Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Integrasi Identity and Access Management untuk Image Builder
Audiens
Cara Anda menggunakan AWS Identity and Access Management(IAM) berbeda berdasarkan peran Anda:
-
Pengguna layanan - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat Memecahkan masalah IAM di Image Builder)
-
Administrator layanan - tentukan akses pengguna dan mengirimkan permintaan izin (lihat Cara Image Builder bekerja dengan kebijakan dan peran IAM)
-
Administrator IAM - tulis kebijakan untuk mengelola akses (lihat Kebijakan berbasis identitas Image Builder)
Mengautentikasi dengan identitas
Untuk informasi terperinci tentang cara menyediakan otentikasi bagi orang dan proses di dalam Anda Akun AWS, lihat Identitas di Panduan Pengguna IAM.
Izin IAM untuk alur kerja khusus
Saat menggunakan alur kerja khusus dengan tindakan langkah tertentu sepertiRegisterImage, izin IAM tambahan mungkin diperlukan di luar kebijakan terkelola Image Builder standar. Bagian ini menjelaskan izin tambahan yang diperlukan untuk tindakan langkah alur kerja kustom.
RegisterImage izin tindakan langkah
Tindakan RegisterImage langkah memerlukan EC2 izin Amazon tertentu untuk mendaftar AMIs dan secara opsional mengambil tag snapshot. Saat menggunakan includeSnapshotTags parameter, izin tambahan diperlukan untuk menggambarkan snapshot.
Izin yang diperlukan untuk tindakan RegisterImage langkah:
Untuk semua sumber daya, izinkan tindakan berikut:
-
ec2:RegisterImage -
ec2:DescribeSnapshots
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RegisterImage", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "ec2:CreateAction": "RegisterImage" } } } ] }
Rincian izin:
-
ec2:RegisterImage- Diperlukan untuk mendaftar baru AMIs dari snapshot -
ec2:DescribeSnapshots- Diperlukan saat menggunakanincludeSnapshotTags: trueuntuk mengambil tag snapshot untuk digabungkan dengan tag AMI -
ec2:CreateTags- Diperlukan untuk menerapkan tag ke AMI terdaftar, termasuk tag default Image Builder dan tag snapshot gabungan
catatan
ec2:DescribeSnapshotsIzin hanya digunakan ketika includeSnapshotTags parameter diatur ketrue. Jika Anda tidak menggunakan fitur ini, Anda dapat menghilangkan izin ini.
Perilaku penggabungan tag:
Ketika includeSnapshotTags diaktifkan, tindakan RegisterImage langkah akan:
-
Ambil tag dari snapshot pertama yang ditentukan dalam pemetaan perangkat blok
-
Kecualikan tag yang AWS dicadangkan (tag dengan kunci yang dimulai dengan “aws:”)
-
Gabungkan tag snapshot dengan tag registrasi AMI default Image Builder
-
Berikan prioritas pada tag Image Builder saat kunci tag bertentangan
Kebijakan berbasis sumber daya Image Builder
Untuk informasi tentang cara membuat komponen, lihatGunakan komponen untuk menyesuaikan image Image Builder.
Membatasi akses komponen Image Builder ke alamat IP tertentu
Contoh berikut memberikan izin kepada setiap pengguna untuk melakukan operasi Image Builder pada komponen. Namun, permintaan harus berasal dari rentang alamat IP yang ditentukan dalam syarat.
Kondisi dalam pernyataan ini mengidentifikasi rentang 54.240.143.* alamat IP Internet Protocol versi 4 (IPv4) yang diizinkan, dengan satu pengecualian: 54.240.143.188.
ConditionBlok menggunakan IpAddress dan NotIpAddress kondisi dan kunci aws:SourceIp kondisi, yang merupakan kunci kondisi AWS-wide. Untuk informasi selengkapnya tentang kunci kondisi ini, lihat Menentukan Ketentuan dalam Kebijakan. aws:sourceIp IPv4 Nilai-nilai menggunakan notasi CIDR standar. Untuk informasi lebih lanjut, lihat Operator Syarat Alamat IP dalam Panduan Pengguna IAM.
