Public ciblé Authentification par des identités Autorisations de flux de travail personnalisées Politiques basées sur une ressource

Intégration de la gestion des identités et des accès pour Image Builder

Rubriques

Public ciblé

La façon dont vous utilisez AWS Identity and Access Management (IAM) varie en fonction de votre rôle :

Utilisateur du service : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir Résoudre les problèmes IAM dans Image Builder)
Administrateur du service : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir Comment Image Builder fonctionne avec les politiques et les rôles IAM)
Administrateur IAM : rédigez des politiques pour gérer l’accès (voir Politiques basées sur l'identité d'Image Builder)

Authentification par des identités

Pour obtenir des informations détaillées sur la manière de fournir une authentification aux personnes et aux processus de votre entreprise Compte AWS, consultez la section Identités dans le guide de l'utilisateur IAM.

Autorisations IAM pour les flux de travail personnalisés

Lorsque vous utilisez des flux de travail personnalisés comportant des étapes spécifiquesRegisterImage, par exemple, des autorisations IAM supplémentaires peuvent être requises au-delà des politiques gérées par Image Builder standard. Cette section décrit les autorisations supplémentaires nécessaires pour les actions d'étapes de flux de travail personnalisées.

RegisterImage autorisations d'action par étapes

L'action de cette RegisterImage étape nécessite des EC2 autorisations Amazon spécifiques pour enregistrer AMIs et éventuellement récupérer des balises de capture instantanée. Lorsque vous utilisez le includeSnapshotTags paramètre, des autorisations supplémentaires sont nécessaires pour décrire les instantanés.

Autorisations requises pour effectuer une action par RegisterImage étapes :

Pour toutes les ressources, autorisez les actions suivantes :

ec2:RegisterImage
ec2:DescribeSnapshots


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:RegisterImage",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "RegisterImage"
                }
            }
        }
    ]
}

Détails de l'autorisation :

ec2:RegisterImage- Nécessaire pour enregistrer de nouvelles données AMIs à partir de snapshots
ec2:DescribeSnapshots- Nécessaire lors de l'utilisation includeSnapshotTags: true pour récupérer des balises de capture en vue de les fusionner avec des balises AMI
ec2:CreateTags- Nécessaire pour appliquer des balises à l'AMI enregistrée, y compris les balises par défaut d'Image Builder et les balises de capture d'écran fusionnées

Note

L'ec2:DescribeSnapshotsautorisation n'est utilisée que lorsque le includeSnapshotTags paramètre est défini surtrue. Si vous n'utilisez pas cette fonctionnalité, vous pouvez omettre cette autorisation.

Comportement de fusion de balises :

Lorsque cette option includeSnapshotTags est activée, l'action de l' RegisterImage étape permet de :

Récupérez les balises à partir du premier instantané spécifié dans le mappage des périphériques en mode bloc
Exclure toutes les balises AWS réservées (celles dont les clés commencent par « aws : »)
Fusionnez les balises de capture d'écran avec les balises d'enregistrement AMI par défaut d'Image Builder
Donnez la priorité aux balises Image Builder en cas de conflit entre les clés de balise

Politiques basées sur les ressources d'Image Builder

Pour plus d'informations sur la création d'un composant, consultezUtilisez des composants pour personnaliser votre image Image Builder.

Restreindre l'accès aux composants Image Builder à des adresses IP spécifiques

L'exemple suivant accorde à n'importe quel utilisateur l'autorisation d'effectuer des opérations Image Builder sur des composants. Toutefois, la demande doit provenir de la plage d'adresses IP indiquée dans la condition.

La condition contenue dans cette déclaration identifie la plage 54.240.143.* d'adresses IP autorisées du protocole Internet version 4 (IPv4), à une exception près : 54.240.143.188.

Le Condition bloc utilise les NotIpAddress conditions IpAddress et et la clé de aws:SourceIp condition, qui est une clé AWS de condition étendue. Pour plus d'informations sur ces clés de condition, consultez la section Spécification de conditions dans une politique. Les aws:sourceIp IPv4 valeurs utilisent la notation CIDR standard. Pour plus d’informations, consultez Opérateurs de condition d’adresse IP dans le Guide de l’utilisateur IAM.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Protection des données

Comment Image Builder fonctionne avec les politiques et les rôles IAM