Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Use políticas AWS administradas para EC2 Image Builder
Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
Política AWSImageBuilderFullAccess
La política AWSImageBuilderFullAccess otorga acceso total a los recursos de Generador de Imágenes de EC2 para el rol al que está asociado, lo que permite al rol enumerar, describir, crear, actualizar y eliminar los recursos de Generador de Imágenes. La política también otorga permisos específicos a los relacionados Servicios de AWS que sean necesarios, por ejemplo, para verificar los recursos o para mostrar los recursos actuales de la cuenta en AWS Management Console.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
Generador de Imágenes: se concede acceso administrativo para que el rol pueda enumerar, describir, crear, actualizar y eliminar los recursos de Generador de Imágenes de EC2.
-
Amazon EC2: se concede acceso a las acciones de Amazon EC2 Describe necesarias para verificar la existencia de los recursos u obtener listas de los recursos que pertenecen a la cuenta.
-
IAM: se concede acceso para obtener y utilizar perfiles de instancia cuyo nombre contenga “imagebuilder”, para comprobar la existencia del rol vinculado al servicio de Generador de Imágenes de EC2 mediante la acción de la API
iam:GetRoley para crear el rol vinculado a servicios de Generador de Imágenes de EC2. -
License Manager: se concede acceso para enumerar las configuraciones de licencia o las licencias de un recurso.
-
Amazon S3: se concede acceso a los buckets de listas que pertenecen a la cuenta y también a los buckets de Generador de Imágenes de EC2 con “imagebuilder” en sus nombres.
-
Amazon SNS: se conceden permisos de escritura a Amazon SNS para verificar la propiedad de los temas que contienen “imagebuilder”.
Para ver los permisos de esta política, consulte AWSImageBuilderFullAccess en la Referencia de la política administrada de AWS .
Política AWSImageBuilderReadOnlyAccess
La política AWSImageBuilderReadOnlyAccess proporciona acceso de solo lectura a todos los recursos de Generador de Imágenes. Se conceden permisos para comprobar que el rol vinculado a servicios de Generador de Imágenes de EC2 existe mediante la acción de la API iam:GetRole.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
Generador de Imágenes: se concede acceso para el acceso de solo lectura a los recursos de Generador de Imágenes.
-
IAM: se concede acceso para verificar la existencia del rol vinculado a servicios de Generador de Imágenes de EC2 mediante la acción de la API
iam:GetRole.
Para ver los permisos de esta política, consulte AWSImageBuilderReadOnlyAccess en la Referencia de la política administrada de AWS .
Política AWSServiceRoleForImageBuilder
La AWSServiceRoleForImageBuilderpolítica permite a Image Builder llamar Servicios de AWS en su nombre.
Detalles de los permisos
Esta política se asocia al rol vinculado a servicios de Generador de Imágenes de EC2 cuando el rol se crea a través de Systems Manager. Para obtener más información sobre el rol vinculado a servicios de Generador de Imágenes, consulte Uso de roles vinculados a servicios de IAM para Generador de imágenes.
La política incluye los siguientes permisos:
-
CloudWatch Registros: se permite el acceso para crear y cargar CloudWatch registros en cualquier grupo de registros cuyo nombre comience por
/aws/imagebuilder/. -
Amazon EC2: Image Builder tiene acceso para crear, tomar instantáneas y registrar las imágenes que cree (AMIs) y lanzar EC2 instancias en su cuenta. Image Builder utiliza instantáneas, volúmenes, interfaces de red, subredes, grupos de seguridad, configuración de licencias y pares de claves relacionados según sea necesario, siempre que la imagen, la instancia y los volúmenes que se estén creando o utilizando estén etiquetados con
CreatedBy: EC2 Image Buildero.CreatedBy: EC2 Fast LaunchImage Builder puede obtener información sobre EC2 las imágenes de Amazon, los atributos de las instancias, el estado de las instancias, los tipos de instancias disponibles para su cuenta, las plantillas de lanzamiento, las subredes, los hosts y las etiquetas de sus EC2 recursos de Amazon.
Generador de Imágenes puede actualizar la configuración de imágenes para permitir o deshabilitar el inicio más rápido de las instancias de Windows en su cuenta, cuando la imagen tenga la etiqueta
CreatedBy: EC2 Image Builder.Además, Generador de Imágenes puede iniciar, detener y finalizar las instancias que se ejecuten en su cuenta, compartir instantáneas de Amazon EBS, crear y actualizar imágenes y plantillas de lanzamiento, anular el registro de imágenes existentes, añadir etiquetas y replicar imágenes en cuentas a las que haya concedido permisos mediante la política Ec2ImageBuilderCrossAccountDistributionAccess. El etiquetado de Generador de Imágenes es necesario para todas estas acciones, como se describió anteriormente.
-
Amazon ECR: se concede acceso a Generador de Imágenes para crear un repositorio, si es necesario, para escanear las vulnerabilidades de las imágenes de contenedor y etiquetar los recursos que crea para limitar el alcance de sus operaciones. También se concede acceso a Generador de Imágenes para eliminar las imágenes de contenedor que creó para los escaneos después de tomar instantáneas de las vulnerabilidades.
-
EventBridge— Se concede acceso a Image Builder para crear y gestionar EventBridge reglas.
-
IAM: se concede acceso a Image Builder para transferir cualquier rol de su cuenta a Amazon EC2 y a VM Import/Export.
-
Amazon Inspector: se concede acceso a Generador de Imágenes para determinar cuándo Amazon Inspector completa los escaneos de las instancias de compilación y para recopilar los resultados de las imágenes que están configuradas para permitirlo.
-
AWS KMS: se concede acceso a Amazon EBS para cifrar, descifrar o volver a cifrar los volúmenes de Amazon EBS. Esto es crucial para garantizar que los volúmenes cifrados funcionen cuando Generador de Imágenes compile una imagen.
-
License Manager: se permite el acceso a Generador de Imágenes para actualizar las especificaciones de License Manager a través de
license-manager:UpdateLicenseSpecificationsForResource. -
Amazon SNS: se conceden permisos de escritura para cualquier tema de Amazon SNS de la cuenta.
-
Systems Manager: se concede acceso a Generador de imágenes para enumerar los comandos de Systems Manager, sus invocaciones y las entradas de inventario, describir la información de las instancias y los estados de ejecución de la automatización, describir los hosts para la compatibilidad con la ubicación de instancias y obtener los detalles de las invocaciones. Generador de Imágenes también puede enviar señales de automatización y detener las ejecuciones de automatización de cualquier recurso en su cuenta.
Generador de Imágenes puede emitir invocaciones de comandos de ejecución en cualquier instancia que esté etiquetada con
"CreatedBy": "EC2 Image Builder"para los siguientes archivos de script:AWS-RunPowerShellScript,AWS-RunShellScriptoAWSEC2-RunSysprep. Generador de Imágenes puede iniciar una ejecución de automatización de Systems Manager en su cuenta para los documentos de automatización cuyo nombre comience conImageBuilder.Generador de Imágenes también puede crear o eliminar asociaciones de State Manager para cualquier instancia en su cuenta, siempre que el documento de asociación sea
AWS-GatherSoftwareInventory, y crear el rol vinculado a servicios de Systems Manager en su cuenta. -
AWS STS: se concede acceso para que Generador de Imágenes asuma los roles denominados EC2ImageBuilderDistributionCrossAccountRole en su cuenta a cualquier cuenta en la que la política de confianza del rol lo permita. Esto se utiliza para la distribución de imágenes entre cuentas.
Para ver los permisos de esta política, consulte AWSServiceRoleForImageBuilder en la Referencia de la política administrada de AWS .
Política Ec2ImageBuilderCrossAccountDistributionAccess
La política Ec2ImageBuilderCrossAccountDistributionAccess concede permisos a Generador de Imágenes para distribuir imágenes entre las cuentas de las regiones de destino. Además, Image Builder puede describir, copiar y aplicar etiquetas a cualquier EC2 imagen de Amazon de la cuenta. La política también permite modificar los permisos de la AMI mediante la acción de la API ec2:ModifyImageAttribute.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
Amazon EC2: Amazon tiene acceso EC2 para describir, copiar y modificar los atributos de una imagen y para crear etiquetas para cualquier EC2 imagen de Amazon de la cuenta.
Para ver los permisos de esta política, consulte Ec2ImageBuilderCrossAccountDistributionAccess en la Referencia de la política administrada de AWS .
Política EC2ImageBuilderLifecycleExecutionPolicy
La EC2ImageBuilderLifecycleExecutionPolicypolítica otorga permisos para que Image Builder lleve a cabo acciones como desaprobar, deshabilitar o eliminar los recursos de imagen de Image Builder y sus recursos subyacentes (AMIsinstantáneas) a fin de respaldar las reglas automatizadas para las tareas de administración del ciclo de vida de las imágenes.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
Amazon EC2: se concede acceso EC2 a Amazon para realizar las siguientes acciones con Amazon Machine Images (AMIs) en la cuenta con la que están etiquetadas
CreatedBy: EC2 Image Builder.-
Habilitar o deshabilitar una AMI.
-
Habilitar o deshabilitar la obsolescencia de imágenes.
-
Describir una AMI y anular su registro.
-
Describir y modificar los atributos de imagen de la AMI.
-
Eliminar las instantáneas de volumen asociadas a la AMI.
-
Recuperar las etiquetas de un recurso.
-
Agregar o eliminar etiquetas de una AMI para su obsolescencia.
-
-
Amazon ECR: se concede acceso a Amazon ECR para realizar las siguientes acciones por lotes en los repositorios de ECR con la etiqueta
LifecycleExecutionAccess: EC2 Image Builder. Las acciones por lotes admiten reglas automatizadas del ciclo de vida de las imágenes de contenedor.-
ecr:BatchGetImage -
ecr:BatchDeleteImage
El acceso se concede en el nivel de repositorio para los repositorios de ECR etiquetados con
LifecycleExecutionAccess: EC2 Image Builder. -
-
AWS Grupos de recursos: se concede acceso a Image Builder para obtener recursos basados en etiquetas.
-
EC2 Image Builder: se concede acceso a Image Builder para eliminar los recursos de imágenes de Image Builder.
Para ver los permisos de esta política, consulte EC2ImageBuilderLifecycleExecutionPolicy en la Referencia de la política administrada de AWS .
Política EC2InstanceProfileForImageBuilder
La EC2InstanceProfileForImageBuilderpolítica concede los permisos mínimos necesarios para que una EC2 instancia funcione con Image Builder. Esto no incluye los permisos necesarios para usar Systems Manager Agent.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
CloudWatch Registros: se permite el acceso para crear y cargar CloudWatch registros en cualquier grupo de registros cuyo nombre comience por
/aws/imagebuilder/. -
Amazon EC2: se concede acceso para describir volúmenes e instantáneas, para crear instantáneas de recursos de volúmenes o instantáneas que creó Image Builder y para crear etiquetas para los recursos de Image Builder.
-
Image Builder: se permite el acceso a cualquier Image Builder o AWS Marketplace componente.
-
AWS KMS— Se concede acceso para descifrar un componente de Image Builder, si se cifró mediante AWS KMS.
-
Amazon S3: el acceso se concede para obtener objetos almacenados en un bucket de Amazon S3 cuyo nombre comience por
ec2imagebuilder-, o recursos que tengan una extensión de archivo ISO.
Para ver los permisos de esta política, consulte EC2InstanceProfileForImageBuilder en la Referencia de la política administrada de AWS .
Política EC2InstanceProfileForImageBuilderECRContainerBuilds
La EC2InstanceProfileForImageBuilderECRContainerBuildspolítica concede los permisos mínimos necesarios para que una EC2 instancia cuando se trabaja con Image Builder cree imágenes de Docker y, a continuación, registre y almacene las imágenes en un repositorio de contenedores de Amazon ECR. Esto no incluye los permisos necesarios para usar Systems Manager Agent.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
CloudWatch Registros: se permite el acceso para crear y cargar CloudWatch registros en cualquier grupo de registros cuyo nombre comience por.
/aws/imagebuilder/ -
Amazon ECR: se concede el acceso a Amazon ECR para obtener, registrar y almacenar una imagen de contenedor y para obtener un token de autorización.
-
Generador de Imágenes: se permite el acceso para obtener un componente o receta de contenedor de Generador de Imágenes.
-
AWS KMS— Se concede acceso para descifrar un componente de Image Builder o una receta de contenedor, si se cifró mediante AWS KMS.
-
Amazon S3: se concede acceso para obtener objetos almacenados en un bucket de Amazon S3 cuyo nombre comience con
ec2imagebuilder-.
Para ver los permisos de esta política, consulte EC2InstanceProfileForImageBuilderECRContainerBuilds en la Referencia de la política administrada de AWS .
Image Builder actualiza las políticas AWS gestionadas
En esta sección se proporciona información sobre las actualizaciones de las políticas AWS gestionadas de Image Builder desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS en la página del historial de documentos de Generador de Imágenes.
| Cambio | Descripción | Fecha |
|---|---|---|
|
AWSServiceRoleForImageBuilder: actualización de una política actual |
Image Builder realizó los siguientes cambios en la función de servicio para permitir la importación de archivos ISO del sistema operativo cliente de Microsoft como imagen base.
|
30 de diciembre de 2024 |
|
EC2InstanceProfileForImageBuilder: actualización de una política actual |
Image Builder realizó los siguientes cambios en la política del perfil de la instancia para permitir la creación de imágenes a partir de archivos de imagen de disco.
|
30 de diciembre de 2024 |
|
EC2InstanceProfileForImageBuilder: política actualizada |
Image Builder actualizó la |
2 de diciembre de 2024 |
|
EC2ImageBuilderLifecycleExecutionPolicy: política nueva |
Generador de imágenes agregó la nueva política |
17 de noviembre de 2023 |
|
AWSServiceRoleForImageBuilder: actualización de una política actual |
Generador de imágenes hizo los siguientes cambios en el rol de servicio para brindar compatibilidad con la ubicación de instancias.
|
19 de octubre de 2023 |
|
AWSServiceRoleForImageBuilder: actualización de una política actual |
Generador de imágenes hizo los siguientes cambios en el rol de servicio para brindar compatibilidad con la ubicación de instancias.
|
28 de septiembre de 2023 |
|
AWSServiceRoleForImageBuilder: actualización de una política actual |
Generador de Imágenes realizó los siguientes cambios en el rol de servicio para permitir que los flujos de trabajo de Generador de Imágenes recopilen los resultados de vulnerabilidades para las compilaciones de imágenes de contenedor de AMI y ECR. Los nuevos permisos admiten la característica de detección e informes de CVE.
|
30 de marzo de 2023 |
|
AWSServiceRoleForImageBuilder: actualización de una política actual |
Generador de Imágenes hizo los siguientes cambios en el rol de servicio:
|
22 de marzo de 2022 |
|
AWSServiceRoleForImageBuilder: actualización de una política actual |
Generador de Imágenes hizo los siguientes cambios en el rol de servicio:
|
21 de febrero de 2022 |
|
AWSServiceRoleForImageBuilder: actualización de una política actual |
Generador de Imágenes hizo los siguientes cambios en el rol de servicio:
|
20 de noviembre de 2021 |
|
AWSServiceRoleForImageBuilder: actualización de una política actual |
Generador de Imágenes agregó nuevos permisos para solucionar problemas donde más de una asociación de inventario provoca que la compilación de imágenes se bloquee. |
11 de agosto de 2021 |
|
AWSImageBuilderFullAccess: actualización de una política actual |
Generador de Imágenes hizo los siguientes cambios en el rol de acceso completo:
|
13 de abril de 2021 |
|
Generador de Imágenes comenzó el seguimiento de los cambios |
Image Builder comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. |
2 de abril de 2021 |
