Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Integrasi Identity and Access Management untuk Image Builder
**Topics**
+ [Audiens](#security-iam-audience)
+ [Mengautentikasi dengan identitas](#security-iam-authentication)
+ [Cara Image Builder bekerja dengan kebijakan dan peran IAM](security_iam_service-with-iam.md)
+ [Kelola perimeter data untuk akses unduhan bucket S3 di Image Builder](security-iam-data-perimeter.md)
+ [Kebijakan berbasis identitas Image Builder](security-iam-identity-based-policies.md)
+ [Izin IAM untuk alur kerja khusus](#security-iam-custom-workflows)
+ [Kebijakan berbasis sumber daya Image Builder](#security-iam-resource-based-policies)
+ [Menggunakan kebijakan AWS terkelola untuk EC2 Image Builder](security-iam-awsmanpol.md)
+ [Menggunakan peran terkait layanan IAM untuk Image Builder](image-builder-service-linked-role.md)
+ [Memecahkan masalah IAM di Image Builder](security_iam_troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah IAM di Image Builder](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Cara Image Builder bekerja dengan kebijakan dan peran IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Kebijakan berbasis identitas Image Builder](security_iam_service-with-iam.md#security_iam_id-based-policy-examples))
## Mengautentikasi dengan identitas
Untuk informasi terperinci tentang cara menyediakan otentikasi bagi orang dan proses di dalam Anda Akun AWS, lihat [Identitas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) di Panduan Pengguna *IAM*.
# Cara Image Builder bekerja dengan kebijakan dan peran IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke Image Builder, pelajari fitur IAM yang tersedia untuk digunakan dengan Image Builder.
Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Image Builder dan AWS layanan lainnya dengan sebagian besar fitur IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *IAM*.
## Kebijakan berbasis identitas untuk Image Builder
**Mendukung kebijakan berbasis identitas**: Ya
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Contoh kebijakan berbasis identitas untuk Image Builder
Untuk melihat contoh kebijakan berbasis identitas Image Builder, lihat. [Kebijakan berbasis identitas Image Builder](#security_iam_id-based-policy-examples)
## Kebijakan berbasis sumber daya dalam Image Builder
**Mendukung kebijakan berbasis sumber daya**: Ya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS
Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Tindakan kebijakan untuk Image Builder
**Mendukung tindakan kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Untuk melihat daftar tindakan Image Builder, lihat [Tindakan yang ditentukan oleh EC2 Image](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions) Builder di Referensi *Otorisasi Layanan*.
Tindakan kebijakan di Image Builder menggunakan awalan berikut sebelum tindakan:
```
imagebuilder
```
Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.
```
"Action": [
"imagebuilder:action1",
"imagebuilder:action2"
]
```
Untuk melihat contoh kebijakan berbasis identitas Image Builder, lihat. [Kebijakan berbasis identitas Image Builder](#security_iam_id-based-policy-examples)
## Sumber daya kebijakan untuk Image Builder
**Mendukung sumber daya kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Untuk melihat daftar jenis sumber daya Image Builder dan jenisnya ARNs, lihat Sumber [daya yang ditentukan oleh EC2 Image](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-resources-for-iam-policies) Builder di Referensi *Otorisasi Layanan*. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan yang ditentukan oleh EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions) Image Builder.
Untuk melihat contoh kebijakan berbasis identitas Image Builder, lihat. [Kebijakan berbasis identitas Image Builder](#security_iam_id-based-policy-examples)
## Kunci kondisi kebijakan untuk Image Builder
**Mendukung kunci kondisi kebijakan khusus layanan:** Yes
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Untuk melihat daftar kunci kondisi Image Builder, lihat [Kunci kondisi untuk EC2 Image](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-policy-keys) Builder di Referensi *Otorisasi Layanan*. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions).
Untuk melihat contoh kebijakan berbasis identitas Image Builder, lihat. [Kebijakan berbasis identitas Image Builder](#security_iam_id-based-policy-examples)
## ACLs di Image Builder
**Mendukung ACLs:** Tidak
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
## ABAC dengan Image Builder
**Mendukung ABAC (tag dalam kebijakan): Sebagian**
Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.
Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.
Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.
Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.
## Menggunakan kredensi sementara dengan Image Builder
**Mendukung kredensial sementara:** Ya
Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.
## Izin utama lintas layanan untuk Image Builder
**Mendukung sesi akses terusan (FAS):** Ya
Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Peran layanan untuk Image Builder
**Mendukung peran layanan:** Ya
Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
**Awas**
Mengubah izin untuk peran layanan dapat merusak fungsionalitas Image Builder. Edit peran layanan hanya jika Image Builder memberikan panduan untuk melakukannya.
## Peran terkait layanan untuk Image Builder
**Mendukung peran terkait layanan**: Ya
Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Untuk detail tentang peran terkait layanan Image Builder, lihat. [Menggunakan peran terkait layanan IAM untuk Image Builder](image-builder-service-linked-role.md)
## Kebijakan berbasis identitas Image Builder
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, dan juga kondisi di mana tindakan diizinkan atau ditolak. Image Builder mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk informasi tentang semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk Image Builder Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2imagebuilder.html) di Panduan Pengguna *IAM*.
### Tindakan
Tindakan kebijakan di Image Builder menggunakan awalan berikut sebelum tindakan:`imagebuilder:`. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`. Image Builder mendefinisikan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
```
"Action": [
"imagebuilder:action1",
"imagebuilder:action2"
]
```
Anda dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `List`, sertakan tindakan berikut:
```
"Action": "imagebuilder:List*"
```
Untuk melihat daftar tindakan Image Builder, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi Layanan AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) di *Panduan Pengguna IAM*.
### Mengelola akses menggunakan kebijakan
*Untuk informasi terperinci tentang cara mengelola akses AWS dengan membuat kebijakan dan melampirkannya ke identitas atau AWS sumber daya IAM, lihat [Kebijakan dan Izin di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) IAM.*
Peran IAM yang Anda kaitkan dengan profil instans harus memiliki izin untuk menjalankan komponen build dan test yang disertakan dalam image Anda. Kebijakan peran IAM berikut harus dilampirkan ke peran IAM yang terkait dengan profil instance:
+ EC2InstanceProfileForImageBuilder
+ EC2InstanceProfileForImageBuilderECRContainerBuilds
+ AmazonSSMManagedInstanceCore
### Sumber daya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
ARN terdiri dari beberapa node yang membantu mengidentifikasi sumber daya dan memastikan bahwa nama itu unik. Node terakhir dalam nama mencakup beberapa variasi dalam pemformatan untuk jenis sumber daya, nama, dan ID. Saat Image Builder membuat sumber daya, ia menggunakan format berikut:
`arn:aws:imagebuilder:region:owner:resource-type/resource-name/version/build-version`
**catatan**
Versi build tidak selalu disertakan dalam ARN sumber daya. Namun, beberapa operasi API, seperti [GetComponent](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_GetComponent.html), memerlukan versi build untuk mengidentifikasi sumber daya secara unik untuk diambil.
Untuk sumber daya yang digunakan Image Builder dalam resepnya, seperti image dasar atau komponen, node pemilik dapat berupa salah satu dari berikut ini:
+ Nomor akun pemilik sumber daya
+ Untuk sumber daya yang dikelola Amazon: `aws`
+ Untuk AWS Marketplace sumber daya: `aws-marketplace`
Contoh berikut menunjukkan ARN untuk komponen terkelola untuk menginstal CloudWatch agen Amazon di Linux:
```
arn:aws:imagebuilder:us-east-1:aws:component/amazon-cloudwatch-agent-linux/1.0.1/1
```
Contoh ini menunjukkan ARN untuk komponen terkelola fiktif dari: AWS Marketplace
```
arn:aws:imagebuilder:us-east-1:aws-marketplace:component/example-linux-software-component/1.0.1
```
Untuk informasi selengkapnya tentang mendapatkan daftar komponen, termasuk penggunaan filter kepemilikan, lihat[Daftar komponen Image Builder](component-details.md#list-components).
**Contoh ARNs**
Berikut ini adalah beberapa contoh sumber daya ARNs yang mungkin Anda tentukan dalam kebijakan IAM:
+ Contoh ARN
```
"Resource": "arn:aws:imagebuilder:us-east-1:111122223333:instance/i-1234567890abcdef0"
```
+ Wildcard (\$1) contoh untuk menentukan semua instance untuk akun tertentu
```
"Resource": "arn:aws:imagebuilder:us-east-1:111122223333:instance/*"
```
+ Wildcard (\$1) contoh untuk menentukan semua versi alur kerja gambar terkelola
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:workflow/build/build-image/*"
```
+ Gambar terkelola ARN
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:image/amazon-linux-2-arm64/2024.12.17/1"
```
+ Wildcard (\$1) contoh untuk menentukan semua versi dari gambar terkelola
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:image/amazon-linux-2-arm64/x.x.x"
```
Banyak tindakan EC2 Image Builder API melibatkan banyak sumber daya. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.
```
"Resource": [
"resource1",
"resource2"
]
```
### Kunci syarat
Image Builder menyediakan kunci kondisi khusus layanan dan dukungan menggunakan beberapa kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat [Kunci Konteks Kondisi AWS Global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*. Kunci kondisi khusus layanan berikut disediakan.
#### imagebuilder: CreatedResourceTagKeys
Bekerja dengan [operator string](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Gunakan kunci ini untuk memfilter akses dengan adanya kunci tag dalam permintaan. Ini memungkinkan Anda mengelola sumber daya yang dibuat Image Builder.
**Ketersediaan** — Kunci ini hanya tersedia untuk `CreateInfrastrucutreConfiguration` dan `UpdateInfrastructureConfiguration` APIs.
#### imagebuilder:/CreatedResourceTag
Bekerja dengan [operator string](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Gunakan kunci ini untuk memfilter akses dengan pasangan nilai kunci tag yang dilampirkan ke sumber daya yang dibuat Image Builder. Ini memungkinkan Anda mengelola sumber daya Image Builder melalui tag yang ditentukan.
**Ketersediaan** — Kunci ini hanya tersedia untuk `CreateInfrastrucutreConfiguration` dan `UpdateInfrastructureConfiguration` APIs.
#### imagebuilder: LifecyclePolicyResourceType
Bekerja dengan [operator string](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Gunakan kunci ini untuk memfilter akses menurut jenis sumber daya Siklus Hidup yang ditentukan dalam permintaan.
Nilai untuk kunci ini dapat berupa `AMI_IMAGE` atau`CONTAINER_IMAGE`.
**Ketersediaan** — Kunci ini hanya tersedia untuk `CreateLifecyclePolicy` dan `UpdateLifecyclePolicy`APIs.
#### ImageBuilder: EC2 MetadataHttpTokens
Bekerja dengan [operator string](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Gunakan kunci ini untuk memfilter akses dengan Persyaratan Token HTTP Metadata Instans EC2 yang ditentukan dalam permintaan.
Nilai untuk kunci ini dapat berupa `optional` atau`required`.
**Ketersediaan** — Kunci ini hanya tersedia untuk `CreateInfrastrucutreConfiguration` dan `UpdateInfrastructureConfiguration` APIs.
#### imagebuilder: StatusTopicArn
Bekerja dengan [operator string](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Gunakan kunci ini untuk memfilter akses oleh ARN Topik SNS dalam permintaan pemberitahuan status terminal mana yang akan dipublikasikan.
**Ketersediaan** — Kunci ini hanya tersedia untuk `CreateInfrastrucutreConfiguration` dan `UpdateInfrastructureConfiguration` APIs.
### Contoh
Untuk melihat contoh kebijakan berbasis identitas Image Builder, lihat. [Kebijakan berbasis identitas Image Builder](security-iam-identity-based-policies.md)
## Kebijakan berbasis sumber daya Image Builder
Kebijakan berbasis sumber daya menentukan tindakan apa yang dapat dilakukan oleh prinsipal tertentu pada sumber daya Image Builder dan dalam kondisi apa. Image Builder mendukung kebijakan izin berbasis sumber daya untuk komponen, gambar, dan resep gambar. Kebijakan berbasis sumber daya mengizinkan Anda memberikan izin penggunaan ke akun lain berdasarkan penggunaan sumber daya. Anda juga dapat menggunakan kebijakan berbasis sumber daya untuk mengizinkan AWS layanan mengakses komponen, gambar, dan resep gambar Anda.
Untuk informasi tentang cara melampirkan kebijakan berbasis sumber daya ke komponen, gambar, atau resep gambar, lihat. [Bagikan sumber daya Image Builder dengan AWS RAM](manage-shared-resources.md)
**catatan**
Saat Anda memperbarui kebijakan sumber daya menggunakan Image Builder, pembaruan akan muncul di konsol RAM.
## Otorisasi berdasarkan tag Image Builder
Anda dapat melampirkan tag ke sumber daya Image Builder atau meneruskan tag dalam permintaan ke Image Builder. Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `imagebuilder:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`. Untuk informasi selengkapnya tentang menandai resource Image Builder, lihat[Menandai sumber daya dari AWS CLI](tag-resources.md#cli-tag-resource).
## Peran IAM Image Builder
[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah entitas di dalam Anda Akun AWS yang memiliki izin khusus.
### Menggunakan kredensi sementara dengan Image Builder
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
### Peran terkait layanan
[Peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) memungkinkan Layanan AWS untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran tertaut layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Pengguna dengan akses administratif dapat melihat tetapi tidak mengedit izin untuk peran terkait layanan.
Image Builder mendukung peran terkait layanan. Untuk informasi tentang membuat atau mengelola peran terkait layanan Image Builder, lihat. [Menggunakan peran terkait layanan IAM untuk Image Builder](image-builder-service-linked-role.md)
### Peran layanan
Fitur ini memungkinkan layanan untuk menerima [peran layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti bahwa pengguna dengan akses administratif dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.
# Kelola perimeter data untuk akses unduhan bucket S3 di Image Builder
EC2 Image Builder mengelola dua kelas bucket S3 milik layanan AWS yang berisi sumber daya yang dapat diunduh yang diperlukan untuk menjalankan beban kerja Image Builder di akun Anda. Jika Anda menggunakan perimeter data untuk mengontrol akses ke Amazon S3 di lingkungan Anda, Anda mungkin perlu secara eksplisit mengizinkan akses ke bucket ini. Anda dapat menggunakan bucket ARN atau URL bucket untuk mengizinkan daftar bucket ini, tergantung pada cara Anda mengontrol akses ke Amazon S3.
**Skrip bootstrap manajemen komponen (Diperlukan)**
Bucket S3 ini berisi skrip bootstrap untuk mengatur AWSTOE aplikasi pada instance EC2 yang digunakan untuk membuat gambar. Image Builder memerlukan akses untuk mengunduh skrip untuk mendukung pembuatan dan pengujian gambar baru.
+ **Ember S3 ARN:** `arn::s3:::ec2imagebuilder-managed-resources--prod`
+ **URL ember S3:** `https://ec2imagebuilder-managed-resources-.s3..`
**Komponen terkelola**
Bucket S3 ini berisi muatan paket untuk komponen yang dikelola Amazon. Image Builder memerlukan akses untuk mengunduh komponen terkelola apa pun yang dikonfigurasi dalam resep Anda.
+ **Ember S3 ARN:** `arn::s3:::ec2imagebuilder-toe--prod`
+ **URL ember S3:** `https://ec2imagebuilder-toe-.s3..`
# Kebijakan berbasis identitas Image Builder
**Topics**
+ [Praktik terbaik kebijakan berbasis identitas](#security-iam-service-policy-best-practices)
+ [Menggunakan konsol Image Builder](#sec-iam-id-based-policies-using-console)
## Praktik terbaik kebijakan berbasis identitas
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Image Builder di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Menggunakan konsol Image Builder
Untuk mengakses konsol EC2 Image Builder, Anda harus memiliki set izin minimum. Izin ini memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya Image Builder di. Akun AWS Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tersebut tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna IAM atau peran) dengan kebijakan tersebut.
Untuk memastikan bahwa entitas IAM Anda dapat menggunakan konsol Image Builder, Anda harus melampirkan salah satu kebijakan AWS terkelola berikut kepada mereka:
+ [AWSImageBuilderReadOnlyAccesskebijakan](security-iam-awsmanpol.md#sec-iam-manpol-AWSImageBuilderReadOnlyAccess)
+ [AWSImageBuilderFullAccesskebijakan](security-iam-awsmanpol.md#sec-iam-manpol-AWSImageBuilderFullAccess)
Untuk informasi selengkapnya tentang kebijakan terkelola Image Builder, lihat[Menggunakan kebijakan AWS terkelola untuk EC2 Image Builder](security-iam-awsmanpol.md).
**penting**
**AWSImageBuilderFullAccess**Kebijakan ini diperlukan untuk membuat peran terkait layanan Image Builder. Ketika Anda melampirkan kebijakan ini ke entitas IAM, Anda juga harus melampirkan kebijakan kustom berikut dan menyertakan sumber daya yang ingin Anda gunakan yang tidak ada `imagebuilder` dalam nama sumber daya:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:*:*:*imagebuilder*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetInstanceProfile"
],
"Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*imagebuilder*",
"arn:aws:iam::*:role/*imagebuilder*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:s3::*:*imagebuilder*"
}
]
}
```
------
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai alternatif, hanya izinkan akses ke tindakan yang cocok dengan operasi API yang sedang Anda coba lakukan.
## Izin IAM untuk alur kerja khusus
Saat menggunakan alur kerja khusus dengan tindakan langkah tertentu seperti[RegisterImage](wfdoc-step-actions.md#wfdoc-step-action-register-image), izin IAM tambahan mungkin diperlukan di luar kebijakan terkelola Image Builder standar. Bagian ini menjelaskan izin tambahan yang diperlukan untuk tindakan langkah alur kerja kustom.
### RegisterImage izin tindakan langkah
Tindakan `RegisterImage` langkah memerlukan izin Amazon EC2 tertentu untuk mendaftar AMIs dan secara opsional mengambil tag snapshot. Saat menggunakan `includeSnapshotTags` parameter, izin tambahan diperlukan untuk menggambarkan snapshot.
**Izin yang diperlukan untuk tindakan RegisterImage langkah:**
Untuk semua sumber daya, izinkan tindakan berikut:
+ `ec2:RegisterImage`
+ `ec2:DescribeSnapshots`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RegisterImage",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::image/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "RegisterImage"
}
}
}
]
}
```
**Rincian izin:**
+ `ec2:RegisterImage`- Diperlukan untuk mendaftar baru AMIs dari snapshot
+ `ec2:DescribeSnapshots`- Diperlukan saat menggunakan `includeSnapshotTags: true` untuk mengambil tag snapshot untuk digabungkan dengan tag AMI
+ `ec2:CreateTags`- Diperlukan untuk menerapkan tag ke AMI terdaftar, termasuk tag default Image Builder dan tag snapshot gabungan
**catatan**
`ec2:DescribeSnapshots`Izin hanya digunakan ketika `includeSnapshotTags` parameter diatur ke`true`. Jika Anda tidak menggunakan fitur ini, Anda dapat menghilangkan izin ini.
**Perilaku penggabungan tag:**
Ketika `includeSnapshotTags` diaktifkan, tindakan RegisterImage langkah akan:
+ Ambil tag dari snapshot pertama yang ditentukan dalam pemetaan perangkat blok
+ Kecualikan tag yang AWS dicadangkan (tag dengan kunci yang dimulai dengan “aws:”)
+ Gabungkan tag snapshot dengan tag registrasi AMI default Image Builder
+ Berikan prioritas pada tag Image Builder saat kunci tag bertentangan
## Kebijakan berbasis sumber daya Image Builder
Untuk informasi tentang cara membuat komponen, lihat[Gunakan komponen untuk menyesuaikan image Image Builder](manage-components.md).
### Membatasi akses komponen Image Builder ke alamat IP tertentu
Contoh berikut memberikan izin kepada setiap pengguna untuk melakukan operasi Image Builder pada komponen. Namun, permintaan harus berasal dari rentang alamat IP yang ditentukan dalam syarat.
Kondisi dalam pernyataan ini mengidentifikasi rentang 54.240.143.\$1 alamat IP Internet Protocol versi 4 (IPv4) yang diizinkan, dengan satu pengecualian: 54.240.143.188.
`Condition`Blok menggunakan `IpAddress` dan `NotIpAddress` kondisi dan kunci `aws:SourceIp` kondisi, yang merupakan kunci kondisi AWS-wide. Untuk informasi selengkapnya tentang kunci kondisi ini, lihat [Menentukan Ketentuan dalam Kebijakan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html). `aws:sourceIp` IPv4 Nilai-nilai menggunakan notasi CIDR standar. Untuk informasi lebih lanjut, lihat [Operator Syarat Alamat IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) dalam *Panduan Pengguna IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "IBPolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Action": "imagebuilder:GetComponent",
"Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
```
------
# Menggunakan kebijakan AWS terkelola untuk EC2 Image Builder
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## AWSImageBuilderFullAccesskebijakan
**AWSImageBuilderFullAccess**Kebijakan ini memberikan akses penuh ke resource Image Builder untuk peran yang dilampirkan, memungkinkan peran untuk mencantumkan, mendeskripsikan, membuat, memperbarui, dan menghapus resource Image Builder. Kebijakan ini juga memberikan izin yang ditargetkan untuk terkait Layanan AWS yang diperlukan, misalnya, untuk memverifikasi sumber daya, atau untuk menampilkan sumber daya saat ini untuk akun di. Konsol Manajemen AWS
### Detail izin
Kebijakan ini mencakup izin berikut:
+ **Image Builder** — Akses administratif diberikan, sehingga peran dapat mencantumkan, mendeskripsikan, membuat, memperbarui, dan menghapus sumber daya Image Builder.
+ **Amazon EC2** — Akses diberikan untuk Amazon EC2 Jelaskan tindakan yang diperlukan untuk memverifikasi keberadaan sumber daya atau mendapatkan daftar sumber daya milik akun.
+ **IAM** — Akses diberikan untuk mendapatkan dan menggunakan profil instance yang namanya berisi “imagebuilder”, untuk memverifikasi keberadaan peran terkait layanan Image Builder melalui aksi `iam:GetRole` API, dan untuk membuat peran terkait layanan Image Builder.
+ **License Manager** — Akses diberikan untuk membuat daftar konfigurasi lisensi atau lisensi untuk sumber daya.
+ **Amazon S3** - Akses diberikan untuk daftar bucket milik akun, dan juga bucket Image Builder dengan “imagebuilder” dalam nama mereka.
+ **Amazon SNS** - Izin tulis diberikan kepada Amazon SNS untuk memverifikasi kepemilikan topik untuk topik yang berisi “imagebuilder”.
Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html)di *Referensi Kebijakan AWS Terkelola*.
## AWSImageBuilderReadOnlyAccesskebijakan
**AWSImageBuilderReadOnlyAccess**Kebijakan ini menyediakan akses hanya-baca ke semua resource Image Builder. Izin diberikan untuk memverifikasi bahwa peran terkait layanan Image Builder ada melalui tindakan API. `iam:GetRole`
### Detail izin
Kebijakan ini mencakup izin berikut:
+ **Image Builder** - Akses diberikan untuk akses hanya-baca ke sumber daya Image Builder.
+ **IAM** — Akses diberikan untuk memverifikasi keberadaan peran terkait layanan Image Builder melalui tindakan API. `iam:GetRole`
Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html)di *Referensi Kebijakan AWS Terkelola*.
## AWSServiceRoleForImageBuilderkebijakan
**AWSServiceRoleForImageBuilder**Kebijakan ini memungkinkan Image Builder menelepon Layanan AWS atas nama Anda.
### Detail izin
Kebijakan ini dilampirkan ke peran terkait layanan Image Builder saat peran dibuat melalui Systems Manager. Untuk informasi selengkapnya tentang peran terkait layanan Image Builder, lihat. [Menggunakan peran terkait layanan IAM untuk Image Builder](image-builder-service-linked-role.md)
Kebijakan ini mencakup izin berikut:
+ **CloudWatch Log** — Akses diberikan untuk membuat dan mengunggah CloudWatch Log ke grup log mana pun yang namanya dimulai dengan`/aws/imagebuilder/`.
+ **Amazon EC2** — Akses diberikan kepada Image Builder untuk membuat, mengambil snapshot, dan mendaftarkan gambar (AMI) yang dibuat, dan meluncurkan instans EC2 di akun Anda. Image Builder menggunakan snapshot terkait, volume, antarmuka jaringan, subnet, grup keamanan, konfigurasi lisensi, dan pasangan kunci sesuai kebutuhan, selama gambar, instance, dan volume yang sedang dibuat atau digunakan ditandai dengan atau. `CreatedBy: EC2 Image Builder` `CreatedBy: EC2 Fast Launch`
Image Builder dapat memperoleh informasi tentang gambar Amazon EC2, atribut instans, status instans, jenis instans yang tersedia untuk akun Anda, templat peluncuran, subnet, host, dan tag di sumber daya Amazon EC2 Anda.
Image Builder dapat memperbarui pengaturan gambar untuk mengaktifkan atau menonaktifkan peluncuran instance Windows yang lebih cepat di akun Anda, di mana gambar ditandai. `CreatedBy: EC2 Image Builder`
Selain itu, Image Builder dapat memulai, menghentikan, dan menghentikan instance yang berjalan di akun Anda, membagikan snapshot Amazon EBS, membuat dan memperbarui gambar dan meluncurkan templat, membatalkan pendaftaran gambar yang ada, menambahkan tag, dan mereplikasi gambar di seluruh akun yang telah Anda berikan izin melalui kebijakan. **Ec2ImageBuilderCrossAccountDistributionAccess** Penandaan Image Builder diperlukan untuk semua tindakan ini, seperti yang dijelaskan sebelumnya.
+ **Amazon ECR** — Akses diberikan kepada Image Builder untuk membuat repositori jika diperlukan untuk pemindaian kerentanan gambar kontainer, dan menandai sumber daya yang dibuatnya untuk membatasi ruang lingkup operasinya. Akses juga diberikan kepada Image Builder untuk menghapus gambar kontainer yang dibuat untuk pemindaian setelah mengambil snapshot dari kerentanan.
+ **EventBridge**— Akses diberikan kepada Image Builder untuk membuat dan mengelola EventBridge aturan.
+ **IAM** - Akses diberikan kepada Image Builder untuk meneruskan peran apa pun di akun Anda ke Amazon EC2, dan ke Impor/Ekspor VM.
+ **Amazon Inspector** — Akses diberikan kepada Image Builder untuk menentukan kapan Amazon Inspector menyelesaikan pemindaian instans build, dan mengumpulkan temuan untuk gambar yang dikonfigurasi untuk mengizinkannya.
+ **AWS KMS**— Akses diberikan kepada Amazon EBS untuk mengenkripsi, mendekripsi, atau mengenkripsi ulang volume Amazon EBS. Ini penting untuk memastikan bahwa volume terenkripsi berfungsi saat Image Builder membuat gambar.
+ **License Manager** — Akses diberikan kepada Image Builder untuk memperbarui spesifikasi License Manager melalui`license-manager:UpdateLicenseSpecificationsForResource`.
+ **Amazon SNS** - Izin tulis diberikan untuk topik Amazon SNS apa pun di akun Anda.
+ **Systems Manager** — Akses diberikan kepada Image Builder untuk mencantumkan perintah Systems Manager dan pemanggilannya, entri inventaris, menjelaskan informasi instance dan status eksekusi otomatisasi, menjelaskan host sebagai dukungan penempatan instance, dan mendapatkan detail pemanggilan perintah. Image Builder juga dapat mengirim sinyal otomatisasi, dan menghentikan eksekusi otomatisasi untuk sumber daya apa pun di akun Anda.
Image Builder dapat mengeluarkan pemanggilan perintah run ke instance apa pun yang diberi tag `"CreatedBy": "EC2 Image Builder"` untuk file skrip berikut:`AWS-RunPowerShellScript`,, `AWS-RunShellScript` atau. `AWSEC2-RunSysprep` Image Builder dapat memulai eksekusi otomatisasi Systems Manager di akun Anda untuk dokumen otomatisasi tempat nama dimulai`ImageBuilder`.
Image Builder juga dapat membuat atau menghapus asosiasi State Manager untuk instans apa pun di akun Anda, selama dokumen asosiasi tersebut`AWS-GatherSoftwareInventory`, dan untuk membuat peran terkait layanan Systems Manager di akun Anda.
Image Builder dapat membaca Parameter Penyimpanan Parameter publik, dan membaca serta memperbarui Parameter pribadi yang diawali `/imagebuilder/` sehingga dapat memperbarui nilai Parameter dengan keluaran AMI IDs yang dibuat Image Builder dari build baru.
+ **AWS STS**— Akses diberikan kepada Image Builder untuk mengambil peran yang disebutkan **EC2ImageBuilderDistributionCrossAccountRole**dari akun Anda ke akun mana pun yang diizinkan oleh kebijakan Trust tentang peran tersebut. Ini digunakan untuk distribusi gambar lintas akun.
Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html)di *Referensi Kebijakan AWS Terkelola*.
## Ec2ImageBuilderCrossAccountDistributionAccesskebijakan
**Ec2ImageBuilderCrossAccountDistributionAccess**Kebijakan ini memberikan izin bagi Image Builder untuk mendistribusikan gambar di seluruh akun di Wilayah target. Selain itu, Image Builder dapat mendeskripsikan, menyalin, dan menerapkan tag ke gambar Amazon EC2 apa pun di akun. Kebijakan ini juga memberikan kemampuan untuk memodifikasi izin AMI melalui tindakan `ec2:ModifyImageAttribute` API.
### Detail izin
Kebijakan ini mencakup izin berikut:
+ **Amazon EC2** — Akses diberikan kepada Amazon EC2 untuk mendeskripsikan, menyalin, dan memodifikasi atribut untuk gambar, dan untuk membuat tag untuk gambar Amazon EC2 apa pun di akun.
Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html)di *Referensi Kebijakan AWS Terkelola*.
## EC2ImageBuilderLifecycleExecutionPolicykebijakan
**EC2ImageBuilderLifecycleExecutionPolicy**Kebijakan ini memberikan izin bagi Image Builder untuk melakukan tindakan seperti menghentikan, menonaktifkan, atau menghapus sumber daya gambar Image Builder dan sumber daya dasarnya (AMIssnapshot) guna mendukung aturan otomatis untuk tugas pengelolaan siklus hidup gambar.
### Detail izin
Kebijakan ini mencakup izin berikut:
+ **Amazon EC2** — Akses diberikan kepada Amazon EC2 untuk melakukan tindakan berikut untuk Amazon Machine Images AMIs () di akun yang diberi tag. `CreatedBy: EC2 Image Builder`
+ Aktifkan dan nonaktifkan AMI.
+ Aktifkan dan nonaktifkan penghentian gambar.
+ Jelaskan dan deregister AMI.
+ Menjelaskan dan memodifikasi atribut gambar AMI.
+ Hapus snapshot volume yang terkait dengan AMI.
+ Ambil tag untuk sumber daya.
+ Menambahkan atau menghapus tag dari AMI untuk penghentian.
+ **Amazon ECR** — Akses diberikan kepada Amazon ECR untuk melakukan tindakan batch berikut pada repositori ECR dengan tag. `LifecycleExecutionAccess: EC2 Image Builder` Tindakan Batch mendukung aturan siklus hidup gambar kontainer otomatis.
+ `ecr:BatchGetImage`
+ `ecr:BatchDeleteImage`
Akses diberikan pada tingkat repositori untuk repositori ECR yang ditandai dengan. `LifecycleExecutionAccess: EC2 Image Builder`
+ **AWS Grup sumber daya** - Akses diberikan kepada Image Builder untuk mendapatkan sumber daya berdasarkan tag.
+ **EC2 Image** Builder — Akses diberikan kepada Image Builder untuk menghapus sumber daya gambar Image Builder.
Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html)di *Referensi Kebijakan AWS Terkelola*.
## EC2InstanceProfileForImageBuilderkebijakan
**EC2InstanceProfileForImageBuilder**Kebijakan ini memberikan izin minimum yang diperlukan untuk instans EC2 agar dapat bekerja dengan Image Builder. Ini tidak termasuk izin yang diperlukan untuk menggunakan Agen Systems Manager.
### Detail izin
Kebijakan ini mencakup izin berikut:
+ **CloudWatch Log** — Akses diberikan untuk membuat dan mengunggah CloudWatch Log ke grup log mana pun yang namanya dimulai dengan`/aws/imagebuilder/`.
+ **Amazon EC2** — Akses diberikan untuk mendeskripsikan volume dan snapshot, untuk membuat snapshot volume atau sumber daya snapshot yang dibuat Image Builder, dan untuk membuat tag untuk sumber daya Image Builder.
+ **Image Builder** - Akses diberikan untuk mendapatkan Image Builder atau AWS Marketplace komponen apa pun.
+ **AWS KMS**— Akses diberikan untuk mendekripsi komponen Image Builder, jika dienkripsi melalui. AWS KMS
+ **Amazon S3** — Akses diberikan untuk mendapatkan objek yang disimpan dalam bucket Amazon S3 yang namanya dimulai `ec2imagebuilder-` dengan, atau sumber daya yang memiliki ekstensi file ISO.
Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html)di *Referensi Kebijakan AWS Terkelola*.
## EC2InstanceProfileForImageBuilderECRContainerBuildskebijakan
**EC2InstanceProfileForImageBuilderECRContainerBuilds**Kebijakan ini memberikan izin minimum yang diperlukan untuk instans EC2 saat bekerja dengan Image Builder untuk membuat image Docker, lalu mendaftarkan dan menyimpan gambar di repositori container Amazon ECR. Ini tidak termasuk izin yang diperlukan untuk menggunakan Agen Systems Manager.
### Detail izin
Kebijakan ini mencakup izin berikut:
+ **CloudWatch Log** — Akses diberikan untuk membuat dan mengunggah CloudWatch Log ke grup log mana pun yang namanya dimulai dengan`/aws/imagebuilder/`.
+ **Amazon ECR** — Akses diberikan kepada Amazon ECR untuk mendapatkan, mendaftar, dan menyimpan gambar kontainer, dan untuk mendapatkan token otorisasi.
+ **Image Builder** - Akses diberikan untuk mendapatkan komponen Image Builder atau resep wadah.
+ **AWS KMS**— Akses diberikan untuk mendekripsi komponen Image Builder atau resep wadah, jika dienkripsi melalui. AWS KMS
+ **Amazon S3** — Akses diberikan untuk mendapatkan objek yang disimpan dalam bucket Amazon S3 yang namanya dimulai dengan. `ec2imagebuilder-`
Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html)di *Referensi Kebijakan AWS Terkelola*.
## Image Builder memperbarui kebijakan AWS terkelola
Bagian ini memberikan informasi tentang pembaruan kebijakan AWS terkelola untuk Image Builder sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [riwayat dokumen](doc-history.md) Image Builder.
| Ubah | Deskripsi | Tanggal |
| --- | --- | --- |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) — Permbaruan ke kebijakan yang sudah ada | Image Builder membuat perubahan berikut pada peran layanan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | Februari 26, 2026 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Pembaruan ke kebijakan yang ada | Image Builder membuat perubahan berikut pada peran layanan untuk mendukung penggunaan Parameter Penyimpanan Parameter AWS Systems Manager (SSM) dalam resep dan selama distribusi gambar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | Juli 23, 2025 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder) – Pembaruan ke kebijakan yang ada | Image Builder membuat perubahan berikut pada kebijakan profil instance untuk mendukung lebih banyak ekstensi file untuk unduhan file ISO. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 19 Mei 2025 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Pembaruan ke kebijakan yang ada | Image Builder membuat perubahan berikut pada peran layanan untuk mendukung impor file ISO OS klien Microsoft sebagai image dasar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | Desember 30, 2024 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder) – Pembaruan ke kebijakan yang ada | Image Builder membuat perubahan berikut pada kebijakan profil instance untuk mendukung pembuatan gambar dari file image disk. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | Desember 30, 2024 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder)— Kebijakan yang diperbarui | Image Builder memperbarui `EC2InstanceProfileForImageBuilder` kebijakan untuk memungkinkan Image Builder mendapatkan AWS Marketplace komponen. | Desember 2, 2024 |
| [EC2ImageBuilderLifecycleExecutionPolicy](#sec-iam-manpol-EC2ImageBuilderLifecycleExecutionPolicy) – Kebijakan baru | Image Builder menambahkan `EC2ImageBuilderLifecycleExecutionPolicy` kebijakan baru yang berisi izin untuk manajemen siklus hidup gambar. | 17 November 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Pembaruan ke kebijakan yang ada | Image Builder membuat perubahan berikut pada peran layanan untuk memberikan dukungan penempatan instance. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 19 Oktober 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Pembaruan ke kebijakan yang ada | Image Builder membuat perubahan berikut pada peran layanan untuk memberikan dukungan penempatan instance. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 28 September 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Pembaruan ke kebijakan yang ada | Image Builder membuat perubahan berikut pada peran layanan untuk memungkinkan alur kerja Image Builder mengumpulkan temuan kerentanan untuk build image container AMI dan ECR. Izin baru mendukung fitur deteksi dan pelaporan CVE. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 30 Maret 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Pembaruan ke kebijakan yang ada | Image Builder membuat perubahan berikut pada peran layanan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 22 Maret 2022 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Pembaruan ke kebijakan yang ada | Image Builder membuat perubahan berikut pada peran layanan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | Februari 21, 2022 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Pembaruan ke kebijakan yang ada | Image Builder membuat perubahan berikut pada peran layanan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 20 November 2021 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – Pembaruan ke kebijakan yang ada | Image Builder menambahkan izin baru untuk memperbaiki masalah di mana lebih dari satu asosiasi inventaris menyebabkan pembuatan gambar macet. | Agustus 11, 2021 |
| [AWSImageBuilderFullAccess](#sec-iam-manpol-AWSImageBuilderFullAccess) – Pembaruan ke kebijakan yang ada | Image Builder membuat perubahan berikut pada peran akses penuh: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 13 April, 2021 |
| Image Builder mulai melacak perubahan | Image Builder mulai melacak perubahan untuk kebijakan yang AWS dikelola. | April 02, 2021 |
# Menggunakan peran terkait layanan IAM untuk Image Builder
EC2 Image Builder AWS Identity and Access Management menggunakan peran terkait layanan (IAM[)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke Image Builder. Peran terkait layanan telah ditentukan sebelumnya oleh Image Builder dan menyertakan semua izin yang diperlukan layanan untuk memanggil orang lain Layanan AWS atas nama Anda.
Peran terkait layanan membuat pengaturan Image Builder lebih efisien, karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Image Builder mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya Image Builder yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin. Kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan cari layanan yang memiliki **Ya** di kolom Peran Tertaut **Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk Image Builder
Image Builder menggunakan peran **AWSServiceRoleForImageBuilder**terkait layanan untuk memungkinkan EC2 Image Builder mengakses AWS sumber daya atas nama Anda. Peran terkait layanan mempercayai layanan *imagebuilder.amazonaws.com* untuk mengambil peran tersebut.
Anda tidak perlu membuat peran tertaut layanan secara manual. Saat Anda membuat image Image Builder pertama Anda di AWS Management Console, Management Console AWS CLI, atau AWS API, Image Builder akan membuat peran terkait layanan untuk Anda.
Tindakan berikut membuat gambar baru:
+ Jalankan wizard pipeline di konsol Image Builder untuk membuat gambar kustom.
+ Gunakan salah satu tindakan API berikut, atau AWS CLI perintahnya yang sesuai:
+ Tindakan **[CreateImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_CreateImage.html)** API (**[create-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/create-image.html)**dalam AWS CLI).
+ Tindakan **[ImportVmImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_ImportVmImage.html)** API (**[import-vm-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/import-vm-image.html)**dalam AWS CLI).
+ Tindakan **[StartImagePipelineExecution](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_StartImagePipelineExecution.html)** API (**[start-image-pipeline-execution](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/start-image-pipeline-execution.html)**dalam AWS CLI).
**penting**
Jika peran terkait layanan dihapus dari akun Anda, Anda dapat menggunakan proses yang sama untuk membuatnya lagi. Saat Anda membuat sumber daya EC2 Image Builder pertama Anda, Image Builder akan membuat peran terkait layanan untuk Anda lagi.
Untuk melihat izin untuk **AWSServiceRoleForImageBuilder**, lihat [AWSServiceRoleForImageBuilderkebijakan](security-iam-awsmanpol.md#sec-iam-manpol-AWSServiceRoleForImageBuilder) halaman. *Untuk mempelajari lebih lanjut tentang mengonfigurasi izin untuk peran terkait layanan, lihat Izin Peran Tertaut [Layanan di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions).*
## Menghapus peran terkait layanan Image Builder dari akun Anda
Anda dapat menggunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran terkait layanan untuk Image Builder secara manual dari akun Anda. Namun, sebelum Anda melakukan ini, Anda harus memastikan bahwa tidak ada sumber daya Image Builder diaktifkan yang merujuknya.
**catatan**
Jika layanan Image Builder menggunakan peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Bersihkan sumber daya Image Builder yang digunakan oleh `AWSServiceRoleForImageBuilder` peran**
1. Verifikasi bahwa tidak ada build pipeline yang berjalan sebelum Anda mulai. Untuk membatalkan build yang sedang berjalan, gunakan `cancel-image-creation` perintah dari file AWS CLI.
```
aws imagebuilder cancel-image-creation --image-build-version-arn arn:aws:imagebuilder:us-east-1:123456789012:image-pipeline/sample-pipeline
```
1. Ubah semua jadwal pipeline untuk menggunakan proses pembuatan manual, atau hapus jika Anda tidak akan menggunakannya lagi. Untuk informasi selengkapnya tentang menghapus sumber daya, lihat[Hapus sumber daya Image Builder yang sudah usang atau tidak digunakan](delete-resources.md).
**Hapus peran terkait layanan menggunakan IAM**
Anda dapat menggunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus `AWSServiceRoleForImageBuilder` peran dari akun Anda. Untuk informasi selengkapnya, silakan lihat [Menghapus Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) di *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk peran terkait layanan Image Builder
Image Builder mendukung penggunaan peran terkait layanan di semua AWS Wilayah tempat layanan tersedia. Untuk daftar AWS Wilayah yang didukung, lihat[AWS Wilayah dan Titik Akhir](what-is-image-builder.md#image-builder-regions).
# Memecahkan masalah IAM di Image Builder
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di Image Builder](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya Image Builder saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di Image Builder
Jika Anda menerima pesan kesalahan bahwa Anda tidak memiliki otorisasi untuk melakukan tindakan, kebijakan Anda harus diperbarui agar Anda dapat melakukan tindakan tersebut.
Contoh kesalahan berikut terjadi ketika pengguna IAM `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang suatu sumber daya `my-example-widget` rekaan, tetapi tidak memiliki izin `imagebuilder:GetWidget` rekaan.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: imagebuilder:GetWidget on resource: my-example-widget
```
Dalam hal ini, kebijakan untuk pengguna `mateojackson` harus diperbarui untuk mengizinkan akses ke sumber daya `my-example-widget` dengan menggunakan tindakan `imagebuilder:GetWidget`.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan yang tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Image Builder.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di Image Builder. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya Image Builder saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah Image Builder mendukung fitur ini, lihat[Cara Image Builder bekerja dengan kebijakan dan peran IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*