clean up for cloud-init files
CLOUD_INIT_FILES=(
"/etc/sudoers.d/90-cloud-init-users"
"/etc/locale.conf"
"/var/log/cloud-init.log"
"/var/log/cloud-init-output.log"
)
if [[ -f {{workingDirectory}}/skip_cleanup_cloudinit_files ]]; then
echo "Skipping cleanup of cloud init files"
else
echo "Cleaning up cloud init files"
cleanup "${CLOUD_INIT_FILES[@]}"
if [[ $( sudo find /var/lib/cloud -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting files within /var/lib/cloud/*"
sudo find /var/lib/cloud -type f -exec shred -zuf {} \;
fi;
if [[ $( sudo ls /var/lib/cloud | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/lib/cloud/*"
sudo rm -rf /var/lib/cloud/* || true
fi;
fi;
# Clean up for temporary instance files
INSTANCE_FILES=(
"/etc/.updated"
"/etc/aliases.db"
"/etc/hostname"
"/var/lib/misc/postfix.aliasesdb-stamp"
"/var/lib/postfix/master.lock"
"/var/spool/postfix/pid/master.pid"
"/var/.updated"
"/var/cache/yum/x86_64/2/.gpgkeyschecked.yum"
)
if [[ -f {{workingDirectory}}/skip_cleanup_instance_files ]]; then
echo "Skipping cleanup of instance files"
else
echo "Cleaning up instance files"
cleanup "${INSTANCE_FILES[@]}"
fi;
# Clean up for ssh files
SSH_FILES=(
"/etc/ssh/ssh_host_rsa_key"
"/etc/ssh/ssh_host_rsa_key.pub"
"/etc/ssh/ssh_host_ecdsa_key"
"/etc/ssh/ssh_host_ecdsa_key.pub"
"/etc/ssh/ssh_host_ed25519_key"
"/etc/ssh/ssh_host_ed25519_key.pub"
"/root/.ssh/authorized_keys"
)
if [[ -f {{workingDirectory}}/skip_cleanup_ssh_files ]]; then
echo "Skipping cleanup of ssh files"
else
echo "Cleaning up ssh files"
cleanup "${SSH_FILES[@]}"
USERS=$(ls /home/)
for user in $USERS; do
echo Deleting /home/"$user"/.ssh/authorized_keys;
sudo find /home/"$user"/.ssh/authorized_keys -type f -exec shred -zuf {} \;
done
for user in $USERS; do
if [[ -f /home/"$user"/.ssh/authorized_keys ]]; then
echo Failed to delete /home/"$user"/.ssh/authorized_keys;
exit 1
fi;
done;
fi;
# Clean up for instance log files
INSTANCE_LOG_FILES=(
"/var/log/audit/audit.log"
"/var/log/boot.log"
"/var/log/dmesg"
"/var/log/cron"
)
if [[ -f {{workingDirectory}}/skip_cleanup_instance_log_files ]]; then
echo "Skipping cleanup of instance log files"
else
echo "Cleaning up instance log files"
cleanup "${INSTANCE_LOG_FILES[@]}"
fi;
# Clean up for TOE files
if [[ -f {{workingDirectory}}/skip_cleanup_toe_files ]]; then
echo "Skipping cleanup of TOE files"
else
echo "Cleaning TOE files"
if [[ $( sudo find {{workingDirectory}}/TOE_* -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within {{workingDirectory}}/TOE_*"
sudo find {{workingDirectory}}/TOE_* -type f -exec shred -zuf {} \;
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete {{workingDirectory}}/TOE_*"
exit 1
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type d | sudo wc -l) -gt 0 ]]; then
echo "Deleting {{workingDirectory}}/TOE_*"
sudo rm -rf {{workingDirectory}}/TOE_*
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type d | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete {{workingDirectory}}/TOE_*"
exit 1
fi
fi
# Clean up for ssm log files
if [[ -f {{workingDirectory}}/skip_cleanup_ssm_log_files ]]; then
echo "Skipping cleanup of ssm log files"
else
echo "Cleaning up ssm log files"
if [[ $( sudo find /var/log/amazon/ssm -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within /var/log/amazon/ssm/*"
sudo find /var/log/amazon/ssm -type f -exec shred -zuf {} \;
fi
if [[ $( sudo find /var/log/amazon/ssm -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete /var/log/amazon/ssm"
exit 1
fi
if [[ -d "/var/log/amazon/ssm" ]]; then
echo "Deleting /var/log/amazon/ssm/*"
sudo rm -rf /var/log/amazon/ssm
fi
if [[ -d "/var/log/amazon/ssm" ]]; then
echo "Failed to delete /var/log/amazon/ssm"
exit 1
fi
fi
if [[ $( sudo find /var/log/sa/sa* -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/log/sa/sa*"
sudo shred -zuf /var/log/sa/sa*
fi
if [[ $( sudo find /var/log/sa/sa* -type f | sudo wc -l ) -gt 0 ]]; then
echo "Failed to delete /var/log/sa/sa*"
exit 1
fi
if [[ $( sudo find /var/lib/dhclient/dhclient*.lease -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/lib/dhclient/dhclient*.lease"
sudo shred -zuf /var/lib/dhclient/dhclient*.lease
fi
if [[ $( sudo find /var/lib/dhclient/dhclient*.lease -type f | sudo wc -l ) -gt 0 ]]; then
echo "Failed to delete /var/lib/dhclient/dhclient*.lease"
exit 1
fi
if [[ $( sudo find /var/tmp -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within /var/tmp/*"
sudo find /var/tmp -type f -exec shred -zuf {} \;
fi
if [[ $( sudo find /var/tmp -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete /var/tmp"
exit 1
fi
if [[ $( sudo ls /var/tmp | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/tmp/*"
sudo rm -rf /var/tmp/*
fi
# Shredding is not guaranteed to work well on rolling logs
if [[ -f "/var/lib/rsyslog/imjournal.state" ]]; then
echo "Deleting /var/lib/rsyslog/imjournal.state"
sudo shred -zuf /var/lib/rsyslog/imjournal.state
sudo rm -f /var/lib/rsyslog/imjournal.state
fi
if [[ $( sudo ls /var/log/journal/ | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/log/journal/*"
sudo find /var/log/journal/ -type f -exec shred -zuf {} \;
sudo rm -rf /var/log/journal/*
fi
sudo touch /etc/machine-id
```
------
#### [ Windows ]
Una vez que la canalización de Generador de imágenes personalice las imágenes de Windows, ejecuta el servicio [Sysprep](https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/sysprep--generalize--a-windows-installation?view=windows-11) de Microsoft. Estas acciones siguen las [prácticas AWS recomendadas para endurecer y limpiar la imagen](https://aws.amazon.com/articles/public-ami-publishing-hardening-and-clean-up-requirements/).
------
#### [ macOS ]
La canalización de Generador de Imágenes ejecuta un script de limpieza para garantizar que la imagen final siga las mejores prácticas de seguridad y para eliminar cualquier artefacto de creación o configuración que no deba transferirse a la instantánea. Sin embargo, puede omitir secciones del script o anular por completo los datos del usuario. Por lo tanto, las imágenes producidas por las canalizaciones de Generador de Imágenes no cumplen necesariamente con ningún criterio reglamentario específico.
Cuando la canalización finaliza sus etapas de creación y prueba, Generador de Imágenes ejecuta automáticamente el siguiente script de limpieza justo antes de crear la imagen de salida.
**importante**
Si anula los **datos de usuario** en su receta, el script no se ejecutará. En ese caso, asegúrese de incluir un comando en sus datos de usuario que cree un archivo vacío llamado `perform_cleanup`. Generador de Imágenes detecta este archivo y ejecuta el script de limpieza antes de crear la nueva imagen.
```
#!/bin/bash
if [[ ! -f {{workingDirectory}}/perform_cleanup ]]; then
echo "Skipping cleanup"
exit 0
else
sudo rm -f {{workingDirectory}}/perform_cleanup
fi
function cleanup() {
FILES=("$@")
for FILE in "${FILES[@]}"; do
if [[ -f "$FILE" ]]; then
echo "Deleting $FILE";
sudo rm -f $FILE;
fi;
if [[ -f $FILE ]]; then
echo "Failed to delete '$FILE'. Failing."
exit 1
fi;
done
};
# Clean up for cloud-init files
CLOUD_INIT_FILES=(
"/etc/sudoers.d/90-cloud-init-users"
"/etc/locale.conf"
"/var/log/cloud-init.log"
"/var/log/cloud-init-output.log"
)
if [[ -f {{workingDirectory}}/skip_cleanup_cloudinit_files ]]; then
echo "Skipping cleanup of cloud init files"
else
echo "Cleaning up cloud init files"
cleanup "${CLOUD_INIT_FILES[@]}"
if [[ $( sudo find /var/lib/cloud -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting files within /var/lib/cloud/*"
sudo find /var/lib/cloud -type f -exec rm -f {} \;
fi;
if [[ $( sudo ls /var/lib/cloud | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/lib/cloud/*"
sudo rm -rf /var/lib/cloud/* || true
fi;
fi;
# Clean up for temporary instance files
INSTANCE_FILES=(
"/etc/.updated"
"/etc/aliases.db"
"/etc/hostname"
"/var/lib/misc/postfix.aliasesdb-stamp"
"/var/lib/postfix/master.lock"
"/var/spool/postfix/pid/master.pid"
"/var/.updated"
"/var/cache/yum/x86_64/2/.gpgkeyschecked.yum"
)
if [[ -f {{workingDirectory}}/skip_cleanup_instance_files ]]; then
echo "Skipping cleanup of instance files"
else
echo "Cleaning up instance files"
cleanup "${INSTANCE_FILES[@]}"
fi;
# Clean up for ssh files
SSH_FILES=(
"/etc/ssh/ssh_host_rsa_key"
"/etc/ssh/ssh_host_rsa_key.pub"
"/etc/ssh/ssh_host_ecdsa_key"
"/etc/ssh/ssh_host_ecdsa_key.pub"
"/etc/ssh/ssh_host_ed25519_key"
"/etc/ssh/ssh_host_ed25519_key.pub"
"/root/.ssh/authorized_keys"
)
if [[ -f {{workingDirectory}}/skip_cleanup_ssh_files ]]; then
echo "Skipping cleanup of ssh files"
else
echo "Cleaning up ssh files"
cleanup "${SSH_FILES[@]}"
USERS=$(ls /home/)
for user in $USERS; do
echo Deleting /home/"$user"/.ssh/authorized_keys;
sudo find /home/"$user"/.ssh/authorized_keys -type f -exec rm -f {} \;
done
for user in $USERS; do
if [[ -f /home/"$user"/.ssh/authorized_keys ]]; then
echo Failed to delete /home/"$user"/.ssh/authorized_keys;
exit 1
fi;
done;
fi;
# Clean up for instance log files
INSTANCE_LOG_FILES=(
"/var/log/audit/audit.log"
"/var/log/boot.log"
"/var/log/dmesg"
"/var/log/cron"
"/var/log/amazon/ec2/ec2-macos-init.log"
"/var/log/amazon/ec2/ena-ethernet.log"
"/var/log/amazon/ec2/system-monitoring.log"
)
if [[ -f {{workingDirectory}}/skip_cleanup_instance_log_files ]]; then
echo "Skipping cleanup of instance log files"
else
echo "Cleaning up instance log files"
cleanup "${INSTANCE_LOG_FILES[@]}"
fi;
# Clean up for TOE files
if [[ -f {{workingDirectory}}/skip_cleanup_toe_files ]]; then
echo "Skipping cleanup of TOE files"
else
echo "Cleaning TOE files"
if [[ $( sudo find {{workingDirectory}}/TOE_* -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within {{workingDirectory}}/TOE_*"
sudo find {{workingDirectory}}/TOE_* -type f -exec rm -f {} \;
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete {{workingDirectory}}/TOE_*"
exit 1
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type d | sudo wc -l) -gt 0 ]]; then
echo "Deleting {{workingDirectory}}/TOE_*"
sudo rm -rf {{workingDirectory}}/TOE_*
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type d | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete {{workingDirectory}}/TOE_*"
exit 1
fi
fi
# Clean up for ssm log files
if [[ -f {{workingDirectory}}/skip_cleanup_ssm_log_files ]]; then
echo "Skipping cleanup of ssm log files"
else
echo "Cleaning up ssm log files"
if [[ $( sudo find /var/log/amazon/ssm -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within /var/log/amazon/ssm/*"
sudo find /var/log/amazon/ssm -type f -exec rm -f {} \;
fi
if [[ $( sudo find /var/log/amazon/ssm -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete /var/log/amazon/ssm"
exit 1
fi
if [[ -d "/var/log/amazon/ssm" ]]; then
echo "Deleting /var/log/amazon/ssm/*"
sudo rm -rf /var/log/amazon/ssm
fi
if [[ -d "/var/log/amazon/ssm" ]]; then
echo "Failed to delete /var/log/amazon/ssm"
exit 1
fi
fi
if [[ $( sudo find /var/log/sa/sa* -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/log/sa/sa*"
sudo rm -f /var/log/sa/sa*
fi
if [[ $( sudo find /var/log/sa/sa* -type f | sudo wc -l ) -gt 0 ]]; then
echo "Failed to delete /var/log/sa/sa*"
exit 1
fi
if [[ $( sudo find /var/lib/dhclient/dhclient*.lease -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/lib/dhclient/dhclient*.lease"
sudo rm -f /var/lib/dhclient/dhclient*.lease
fi
if [[ $( sudo find /var/lib/dhclient/dhclient*.lease -type f | sudo wc -l ) -gt 0 ]]; then
echo "Failed to delete /var/lib/dhclient/dhclient*.lease"
exit 1
fi
if [[ $( sudo find /var/tmp -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within /var/tmp/*"
sudo find /var/tmp -type f -exec rm -f {} \;
fi
if [[ $( sudo find /var/tmp -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete /var/tmp"
exit 1
fi
if [[ $( sudo ls /var/tmp | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/tmp/*"
sudo rm -rf /var/tmp/*
fi
# Shredding is not guaranteed to work well on rolling logs
if [[ -f "/var/lib/rsyslog/imjournal.state" ]]; then
echo "Deleting /var/lib/rsyslog/imjournal.state"
sudo rm -f /var/lib/rsyslog/imjournal.state
sudo rm -f /var/lib/rsyslog/imjournal.state
fi
if [[ $( sudo ls /var/log/journal/ | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/log/journal/*"
sudo find /var/log/journal/ -type f -exec rm -f {} \;
sudo rm -rf /var/log/journal/*
fi
sudo touch /etc/machine-id
```
------
## Anule el script de limpieza de Linux.
Generador de Imágenes crea imágenes que son seguras de forma predeterminada y siguen nuestras prácticas recomendadas de seguridad. Sin embargo, algunos casos de uso más avanzados pueden requerir que omita una o más secciones del script de limpieza integrado. Si necesita omitir parte de la limpieza, le recomendamos encarecidamente que pruebe la AMI de salida para garantizar la seguridad de su imagen.
**importante**
Si se omiten secciones del script de limpieza, es posible que información confidencial, como los detalles de la cuenta del propietario o las claves SSH, se incluya en la imagen final y, en cualquier instancia que se lance desde esa imagen. También es posible que tenga problemas con el lanzamiento en distintas zonas de disponibilidad, regiones o cuentas.
En la siguiente tabla se describen las secciones del script de limpieza, los archivos que se eliminan en esa sección y los nombres de archivo que puede utilizar para marcar una sección que Generador de Imágenes debe omitir. Para omitir una sección específica del script de limpieza, puede utilizar el módulo de acción del componente [CreateFile](toe-action-modules.md#action-modules-createfile) o un comando de los datos de usuario (si es incorrecto) para crear un archivo vacío con el nombre especificado en la columna **Omitir el nombre del archivo de la sección**.
**nota**
Los archivos que cree para omitir una sección del script de limpieza no deben incluir una extensión del archivo. Por ejemplo, si desea omitir la sección `CLOUD_INIT_FILES` del script, pero crea un archivo denominado `skip_cleanup_cloudinit_files.txt`, Generador de Imágenes no reconocerá el archivo omitido.
**Input**
| Sección de limpieza | Archivos eliminados | Omita el nombre del archivo de la sección. |
| --- | --- | --- |
| `CLOUD_INIT_FILES` | `/etc/sudoers.d/90-cloud-init-users` `/etc/locale.conf` `/var/log/cloud-init.log` `/var/log/cloud-init-output.log` | `skip_cleanup_cloudinit_files` |
| `INSTANCE_FILES` | `/etc/.updated` `/etc/aliases.db` `/etc/hostname` `/var/lib/misc/postfix.aliasesdb-stamp` `/var/lib/postfix/master.lock` `/var/spool/postfix/pid/master.pid` `/var/.updated` `/var/cache/yum/x86_64/2/.gpgkeyschecked.yum` | `skip_cleanup_instance_files` |
| `SSH_FILES` | `/etc/ssh/ssh_host_rsa_key` `/etc/ssh/ssh_host_rsa_key.pub` `/etc/ssh/ssh_host_ecdsa_key` `/etc/ssh/ssh_host_ecdsa_key.pub` `/etc/ssh/ssh_host_ed25519_key` `/etc/ssh/ssh_host_ed25519_key.pub` `/root/.ssh/authorized_keys` `/home//.ssh/authorized_keys;` | `skip_cleanup_ssh_files` |
| `INSTANCE_LOG_FILES` | `/var/log/audit/audit.log` `/var/log/boot.log` `/var/log/dmesg` `/var/log/cron` | `skip_cleanup_instance_log_files` |
| `TOE_FILES` | `{{workingDirectory}}/TOE_*` | `skip_cleanup_toe_files` |
| `SSM_LOG_FILES` | `/var/log/amazon/ssm/*` | `skip_cleanup_ssm_log_files` |