Menggunakan kebijakan AWS terkelola untuk EC2 Image Builder - EC2 Image Builder
AWSImageBuilderFullAccessAWSImageBuilderReadOnlyAccessAWSServiceRoleForImageBuilderEc2ImageBuilderCrossAccountDistributionAccessEC2ImageBuilderLifecycleExecutionPolicyEC2InstanceProfileForImageBuilderEC2InstanceProfileForImageBuilderECRContainerBuildsPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan AWS terkelola untuk EC2 Image Builder

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat Kebijakan terkelola AWS dalam Panduan Pengguna IAM.

AWSImageBuilderFullAccesskebijakan

AWSImageBuilderFullAccessKebijakan ini memberikan akses penuh ke resource Image Builder untuk peran yang dilampirkan, memungkinkan peran untuk mencantumkan, mendeskripsikan, membuat, memperbarui, dan menghapus resource Image Builder. Kebijakan ini juga memberikan izin yang ditargetkan untuk terkait Layanan AWS yang diperlukan, misalnya, untuk memverifikasi sumber daya, atau untuk menampilkan sumber daya saat ini untuk akun di. AWS Management Console

Detail izin

Kebijakan ini mencakup izin berikut:

  • Image Builder — Akses administratif diberikan, sehingga peran dapat mencantumkan, mendeskripsikan, membuat, memperbarui, dan menghapus sumber daya Image Builder.

  • Amazon EC2 — Akses diberikan untuk tindakan Amazon EC2 Describe yang diperlukan untuk memverifikasi keberadaan sumber daya atau mendapatkan daftar sumber daya milik akun.

  • IAM — Akses diberikan untuk mendapatkan dan menggunakan profil instance yang namanya berisi “imagebuilder”, untuk memverifikasi keberadaan peran terkait layanan Image Builder melalui aksi iam:GetRole API, dan untuk membuat peran terkait layanan Image Builder.

  • License Manager — Akses diberikan untuk membuat daftar konfigurasi lisensi atau lisensi untuk sumber daya.

  • Amazon S3 - Akses diberikan untuk daftar bucket milik akun, dan juga bucket Image Builder dengan “imagebuilder” dalam nama mereka.

  • Amazon SNS - Izin tulis diberikan kepada Amazon SNS untuk memverifikasi kepemilikan topik untuk topik yang berisi “imagebuilder”.

Untuk melihat izin kebijakan ini, lihat AWSImageBuilderFullAccessdi Referensi Kebijakan AWS Terkelola.

AWSImageBuilderReadOnlyAccesskebijakan

AWSImageBuilderReadOnlyAccessKebijakan ini menyediakan akses hanya-baca ke semua resource Image Builder. Izin diberikan untuk memverifikasi bahwa peran terkait layanan Image Builder ada melalui tindakan API. iam:GetRole

Detail izin

Kebijakan ini mencakup izin berikut:

  • Image Builder - Akses diberikan untuk akses hanya-baca ke sumber daya Image Builder.

  • IAM — Akses diberikan untuk memverifikasi keberadaan peran terkait layanan Image Builder melalui tindakan API. iam:GetRole

Untuk melihat izin kebijakan ini, lihat AWSImageBuilderReadOnlyAccessdi Referensi Kebijakan AWS Terkelola.

AWSServiceRoleForImageBuilderkebijakan

AWSServiceRoleForImageBuilderKebijakan ini memungkinkan Image Builder menelepon Layanan AWS atas nama Anda.

Detail izin

Kebijakan ini dilampirkan ke peran terkait layanan Image Builder saat peran dibuat melalui Systems Manager. Untuk informasi selengkapnya tentang peran terkait layanan Image Builder, lihat. Menggunakan peran terkait layanan IAM untuk Image Builder

Kebijakan ini mencakup izin berikut:

  • CloudWatch Log — Akses diberikan untuk membuat dan mengunggah CloudWatch Log ke grup log mana pun yang namanya dimulai dengan/aws/imagebuilder/.

  • Amazon EC2 — Akses diberikan kepada Image Builder untuk membuat, mengambil snapshot, dan mendaftarkan image (AMIs) yang dibuat dan meluncurkan EC2 instance di akun Anda. Image Builder menggunakan snapshot terkait, volume, antarmuka jaringan, subnet, grup keamanan, konfigurasi lisensi, dan pasangan kunci sesuai kebutuhan, selama gambar, instance, dan volume yang sedang dibuat atau digunakan ditandai dengan atau. CreatedBy: EC2 Image Builder CreatedBy: EC2 Fast Launch

    Image Builder dapat memperoleh informasi tentang EC2 gambar Amazon, atribut instance, status instans, jenis instans yang tersedia untuk akun Anda, templat peluncuran, subnet, host, dan tag di EC2 sumber daya Amazon Anda.

    Image Builder dapat memperbarui pengaturan gambar untuk mengaktifkan atau menonaktifkan peluncuran instance Windows yang lebih cepat di akun Anda, tempat gambar ditandai. CreatedBy: EC2 Image Builder

    Selain itu, Image Builder dapat memulai, menghentikan, dan menghentikan instance yang berjalan di akun Anda, membagikan snapshot Amazon EBS, membuat dan memperbarui gambar dan meluncurkan templat, membatalkan pendaftaran gambar yang ada, menambahkan tag, dan mereplikasi gambar di seluruh akun yang telah Anda berikan izin melalui kebijakan. Ec2ImageBuilderCrossAccountDistributionAccess Penandaan Image Builder diperlukan untuk semua tindakan ini, seperti yang dijelaskan sebelumnya.

  • Amazon ECR — Akses diberikan kepada Image Builder untuk membuat repositori jika diperlukan untuk pemindaian kerentanan gambar kontainer, dan menandai sumber daya yang dibuatnya untuk membatasi ruang lingkup operasinya. Akses juga diberikan kepada Image Builder untuk menghapus gambar kontainer yang dibuat untuk pemindaian setelah mengambil snapshot dari kerentanan.

  • EventBridge— Akses diberikan kepada Image Builder untuk membuat dan mengelola EventBridge aturan.

  • IAM - Akses diberikan kepada Image Builder untuk meneruskan peran apa pun di akun Anda ke Amazon EC2, dan ke Impor/Ekspor VM.

  • Amazon Inspector — Akses diberikan kepada Image Builder untuk menentukan kapan Amazon Inspector menyelesaikan pemindaian instans build, dan mengumpulkan temuan untuk gambar yang dikonfigurasi untuk mengizinkannya.

  • AWS KMS— Akses diberikan kepada Amazon EBS untuk mengenkripsi, mendekripsi, atau mengenkripsi ulang volume Amazon EBS. Ini penting untuk memastikan bahwa volume terenkripsi berfungsi saat Image Builder membuat gambar.

  • License Manager — Akses diberikan kepada Image Builder untuk memperbarui spesifikasi License Manager melaluilicense-manager:UpdateLicenseSpecificationsForResource.

  • Amazon SNS - Izin tulis diberikan untuk topik Amazon SNS apa pun di akun Anda.

  • Systems Manager — Akses diberikan kepada Image Builder untuk mencantumkan perintah Systems Manager dan pemanggilannya, entri inventaris, menjelaskan informasi instance dan status eksekusi otomatisasi, menjelaskan host untuk dukungan penempatan instance, dan mendapatkan detail pemanggilan perintah. Image Builder juga dapat mengirim sinyal otomatisasi, dan menghentikan eksekusi otomatisasi untuk sumber daya apa pun di akun Anda.

    Image Builder dapat mengeluarkan pemanggilan perintah run ke instance apa pun yang diberi tag "CreatedBy": "EC2 Image Builder" untuk file skrip berikut:AWS-RunPowerShellScript,, AWS-RunShellScript atau. AWSEC2-RunSysprep Image Builder dapat memulai eksekusi otomatisasi Systems Manager di akun Anda untuk dokumen otomatisasi tempat nama dimulaiImageBuilder.

    Image Builder juga dapat membuat atau menghapus asosiasi State Manager untuk instans apa pun di akun Anda, selama dokumen asosiasi tersebutAWS-GatherSoftwareInventory, dan untuk membuat peran terkait layanan Systems Manager di akun Anda.

  • AWS STS— Akses diberikan kepada Image Builder untuk mengambil peran yang dinamai EC2ImageBuilderDistributionCrossAccountRoledari akun Anda ke akun mana pun yang diizinkan oleh kebijakan Trust tentang peran tersebut. Ini digunakan untuk distribusi gambar lintas akun.

Untuk melihat izin kebijakan ini, lihat AWSServiceRoleForImageBuilderdi Referensi Kebijakan AWS Terkelola.

Ec2ImageBuilderCrossAccountDistributionAccesskebijakan

Ec2ImageBuilderCrossAccountDistributionAccessKebijakan ini memberikan izin bagi Image Builder untuk mendistribusikan gambar di seluruh akun di Wilayah target. Selain itu, Image Builder dapat mendeskripsikan, menyalin, dan menerapkan tag ke EC2 gambar Amazon apa pun di akun. Kebijakan ini juga memberikan kemampuan untuk memodifikasi izin AMI melalui tindakan ec2:ModifyImageAttribute API.

Detail izin

Kebijakan ini mencakup izin berikut:

  • Amazon EC2 — Akses diberikan kepada Amazon EC2 untuk mendeskripsikan, menyalin, dan memodifikasi atribut untuk gambar, dan untuk membuat tag untuk EC2 gambar Amazon apa pun di akun.

Untuk melihat izin kebijakan ini, lihat Ec2ImageBuilderCrossAccountDistributionAccessdi Referensi Kebijakan AWS Terkelola.

EC2ImageBuilderLifecycleExecutionPolicykebijakan

EC2ImageBuilderLifecycleExecutionPolicyKebijakan ini memberikan izin bagi Image Builder untuk melakukan tindakan seperti menghentikan, menonaktifkan, atau menghapus sumber daya gambar Image Builder dan sumber daya dasarnya (AMIssnapshot) guna mendukung aturan otomatis untuk tugas pengelolaan siklus hidup gambar.

Detail izin

Kebijakan ini mencakup izin berikut:

  • Amazon EC2 — Akses diberikan kepada Amazon EC2 untuk melakukan tindakan berikut untuk Amazon Machine Images (AMIs) di akun yang diberi CreatedBy: EC2 Image Builder tag.

    • Aktifkan dan nonaktifkan AMI.

    • Aktifkan dan nonaktifkan penghentian gambar.

    • Jelaskan dan deregister AMI.

    • Menjelaskan dan memodifikasi atribut gambar AMI.

    • Hapus snapshot volume yang terkait dengan AMI.

    • Ambil tag untuk sumber daya.

    • Menambahkan atau menghapus tag dari AMI untuk penghentian.

  • Amazon ECR — Akses diberikan kepada Amazon ECR untuk melakukan tindakan batch berikut pada repositori ECR dengan tag. LifecycleExecutionAccess: EC2 Image Builder Tindakan Batch mendukung aturan siklus hidup gambar kontainer otomatis.

    • ecr:BatchGetImage

    • ecr:BatchDeleteImage

    Akses diberikan pada tingkat repositori untuk repositori ECR yang ditandai dengan. LifecycleExecutionAccess: EC2 Image Builder

  • AWS Grup sumber daya - Akses diberikan kepada Image Builder untuk mendapatkan sumber daya berdasarkan tag.

  • EC2 Image Builder - Akses diberikan kepada Image Builder untuk menghapus sumber daya gambar Image Builder.

Untuk melihat izin kebijakan ini, lihat EC2ImageBuilderLifecycleExecutionPolicydi Referensi Kebijakan AWS Terkelola.

EC2InstanceProfileForImageBuilderkebijakan

EC2InstanceProfileForImageBuilderKebijakan ini memberikan izin minimum yang diperlukan untuk sebuah EC2 instans untuk bekerja dengan Image Builder. Ini tidak termasuk izin yang diperlukan untuk menggunakan Agen Systems Manager.

Detail izin

Kebijakan ini mencakup izin berikut:

  • CloudWatch Log — Akses diberikan untuk membuat dan mengunggah CloudWatch Log ke grup log mana pun yang namanya dimulai dengan/aws/imagebuilder/.

  • Amazon EC2 — Akses diberikan untuk mendeskripsikan volume dan snapshot, untuk membuat snapshot volume atau sumber daya snapshot yang dibuat Image Builder, dan untuk membuat tag untuk sumber daya Image Builder.

  • Image Builder - Akses diberikan untuk mendapatkan Image Builder atau AWS Marketplace komponen apa pun.

  • AWS KMS— Akses diberikan untuk mendekripsi komponen Image Builder, jika dienkripsi melalui. AWS KMS

  • Amazon S3 — Akses diberikan untuk mendapatkan objek yang disimpan dalam bucket Amazon S3 yang namanya dimulai ec2imagebuilder- dengan, atau sumber daya yang memiliki ekstensi file ISO.

Untuk melihat izin kebijakan ini, lihat EC2InstanceProfileForImageBuilderdi Referensi Kebijakan AWS Terkelola.

EC2InstanceProfileForImageBuilderECRContainerBuildskebijakan

EC2InstanceProfileForImageBuilderECRContainerBuildsKebijakan ini memberikan izin minimum yang diperlukan untuk EC2 instance saat bekerja dengan Image Builder untuk membuat image Docker, lalu mendaftarkan dan menyimpan gambar di repositori container Amazon ECR. Ini tidak termasuk izin yang diperlukan untuk menggunakan Agen Systems Manager.

Detail izin

Kebijakan ini mencakup izin berikut:

  • CloudWatch Log — Akses diberikan untuk membuat dan mengunggah CloudWatch Log ke grup log mana pun yang namanya dimulai dengan/aws/imagebuilder/.

  • Amazon ECR — Akses diberikan kepada Amazon ECR untuk mendapatkan, mendaftar, dan menyimpan gambar kontainer, dan untuk mendapatkan token otorisasi.

  • Image Builder - Akses diberikan untuk mendapatkan komponen Image Builder atau resep wadah.

  • AWS KMS— Akses diberikan untuk mendekripsi komponen Image Builder atau resep wadah, jika dienkripsi melalui. AWS KMS

  • Amazon S3 — Akses diberikan untuk mendapatkan objek yang disimpan dalam bucket Amazon S3 yang namanya dimulai dengan. ec2imagebuilder-

Untuk melihat izin kebijakan ini, lihat EC2InstanceProfileForImageBuilderECRContainerBuildsdi Referensi Kebijakan AWS Terkelola.

Image Builder memperbarui kebijakan AWS terkelola

Bagian ini memberikan informasi tentang pembaruan kebijakan AWS terkelola untuk Image Builder sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat dokumen Image Builder.

Perubahan Deskripsi Tanggal

AWSServiceRoleForImageBuilder — Permbaruan ke kebijakan yang sudah ada

Image Builder membuat perubahan berikut pada peran layanan untuk mendukung impor file ISO OS klien Microsoft sebagai image dasar.

  • Menambahkan ec2: RegisterImage untuk memungkinkan Image Builder membuat snapshot dan membuat serta mendaftarkan AMI yang sistem operasi dasarnya diimpor dari file disk ISO terverifikasi.

 Desember 30, 2024

EC2InstanceProfileForImageBuilder – Pembaruan ke kebijakan yang ada

Image Builder membuat perubahan berikut pada kebijakan profil instance untuk mendukung pembuatan gambar dari file image disk.

  • Menambahkan tindakan ec2 berikut: DescribeVolumes dan DescribeSnapshots pada semua sumber daya untuk mengambil detail. Juga menambahkan tindakan berikut untuk sumber daya yang dibuat oleh Image Builder: CreateSnapshot untuk sumber daya volume dan snapshot, dan CreateTags. Ditambahkan S3: GetObject untuk sumber daya dengan ekstensi file “ISO”.

 Desember 30, 2024

EC2InstanceProfileForImageBuilder— Kebijakan yang diperbarui

Image Builder memperbarui EC2InstanceProfileForImageBuilder kebijakan untuk memungkinkan Image Builder mendapatkan AWS Marketplace komponen.

 Desember 2, 2024

EC2ImageBuilderLifecycleExecutionPolicy – Kebijakan baru

Image Builder menambahkan EC2ImageBuilderLifecycleExecutionPolicy kebijakan baru yang berisi izin untuk manajemen siklus hidup gambar.

 17 November 2023

AWSServiceRoleForImageBuilder – Pembaruan ke kebijakan yang ada

Image Builder membuat perubahan berikut pada peran layanan untuk memberikan dukungan penempatan instance.

  • Menambahkan ec2: DescribeHosts memungkinkan Image Builder untuk melakukan polling HostID untuk menentukan kapan dalam keadaan valid untuk meluncurkan instance.

  • Menambahkan ssm:GetCommandInvocation, tindakan API untuk meningkatkan metode yang digunakan Image Builder untuk mendapatkan detail pemanggilan perintah.

 19 Oktober 2023

AWSServiceRoleForImageBuilder – Pembaruan ke kebijakan yang ada

Image Builder membuat perubahan berikut pada peran layanan untuk memberikan dukungan penempatan instance.

  • Menambahkan ec2: DescribeHosts aktifkan Image Builder untuk melakukan polling HostID untuk menentukan kapan dalam keadaan valid untuk meluncurkan instance.

  • Menambahkan ssm:GetCommandInvocation, tindakan API untuk meningkatkan metode yang digunakan Image Builder untuk mendapatkan detail pemanggilan perintah.

 28 September 2023

AWSServiceRoleForImageBuilder – Pembaruan ke kebijakan yang ada

Image Builder membuat perubahan berikut pada peran layanan untuk memungkinkan alur kerja Image Builder mengumpulkan temuan kerentanan untuk build image container AMI dan ECR. Izin baru mendukung fitur deteksi dan pelaporan CVE.

  • Menambahkan inspector2: ListCoverage dan inspector2: untuk memungkinkan ListFindings Image Builder menentukan kapan Amazon Inspector menyelesaikan pemindaian instance pengujian, dan mengumpulkan temuan untuk gambar yang dikonfigurasi untuk mengizinkannya.

  • Ditambahkan ecr:CreateRepository, dengan persyaratan untuk Image Builder untuk menandai repositori dengan CreatedBy: EC2 Image Builder (). tag-on-create Juga menambahkan ecr: TagResource (diperlukan untuk tag-on-create) dengan batasan CreatedBy tag yang sama, dan batasan tambahan yang memerlukan nama repositori untuk memulai. image-builder-* Batasan nama mencegah eskalasi hak istimewa dan mencegah perubahan pada repositori yang tidak dibuat oleh Image Builder.

  • Ditambahkan ecr: BatchDeleteImage untuk repositori ECR ditandai dengan. CreatedBy: EC2 Image Builder Izin ini memerlukan nama repositori untuk memulai. image-builder-*

  • Menambahkan izin acara untuk Image Builder untuk membuat dan mengelola aturan EventBridge terkelola Amazon yang disertakan ImageBuilder-* dalam nama.

 30 Maret 2023

AWSServiceRoleForImageBuilder – Pembaruan ke kebijakan yang ada

Image Builder membuat perubahan berikut pada peran layanan:

  • Menambahkan lisensi License Manager sebagai sumber daya untuk RunInstance panggilan ec2: untuk memungkinkan pelanggan menggunakan image dasar AMIs yang terkait dengan konfigurasi lisensi.

 22 Maret 2022

AWSServiceRoleForImageBuilder – Pembaruan ke kebijakan yang ada

Image Builder membuat perubahan berikut pada peran layanan:

  • Menambahkan izin untuk tindakan EC2 EnableFastLaunch API, untuk mengaktifkan dan menonaktifkan peluncuran yang lebih cepat untuk instance Windows.

  • Memperketat cakupan lebih untuk ec2: CreateTags tindakan dan kondisi tag sumber daya.

 Februari 21, 2022

AWSServiceRoleForImageBuilder – Pembaruan ke kebijakan yang ada

Image Builder membuat perubahan berikut pada peran layanan:

  • Menambahkan izin untuk memanggil layanan VMIE untuk mengimpor VM dan membuat AMI dasar darinya.

  • Cakupan yang diperketat untuk ec2: CreateTags tindakan dan kondisi tag sumber daya.

 20 November 2021

AWSServiceRoleForImageBuilder – Pembaruan ke kebijakan yang ada

Image Builder menambahkan izin baru untuk memperbaiki masalah di mana lebih dari satu asosiasi inventaris menyebabkan pembuatan gambar macet.

 Agustus 11, 2021

AWSImageBuilderFullAccess – Pembaruan ke kebijakan yang ada

Image Builder membuat perubahan berikut pada peran akses penuh:

  • Menambahkan izin untuk mengizinkanec2:DescribeInstanceTypeOffereings.

  • Menambahkan izin untuk memanggil ec2:DescribeInstanceTypeOffereings untuk mengaktifkan konsol Image Builder untuk secara akurat mencerminkan jenis instance yang tersedia di akun.

 13 April, 2021

Image Builder mulai melacak perubahan

Image Builder mulai melacak perubahan untuk kebijakan AWS terkelolanya.

 April 02, 2021