Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Image Builder
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che funziona Servizi AWS nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per maggiori informazioni sui programmi di conformità che si applicano a EC2 Image Builder [Servizi AWS , consulta Scope by AWS Compliance Program Services in Scope by](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa quando si utilizza Image Builder. I seguenti argomenti mostrano come configurare Image Builder per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a usarne altri Servizi AWS che ti aiutano a monitorare e proteggere le tue risorse di Image Builder.
**Topics**
+ [Protezione dei dati e modello di responsabilità AWS condivisa in Image Builder](data-protection.md)
+ [Integrazione di Identity and Access Management per Image Builder](security-iam.md)
+ [Convalida della conformità per Image Builder](compliance.md)
+ [Ridondanza e resilienza dei dati in Image Builder](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in Image Builder](infrastructure-security.md)
+ [Gestione delle patch per le immagini di Image Builder](security-patch-management.md)
+ [Best practice di sicurezza per Image Builder](security-best-practices.md)
# Protezione dei dati e modello di responsabilità AWS condivisa in Image Builder
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di di si applica alla protezione dei dati in EC2 Image Builder. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i. Cloud AWS L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Image Builder o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
## Crittografia e gestione delle chiavi in Image Builder
Image Builder crittografa i dati in transito e a riposo per impostazione predefinita con una chiave KMS di proprietà del servizio, ad eccezione di quanto segue:
+ **Componenti personalizzati**: Image Builder crittografa i componenti personalizzati con la chiave KMS predefinita o una chiave KMS di proprietà del servizio.
+ **Flussi di lavoro di immagini**: Image Builder può crittografare i flussi di lavoro di immagini con una chiave gestita dal cliente se si specifica la chiave durante la creazione del flusso di lavoro. Image Builder gestisce la crittografia e la decrittografia con la tua chiave per eseguire i flussi di lavoro che hai configurato per le tue immagini.
Puoi gestire le tue chiavi tramite. AWS KMS Tuttavia, non sei autorizzato a gestire la chiave KMS di Image Builder di proprietà di Image Builder. Per ulteriori informazioni sulla gestione delle chiavi KMS con AWS Key Management Service, consulta [Guida introduttiva](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) nella Guida per gli sviluppatori. AWS Key Management Service
**Contesto di crittografia**
Per fornire un ulteriore controllo di integrità e autenticità dei dati crittografati, hai la possibilità di includere un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) quando crittografi i dati. Quando una risorsa viene crittografata con un contesto di AWS KMS crittografia, associa crittograficamente il contesto al testo cifrato. La risorsa può essere decrittografata solo se il richiedente fornisce una corrispondenza esatta con distinzione tra maiuscole e minuscole per il contesto.
Gli esempi di policy in questa sezione utilizzano un contesto di crittografia simile all'Amazon Resource Name (ARN) di una risorsa del flusso di lavoro Image Builder.
### Crittografa i flussi di lavoro relativi alle immagini con una chiave gestita dal cliente
Per aggiungere un livello di protezione, puoi crittografare le risorse del flusso di lavoro di Image Builder con la tua chiave gestita dal cliente. Se si utilizza la chiave gestita dal cliente per crittografare i flussi di lavoro di Image Builder creati, è necessario concedere l'accesso nella politica chiave affinché Image Builder possa utilizzare la chiave quando crittografa e decrittografa le risorse del flusso di lavoro. Puoi revocare l'accesso in qualsiasi momento. Tuttavia, Image Builder non avrà accesso a nessun flusso di lavoro già crittografato se si revoca l'accesso alla chiave.
Il processo per concedere a Image Builder l'accesso all'utilizzo della chiave gestita dal cliente prevede due passaggi, come segue:
**Fase 1: Aggiungere le autorizzazioni chiave per i flussi di lavoro di Image Builder**
Per consentire a Image Builder di crittografare e decrittografare le risorse del flusso di lavoro quando crea o utilizza tali flussi di lavoro, è necessario specificare le autorizzazioni nella politica delle chiavi KMS.
Questo esempio di policy chiave concede l'accesso alle pipeline di Image Builder per crittografare le risorse del flusso di lavoro durante il processo di creazione e decrittografare le risorse del flusso di lavoro per utilizzarle. La politica concede inoltre l'accesso agli amministratori chiave. Il contesto di crittografia e le specifiche delle risorse utilizzano un carattere jolly per coprire tutte le regioni in cui sono disponibili risorse per il flusso di lavoro.
Come prerequisito per l'utilizzo dei flussi di lavoro di immagini, hai creato un ruolo di esecuzione del flusso di lavoro IAM che concede l'autorizzazione a Image Builder per eseguire azioni di flusso di lavoro. Il principio della prima istruzione mostrata nell'esempio di policy chiave riportato qui deve specificare il ruolo di esecuzione del flusso di lavoro IAM.
Per ulteriori informazioni sulle chiavi gestite dai clienti, consulta [Gestire l'accesso alle chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) nella *Guida per gli AWS Key Management Service sviluppatori*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow access to build images with encrypted workflow",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/YourImageBuilderExecutionRole"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:imagebuilder:arn": "arn:aws:imagebuilder:*:111122223333:workflow/*"
}
}
},
{
"Sid": "Allow access for key administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:*"
],
"Resource": "arn:aws:kms:*:111122223333:key/*"
}
]
}
```
------
**Passaggio 2: concedere l'accesso chiave al ruolo di esecuzione del flusso di lavoro**
Il ruolo IAM che Image Builder assume per eseguire i flussi di lavoro richiede l'autorizzazione per utilizzare la chiave gestita dal cliente. Senza l'accesso alla tua chiave, Image Builder non sarà in grado di crittografare o decrittografare le risorse del flusso di lavoro con essa.
Modifica la politica per il tuo ruolo di esecuzione del flusso di lavoro aggiungendo la seguente dichiarazione di politica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToWorkflowKey",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/key_ID",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:imagebuilder:arn": "arn:aws:imagebuilder:*:111122223333:workflow/*"
}
}
}
]
}
```
------
### AWS CloudTrail eventi per flussi di lavoro basati su immagini
Gli esempi seguenti mostrano le AWS CloudTrail voci tipiche per la crittografia e la decrittografia dei flussi di lavoro di immagini archiviate con una chiave gestita dal cliente.
**Esempio: GenerateDataKey**
Questo esempio mostra come potrebbe apparire un CloudTrail evento quando Image Builder richiama l'azione API dall'azione dell' AWS KMS **GenerateDataKey**API Image Builder. **CreateWorkflow** Image Builder deve crittografare un nuovo flusso di lavoro prima di creare la risorsa del flusso di lavoro.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "PRINCIPALID1234567890:workflow-role-name",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/workflow-role-name",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "PRINCIPALID1234567890",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-11-21T20:29:31Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "imagebuilder.amazonaws.com"
},
"eventTime": "2023-11-21T20:31:03Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "imagebuilder.amazonaws.com",
"userAgent": "imagebuilder.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:imagebuilder:arn": "arn:aws:imagebuilder:us-west-2:111122223333:workflow/build/sample-encrypted-workflow/1.0.0/*",
"aws-crypto-public-key": "key value"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:alias/ExampleKMSKey",
"numberOfBytes": 32
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**Esempio: Decrypt**
Questo esempio mostra come potrebbe apparire un CloudTrail evento quando Image Builder richiama l'azione API dall'azione dell' AWS KMS **Decrypt**API Image Builder. **GetWorkflow** Le pipeline di Image Builder devono decrittografare una risorsa del flusso di lavoro prima di poterla utilizzare.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "PRINCIPALID1234567890:workflow-role-name",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/workflow-role-name",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "PRINCIPALID1234567890",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-11-21T20:29:31Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "imagebuilder.amazonaws.com"
},
"eventTime": "2023-11-21T20:34:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "imagebuilder.amazonaws.com",
"userAgent": "imagebuilder.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:imagebuilder:arn": "arn:aws:imagebuilder:us-west-2:111122223333:workflow/build/sample-encrypted-workflow/1.0.0/*",
"aws-crypto-public-key": "ABC123def4567890abc12345678/90dE/F123abcDEF+4567890abc123D+ef1=="
}
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## Archiviazione dei dati in Image Builder
Image Builder non memorizza nessuno dei tuoi log nel servizio. Tutti i log vengono salvati sull'istanza Amazon EC2 utilizzata per creare l'immagine o nei log di automazione di Systems Manager.
## Privacy del traffico tra reti in Image Builder
Le connessioni sono protette tra Image Builder e le sedi locali, AZs tra l'interno di AWS una regione e AWS tra le regioni tramite HTTPS. Non esistono connessioni dirette tra gli account.
# Integrazione di Identity and Access Management per Image Builder
**Topics**
+ [Destinatari](#security-iam-audience)
+ [Autenticazione con identità](#security-iam-authentication)
+ [Come Image Builder funziona con le politiche e i ruoli IAM](security_iam_service-with-iam.md)
+ [Gestisci i perimetri dei dati per l'accesso al download dei bucket S3 in Image Builder](security-iam-data-perimeter.md)
+ [Criteri basati sull'identità di Image Builder](security-iam-identity-based-policies.md)
+ [Autorizzazioni IAM per flussi di lavoro personalizzati](#security-iam-custom-workflows)
+ [Politiche basate sulle risorse di Image Builder](#security-iam-resource-based-policies)
+ [Usa policy AWS gestite per EC2 Image Builder](security-iam-awsmanpol.md)
+ [Usa i ruoli collegati ai servizi IAM per Image Builder](image-builder-service-linked-role.md)
+ [Risolvi i problemi di IAM in Image Builder](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risolvi i problemi di IAM in Image Builder](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come Image Builder funziona con le politiche e i ruoli IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Criteri basati sull'identità di Image Builder](security_iam_service-with-iam.md#security_iam_id-based-policy-examples))
## Autenticazione con identità
Per informazioni dettagliate su come fornire l'autenticazione per persone e processi in azienda Account AWS, consulta [Identities](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) in the *IAM User* Guide.
# Come Image Builder funziona con le politiche e i ruoli IAM
Prima di utilizzare IAM per gestire l'accesso a Image Builder, scopri quali funzionalità IAM sono disponibili per l'uso con Image Builder.
Per avere una visione di alto livello di come Image Builder e AWS altri servizi funzionano con la maggior parte delle funzionalità IAM, [AWS consulta i servizi che funzionano con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM nella IAM User *Guide*.
## Politiche basate sull'identità per Image Builder
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate sull'identità per Image Builder
Per visualizzare esempi di politiche basate sull'identità di Image Builder, vedere. [Criteri basati sull'identità di Image Builder](#security_iam_id-based-policy-examples)
## Politiche basate sulle risorse all'interno di Image Builder
**Supporta le policy basate sulle risorse**: sì
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per Image Builder
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
*Per visualizzare un elenco delle azioni di Image Builder, consulta [Azioni definite da EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions) nel Service Authorization Reference.*
Le azioni politiche in Image Builder utilizzano il seguente prefisso prima dell'azione:
```
imagebuilder
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"imagebuilder:action1",
"imagebuilder:action2"
]
```
Per visualizzare esempi di politiche basate sull'identità di Image Builder, vedere. [Criteri basati sull'identità di Image Builder](#security_iam_id-based-policy-examples)
## Risorse politiche per Image Builder
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
*Per visualizzare un elenco dei tipi di risorse di Image Builder e relativi ARNs, consulta [Risorse definite da EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-resources-for-iam-policies) nel Service Authorization Reference.* Per sapere con quali azioni è possibile specificare l'ARN di ogni risorsa, consulta [Azioni definite da EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità di Image Builder, vedere. [Criteri basati sull'identità di Image Builder](#security_iam_id-based-policy-examples)
## Chiavi delle condizioni dei criteri per Image Builder
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
*Per visualizzare un elenco delle chiavi di condizione di Image Builder, consulta Chiavi di [condizione per EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-policy-keys) nel Service Authorization Reference.* Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, consulta [Azioni definite da EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità di Image Builder, vedere. [Criteri basati sull'identità di Image Builder](#security_iam_id-based-policy-examples)
## ACLs in Image Builder
**Supporti ACLs: no**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con Image Builder
**Supporta ABAC (tag nelle policy):** parzialmente
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. È possibile allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con Image Builder
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali per diversi servizi per Image Builder
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso diretto (FAS) utilizzano le autorizzazioni del principale che chiama an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Image Builder
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di Image Builder. Modifica i ruoli di servizio solo quando Image Builder fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per Image Builder
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per informazioni dettagliate sul ruolo collegato al servizio Image Builder, vedere. [Usa i ruoli collegati ai servizi IAM per Image Builder](image-builder-service-linked-role.md)
## Criteri basati sull'identità di Image Builder
Con le policy IAM basate su identità puoi specificare azioni e risorse consentite o rifiutate, nonché le condizioni in base alle quali le azioni sono consentite o rifiutate. Image Builder supporta azioni, risorse e chiavi di condizione specifiche. *Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Actions, Resources, and Condition Keys for Amazon EC2 Image Builder](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2imagebuilder.html) nella IAM User Guide.*
### Azioni
Le azioni politiche in Image Builder utilizzano il seguente prefisso prima dell'azione:. `imagebuilder:` Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Image Builder definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"imagebuilder:action1",
"imagebuilder:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `List`, includi la seguente azione:
```
"Action": "imagebuilder:List*"
```
Per visualizzare un elenco delle azioni di Image Builder, consulta [Actions, Resources and Condition Keys Servizi AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) nella *IAM User Guide*.
### Gestione dell’accesso tramite policy
*Per informazioni dettagliate su come gestire l'accesso creando policy e collegandole a identità o AWS risorse IAM, consulta [Policies and permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella IAM User Guide. AWS *
Il ruolo IAM che associ al tuo profilo di istanza deve disporre delle autorizzazioni per eseguire i componenti di compilazione e test inclusi nell'immagine. Le seguenti policy di ruolo IAM devono essere collegate al ruolo IAM associato al profilo dell'istanza:
+ EC2InstanceProfileForImageBuilder
+ EC2InstanceProfileForImageBuilderECRContainerBuilds
+ AmazonSSMManagedInstanceCore
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
L'ARN è composto da più nodi che aiutano a identificare la risorsa e garantiscono che il nome sia univoco. Gli ultimi nodi del nome includono diverse varianti di formattazione per il tipo, il nome e l'ID della risorsa. Quando Image Builder crea una risorsa, utilizza il seguente formato:
`arn:aws:imagebuilder:region:owner:resource-type/resource-name/version/build-version`
**Nota**
La versione build non è sempre inclusa nell'ARN della risorsa. Tuttavia, alcune operazioni API, ad esempio [GetComponent](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_GetComponent.html), richiedono la versione di build per identificare in modo univoco una risorsa da recuperare.
Per le risorse utilizzate da Image Builder nelle sue ricette, come l'immagine di base o i componenti, il nodo proprietario può essere uno dei seguenti:
+ Il numero di account del proprietario della risorsa
+ Per le risorse gestite da Amazon: `aws`
+ Per Marketplace AWS le risorse: `aws-marketplace`
L'esempio seguente mostra l'ARN per un componente gestito per installare l' CloudWatch agente Amazon su Linux:
```
arn:aws:imagebuilder:us-east-1:aws:component/amazon-cloudwatch-agent-linux/1.0.1/1
```
Questo esempio mostra l'ARN per un componente gestito fittizio da: Marketplace AWS
```
arn:aws:imagebuilder:us-east-1:aws-marketplace:component/example-linux-software-component/1.0.1
```
Per ulteriori informazioni su come ottenere un elenco di componenti, incluso l'uso di un filtro di proprietà, vedere. [Elenca i componenti di Image Builder](component-details.md#list-components)
**Esempio ARNs**
Di seguito sono riportati alcuni esempi di risorse ARNs che è possibile specificare in una policy IAM:
+ ARN istanza
```
"Resource": "arn:aws:imagebuilder:us-east-1:111122223333:instance/i-1234567890abcdef0"
```
+ Esempio Wildcard (\$1) per specificare tutte le istanze di un determinato account
```
"Resource": "arn:aws:imagebuilder:us-east-1:111122223333:instance/*"
```
+ Esempio con Wildcard (\$1) per specificare tutte le versioni di un flusso di lavoro con immagini gestite
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:workflow/build/build-image/*"
```
+ ARN dell'immagine gestita
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:image/amazon-linux-2-arm64/2024.12.17/1"
```
+ Esempio di Wildcard (\$1) per specificare tutte le versioni di un'immagine gestita
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:image/amazon-linux-2-arm64/x.x.x"
```
Molte azioni dell'API EC2 Image Builder coinvolgono più risorse. Per specificare più risorse in una singola istruzione, separale ARNs con virgole.
```
"Resource": [
"resource1",
"resource2"
]
```
### Chiavi di condizione
Image Builder fornisce chiavi di condizione specifiche del servizio e supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta [AWS Global Condition Context Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *IAM* User Guide. Vengono fornite le seguenti chiavi di condizione specifiche del servizio.
#### generatore di immagini: CreatedResourceTagKeys
Lavora con [operatori stringa](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Usa questa chiave per filtrare l'accesso in base alla presenza di chiavi tag nella richiesta. Ciò consente di gestire le risorse create da Image Builder.
**Disponibilità**: questa chiave è disponibile solo per `CreateInfrastrucutreConfiguration` e `UpdateInfrastructureConfiguration` APIs.
#### imagebuilder:/CreatedResourceTag
Lavora con [operatori stringa](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Utilizzate questa chiave per filtrare l'accesso in base alle coppie chiave-valore dei tag allegate alla risorsa creata da Image Builder. Ciò consente di gestire le risorse di Image Builder tramite tag definiti.
**Disponibilità**: questa chiave è disponibile solo per `CreateInfrastrucutreConfiguration` e `UpdateInfrastructureConfiguration` APIs.
#### generatore di immagini: LifecyclePolicyResourceType
Lavora con [operatori stringa](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Usa questa chiave per filtrare l'accesso in base al tipo di risorsa Lifecycle specificato nella richiesta.
Il valore di questa chiave può essere o`AMI_IMAGE`. `CONTAINER_IMAGE`
**Disponibilità**: questa chiave è disponibile solo per il `CreateLifecyclePolicy` e `UpdateLifecyclePolicy`APIs.
#### Generatore di immagini: EC2 MetadataHttpTokens
Lavora con [operatori stringa](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Utilizza questa chiave per filtrare l'accesso in base al requisito del token HTTP dei metadati dell'istanza EC2 specificato nella richiesta.
Questo valore per questa chiave può essere o`optional`. `required`
**Disponibilità**: questa chiave è disponibile solo per il `CreateInfrastrucutreConfiguration` e `UpdateInfrastructureConfiguration` APIs.
#### generatore di immagini: StatusTopicArn
Lavora con [operatori stringa](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Utilizzate questa chiave per filtrare l'accesso in base all'ARN dell'argomento SNS nella richiesta in cui verranno pubblicate le notifiche sullo stato del terminale.
**Disponibilità**: questa chiave è disponibile solo per e. `CreateInfrastrucutreConfiguration` `UpdateInfrastructureConfiguration` APIs
### Esempi
Per visualizzare esempi di politiche basate sull'identità di Image Builder, vedere. [Criteri basati sull'identità di Image Builder](security-iam-identity-based-policies.md)
## Politiche basate sulle risorse di Image Builder
Le politiche basate sulle risorse specificano quali azioni un determinato principale può eseguire sulla risorsa Image Builder e in quali condizioni. Image Builder supporta politiche di autorizzazione basate sulle risorse per componenti, immagini e ricette di immagini. Le policy basate su risorse consentono di concedere l'autorizzazione all'utilizzo ad altri account per ogni risorsa. È inoltre possibile utilizzare una politica basata sulle risorse per consentire a un AWS servizio di accedere ai componenti, alle immagini e alle ricette di immagini.
Per informazioni su come allegare una policy basata sulle risorse a un componente, un'immagine o una ricetta di immagini, consulta. [Condividi le risorse di Image Builder con AWS RAM](manage-shared-resources.md)
**Nota**
Quando si aggiorna una politica delle risorse utilizzando Image Builder, l'aggiornamento verrà visualizzato nella console RAM.
## Autorizzazione basata sui tag Image Builder
È possibile allegare tag alle risorse di Image Builder o passare i tag in una richiesta a Image Builder. Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `imagebuilder:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Per ulteriori informazioni sull'etichettatura delle risorse di Image Builder, vedere. [Assegna un tag a una risorsa dal AWS CLI](tag-resources.md#cli-tag-resource)
## Ruoli IAM di Image Builder
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità interna all'utente Account AWS che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con Image Builder
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
### Ruoli collegati ai servizi
[I ruoli collegati ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) consentono di accedere Servizi AWS alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un utente con accesso amministrativo può visualizzare ma non modificare le autorizzazioni per i ruoli collegati ai servizi.
Image Builder supporta i ruoli collegati ai servizi. Per informazioni sulla creazione o la gestione dei ruoli collegati ai servizi di Image Builder, vedere. [Usa i ruoli collegati ai servizi IAM per Image Builder](image-builder-service-linked-role.md)
### Ruoli dei servizi
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un utente con accesso amministrativo può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.
# Gestisci i perimetri dei dati per l'accesso al download dei bucket S3 in Image Builder
EC2 Image Builder mantiene due AWS classi di bucket S3 di proprietà del servizio che contengono le risorse scaricabili necessarie per eseguire i carichi di lavoro di Image Builder nel tuo account. Se utilizzi perimetri di dati per controllare l'accesso ad Amazon S3 nel tuo ambiente, potresti dover consentire esplicitamente l'accesso a questi bucket. Puoi utilizzare l'ARN del bucket o l'URL del bucket per inserire questi bucket nell'elenco consentito, a seconda di come controlli l'accesso ad Amazon S3.
**Script di bootstrap per la gestione dei componenti (obbligatori)**
Questo bucket S3 contiene script di bootstrap per configurare l' AWSTOE applicazione sulle istanze EC2 utilizzate per creare immagini. Image Builder richiede l'accesso per scaricare gli script per supportare la creazione e il test di nuove immagini.
+ **ARN del secchio S3:** `arn::s3:::ec2imagebuilder-managed-resources--prod`
+ **URL del bucket S3:** `https://ec2imagebuilder-managed-resources-.s3..`
**Componenti gestiti**
Questo bucket S3 contiene payload di pacchetti per componenti gestiti da Amazon. Image Builder richiede l'accesso per scaricare tutti i componenti gestiti configurati nelle ricette.
+ **ARN del secchio S3:** `arn::s3:::ec2imagebuilder-toe--prod`
+ **URL del bucket S3:** `https://ec2imagebuilder-toe-.s3..`
# Criteri basati sull'identità di Image Builder
**Topics**
+ [Le migliori pratiche di policy basate sull'identità](#security-iam-service-policy-best-practices)
+ [Utilizzo della console Image Builder](#sec-iam-id-based-policies-using-console)
## Le migliori pratiche di policy basate sull'identità
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse di Image Builder nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Image Builder
Per accedere alla console EC2 Image Builder, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni consentono di elencare e visualizzare i dettagli sulle risorse Image Builder presenti nel tuo. Account AWS Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti e ruoli IAM) associate a tale policy.
Per garantire che le entità IAM possano utilizzare la console Image Builder, è necessario allegare ad esse una delle seguenti policy AWS gestite:
+ [Policy AWSImageBuilderReadOnlyAccess](security-iam-awsmanpol.md#sec-iam-manpol-AWSImageBuilderReadOnlyAccess)
+ [Policy AWSImageBuilderFullAccess](security-iam-awsmanpol.md#sec-iam-manpol-AWSImageBuilderFullAccess)
Per ulteriori informazioni sulle politiche gestite da Image Builder, vedere. [Usa policy AWS gestite per EC2 Image Builder](security-iam-awsmanpol.md)
**Importante**
La **AWSImageBuilderFullAccess**policy è necessaria per creare il ruolo collegato al servizio Image Builder. Quando colleghi questa policy a un'entità IAM, devi anche allegare la seguente policy personalizzata e includere le risorse che desideri utilizzare che non sono `imagebuilder` presenti nel nome della risorsa:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:*:*:*imagebuilder*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetInstanceProfile"
],
"Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*imagebuilder*",
"arn:aws:iam::*:role/*imagebuilder*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:s3::*:*imagebuilder*"
}
]
}
```
------
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso l' AWS API AWS CLI o la stessa. Al contrario, è possibile accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.
## Autorizzazioni IAM per flussi di lavoro personalizzati
Quando si utilizzano flussi di lavoro personalizzati con azioni specifiche, ad esempio[RegisterImage](wfdoc-step-actions.md#wfdoc-step-action-register-image), potrebbero essere necessarie autorizzazioni IAM aggiuntive oltre alle policy gestite standard di Image Builder. Questa sezione descrive le autorizzazioni aggiuntive necessarie per le azioni personalizzate in fasi del flusso di lavoro.
### RegisterImage autorizzazioni relative alle azioni di fase
L'azione `RegisterImage` graduale richiede autorizzazioni specifiche di Amazon EC2 per registrare AMIs e, facoltativamente, recuperare i tag degli snapshot. Quando si utilizza il `includeSnapshotTags` parametro, sono necessarie autorizzazioni aggiuntive per descrivere le istantanee.
**Autorizzazioni richieste per RegisterImage l'azione graduale:**
Per tutte le risorse, consenti le seguenti azioni:
+ `ec2:RegisterImage`
+ `ec2:DescribeSnapshots`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RegisterImage",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::image/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "RegisterImage"
}
}
}
]
}
```
**Dettagli delle autorizzazioni:**
+ `ec2:RegisterImage`- Necessario per la registrazione AMIs di nuove istantanee
+ `ec2:DescribeSnapshots`- Richiesto quando si utilizza `includeSnapshotTags: true` per recuperare i tag snapshot per la fusione con i tag AMI
+ `ec2:CreateTags`- Necessario per applicare i tag all'AMI registrata, inclusi i tag predefiniti di Image Builder e i tag snapshot uniti
**Nota**
L'`ec2:DescribeSnapshots`autorizzazione viene utilizzata solo quando il `includeSnapshotTags` parametro è impostato su. `true` Se non utilizzi questa funzione, puoi omettere questa autorizzazione.
**Comportamento di fusione dei tag:**
Quando `includeSnapshotTags` è abilitata, l'azione RegisterImage graduale:
+ Recupera i tag dalla prima istantanea specificata nella mappatura del dispositivo a blocchi
+ Escludi tutti AWS i tag riservati (quelli con chiavi che iniziano con «aws:»)
+ Unisci i tag snapshot con i tag di registrazione AMI predefiniti di Image Builder
+ Dai la precedenza ai tag di Image Builder in caso di conflitto tra le chiavi dei tag
## Politiche basate sulle risorse di Image Builder
Per informazioni su come creare un componente, vedere. [Usa i componenti per personalizzare l'immagine di Image Builder](manage-components.md)
### Limitazione dell'accesso dei componenti Image Builder a indirizzi IP specifici
L'esempio seguente concede a qualsiasi utente le autorizzazioni per eseguire qualsiasi operazione di Image Builder sui componenti. La richiesta deve, tuttavia, avere origine dall'intervallo di indirizzi IP specificati nella condizione.
La condizione di questa istruzione identifica l'intervallo 54.240.143.\$1 di indirizzi IP consentiti per la versione 4 (IPv4) del protocollo Internet, con un'eccezione: 54.240.143.188.
Il `Condition` blocco utilizza le `NotIpAddress` condizioni `IpAddress` and e la chiave condition, che è una chiave di condizione -wide. `aws:SourceIp` AWS Per ulteriori informazioni su queste chiavi di condizione, vedere [Specificazione delle condizioni in una politica](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html). I `aws:sourceIp` IPv4 valori utilizzano la notazione CIDR standard. Per ulteriori informazioni, consulta [Operatori di condizione con indirizzo IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) nella *Guida per l'utente di IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "IBPolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Action": "imagebuilder:GetComponent",
"Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
```
------
# Usa policy AWS gestite per EC2 Image Builder
Una policy AWS gestita è una policy autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## Policy AWSImageBuilderFullAccess
La **AWSImageBuilderFullAccess**politica garantisce l'accesso completo alle risorse di Image Builder per il ruolo a cui è associato, consentendo al ruolo di elencare, descrivere, creare, aggiornare ed eliminare le risorse di Image Builder. La politica concede inoltre autorizzazioni mirate alle risorse correlate Servizi AWS necessarie, ad esempio, per verificare le risorse o per visualizzare le risorse correnti per l'account in. Console di gestione AWS
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ **Image Builder**: viene concesso l'accesso amministrativo, in modo che il ruolo possa elencare, descrivere, creare, aggiornare ed eliminare le risorse di Image Builder.
+ **Amazon EC2**: l'accesso è concesso per Amazon EC2 Descrivi le azioni necessarie per verificare l'esistenza delle risorse o ottenere elenchi di risorse appartenenti all'account.
+ **IAM**: viene concesso l'accesso per ottenere e utilizzare profili di istanza il cui nome contiene «imagebuilder», per verificare l'esistenza del ruolo collegato al servizio Image Builder tramite l'azione `iam:GetRole` API e per creare il ruolo collegato al servizio Image Builder.
+ **License Manager**: viene concesso l'accesso per elencare le configurazioni di licenza o le licenze per una risorsa.
+ **Amazon S3**: è consentito l'accesso ai bucket di elenco appartenenti all'account e anche ai bucket Image Builder con «imagebuilder» nel nome.
+ **Amazon SNS**: le autorizzazioni di scrittura vengono concesse ad Amazon SNS per verificare la proprietà degli argomenti contenenti «imagebuilder».
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Policy AWSImageBuilderReadOnlyAccess
La **AWSImageBuilderReadOnlyAccess**policy fornisce l'accesso in sola lettura a tutte le risorse di Image Builder. Vengono concesse le autorizzazioni per verificare l'esistenza del ruolo collegato al servizio Image Builder tramite l'azione API. `iam:GetRole`
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ **Image Builder**: l'accesso è concesso per l'accesso in sola lettura alle risorse di Image Builder.
+ **IAM**: viene concesso l'accesso per verificare l'esistenza del ruolo collegato al servizio Image Builder tramite l'azione API. `iam:GetRole`
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Policy AWSServiceRoleForImageBuilder
La **AWSServiceRoleForImageBuilder**policy consente a Image Builder di effettuare chiamate per Servizi AWS conto dell'utente.
### Dettagli delle autorizzazioni
Questa policy è associata al ruolo collegato al servizio Image Builder quando il ruolo viene creato tramite Systems Manager. Per ulteriori informazioni sul ruolo collegato al servizio Image Builder, vedere. [Usa i ruoli collegati ai servizi IAM per Image Builder](image-builder-service-linked-role.md)
La policy include le seguenti autorizzazioni:
+ **CloudWatch Registri**: è concesso l'accesso per creare e caricare CloudWatch registri in qualsiasi gruppo di log il cui nome inizia con. `/aws/imagebuilder/`
+ **Amazon EC2**: Image Builder consente di creare, scattare istantanee e registrare le immagini (AMI) create e avviare istanze EC2 nel tuo account. Image Builder utilizza istantanee, volumi, interfacce di rete, sottoreti, gruppi di sicurezza, configurazione delle licenze e coppie di chiavi correlati come richiesto, purché l'immagine, l'istanza e i volumi che vengono creati o utilizzati siano etichettati con o. `CreatedBy: EC2 Image Builder` `CreatedBy: EC2 Fast Launch`
Image Builder può ottenere informazioni sulle immagini di Amazon EC2, gli attributi delle istanze, lo stato delle istanze, i tipi di istanza disponibili per il tuo account, i modelli di avvio, le sottoreti, gli host e i tag sulle tue risorse Amazon EC2.
Image Builder può aggiornare le impostazioni dell'immagine per abilitare o disabilitare l'avvio più rapido delle istanze di Windows nell'account, dove l'immagine è contrassegnata con. `CreatedBy: EC2 Image Builder`
Inoltre, Image Builder può avviare, arrestare e terminare le istanze in esecuzione nel tuo account, condividere istantanee di Amazon EBS, creare e aggiornare immagini e avviare modelli, annullare la registrazione di immagini esistenti, aggiungere tag e replicare immagini tra gli account a cui hai concesso le autorizzazioni tramite la policy. **Ec2ImageBuilderCrossAccountDistributionAccess** Il tagging di Image Builder è necessario per tutte queste azioni, come descritto in precedenza.
+ **Amazon ECR** — Image Builder ha accesso per creare un repository, se necessario, per le scansioni delle vulnerabilità delle immagini dei container e contrassegnare le risorse che crea per limitare l'ambito delle sue operazioni. A Image Builder viene inoltre concesso l'accesso per eliminare le immagini del contenitore che ha creato per le scansioni dopo aver scattato istantanee delle vulnerabilità.
+ **EventBridge**— A Image Builder viene concesso l'accesso per creare e gestire EventBridge regole.
+ **IAM**: Image Builder consente di trasferire qualsiasi ruolo del tuo account ad Amazon EC2 e a VM Import/Export.
+ **Amazon Inspector**: a Image Builder viene concesso l'accesso per determinare quando Amazon Inspector completa le scansioni delle istanze di build e per raccogliere i risultati delle immagini configurate per consentirlo.
+ **AWS KMS**— L'accesso è concesso ad Amazon EBS per crittografare, decrittografare o ricrittografare i volumi Amazon EBS. Questo è fondamentale per garantire che i volumi crittografati funzionino quando Image Builder crea un'immagine.
+ **License Manager**: Image Builder consente di aggiornare le specifiche del License Manager tramite. `license-manager:UpdateLicenseSpecificationsForResource`
+ **Amazon SNS: le** autorizzazioni di scrittura sono concesse per qualsiasi argomento di Amazon SNS nel tuo account.
+ **Systems Manager**: a Image Builder viene concesso l'accesso per elencare i comandi di Systems Manager e le relative chiamate, le voci di inventario, descrivere le informazioni sull'istanza e gli stati di esecuzione dell'automazione, descrivere gli host per il supporto del posizionamento delle istanze e ottenere dettagli sulla chiamata dei comandi. Image Builder può anche inviare segnali di automazione e interrompere le esecuzioni di automazione per qualsiasi risorsa del tuo account.
Image Builder è in grado di emettere chiamate di comando run a qualsiasi istanza contrassegnata `"CreatedBy": "EC2 Image Builder"` per i seguenti file di script:`AWS-RunPowerShellScript`,, o. `AWS-RunShellScript` `AWSEC2-RunSysprep` Image Builder è in grado di avviare un'esecuzione di automazione di Systems Manager nell'account per i documenti di automazione il cui nome inizia con. `ImageBuilder`
Image Builder è anche in grado di creare o eliminare associazioni di State Manager per qualsiasi istanza dell'account, purché il documento di associazione sia presente`AWS-GatherSoftwareInventory`, e di creare il ruolo collegato al servizio Systems Manager nell'account.
Image Builder è in grado di leggere i parametri pubblici del Parameter Store e di leggere e aggiornare i parametri privati con prefisso `/imagebuilder/` in modo da poter aggiornare il valore del parametro con l'AMI di output che Image IDs Builder crea da una nuova build.
+ **AWS STS**— A Image Builder viene concesso l'accesso per assumere i ruoli denominati **EC2ImageBuilderDistributionCrossAccountRole**dall'account a qualsiasi account in cui la politica di attendibilità relativa al ruolo lo consenta. Viene utilizzato per la distribuzione di immagini tra più account.
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Policy Ec2ImageBuilderCrossAccountDistributionAccess
La **Ec2ImageBuilderCrossAccountDistributionAccess**politica concede a Image Builder le autorizzazioni per distribuire immagini tra account nelle regioni di destinazione. Inoltre, Image Builder può descrivere, copiare e applicare tag a qualsiasi immagine Amazon EC2 nell'account. La policy garantisce inoltre la possibilità di modificare le autorizzazioni AMI tramite l'azione `ec2:ModifyImageAttribute` API.
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ **Amazon EC2**: Amazon EC2 ha accesso per descrivere, copiare e modificare gli attributi di un'immagine e per creare tag per qualsiasi immagine Amazon EC2 nell'account.
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Policy EC2ImageBuilderLifecycleExecutionPolicy
La **EC2ImageBuilderLifecycleExecutionPolicy**politica concede a Image Builder le autorizzazioni per eseguire azioni come deprecare, disabilitare o eliminare le risorse di immagine di Image Builder e le relative risorse sottostanti AMIs (istantanee) per supportare regole automatizzate per le attività di gestione del ciclo di vita delle immagini.
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ **Amazon EC2**: Amazon EC2 consente ad Amazon EC2 di eseguire le seguenti azioni per Amazon Machine Images AMIs () nell'account contrassegnato. `CreatedBy: EC2 Image Builder`
+ Abilita e disabilita un AMI.
+ Abilita e disabilita la deprecazione delle immagini.
+ Descrivi e annulla la registrazione di un AMI.
+ Descrivi e modifica gli attributi delle immagini AMI.
+ Elimina le istantanee del volume associate all'AMI.
+ Recupera i tag per una risorsa.
+ Aggiungi o rimuovi tag da un'AMI per renderli obsoleti.
+ **Amazon ECR**: Amazon ECR consente ad Amazon ECR di eseguire le seguenti azioni batch sui repository ECR con il tag. `LifecycleExecutionAccess: EC2 Image Builder` Le azioni Batch supportano le regole automatizzate del ciclo di vita delle immagini dei container.
+ `ecr:BatchGetImage`
+ `ecr:BatchDeleteImage`
L'accesso è concesso a livello di repository per gli archivi ECR contrassegnati con. `LifecycleExecutionAccess: EC2 Image Builder`
+ **AWS Gruppi di risorse**: a Image Builder viene concesso l'accesso per ottenere risorse basate sui tag.
+ **EC2 Image** Builder — Image Builder consente a Image Builder di eliminare le risorse di immagine di Image Builder.
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Policy EC2InstanceProfileForImageBuilder
La **EC2InstanceProfileForImageBuilder**policy concede le autorizzazioni minime necessarie affinché un'istanza EC2 funzioni con Image Builder. Ciò non include le autorizzazioni necessarie per utilizzare l'agente Systems Manager.
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ **CloudWatch Registri**: l'accesso è concesso per creare e caricare CloudWatch registri in qualsiasi gruppo di log il cui nome inizia con. `/aws/imagebuilder/`
+ **Amazon EC2** — L'accesso è concesso per descrivere volumi e istantanee, per creare istantanee di volumi o risorse snapshot create da Image Builder e per creare tag per le risorse Image Builder.
+ **Image Builder**: l'accesso è concesso per ottenere qualsiasi Image Marketplace AWS Builder o componente.
+ **AWS KMS**— L'accesso è concesso per decrittografare un componente Image Builder, se è stato crittografato tramite. AWS KMS
+ **Amazon S3**: l'accesso è concesso per ottenere oggetti archiviati in un bucket Amazon S3 il cui nome inizia `ec2imagebuilder-` con o risorse con estensione di file ISO.
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Policy EC2InstanceProfileForImageBuilderECRContainerBuilds
La **EC2InstanceProfileForImageBuilderECRContainerBuilds**policy concede le autorizzazioni minime richieste per un'istanza EC2 quando si lavora con Image Builder per creare immagini Docker e quindi registrare e archiviare le immagini in un repository di contenitori Amazon ECR. Ciò non include le autorizzazioni necessarie per utilizzare l'agente Systems Manager.
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ **CloudWatch Registri**: l'accesso è concesso per creare e caricare CloudWatch registri in qualsiasi gruppo di log il cui nome inizia con. `/aws/imagebuilder/`
+ **Amazon ECR**: Amazon ECR consente di ottenere, registrare e archiviare un'immagine del contenitore e ottenere un token di autorizzazione.
+ **Image Builder**: è consentito l'accesso per ottenere un componente Image Builder o una ricetta del contenitore.
+ **AWS KMS**— L'accesso è concesso per decrittografare un componente Image Builder o una ricetta contenitore, se è stato crittografato tramite. AWS KMS
+ **Amazon S3**: l'accesso è concesso per archiviare oggetti in un bucket Amazon S3 il cui nome inizia con. `ec2imagebuilder-`
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Image Builder aggiorna le politiche gestite AWS
Questa sezione fornisce informazioni sugli aggiornamenti delle politiche AWS gestite per Image Builder da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, abbonatevi al feed RSS nella pagina della cronologia dei documenti di Image [Builder](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento a una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 26 febbraio 2026 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio per supportare l'uso dei parametri AWS Systems Manager (SSM) Parameter Store nelle ricette e durante la distribuzione delle immagini. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 23 luglio 2025 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche alla politica del profilo dell'istanza per supportare più estensioni di file per il download di file ISO. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 19 maggio 2025 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio per supportare l'importazione di file ISO del sistema operativo client Microsoft come immagine di base. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 30 dicembre 2024 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche alla politica del profilo dell'istanza per supportare la creazione di immagini dai file di immagine del disco. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 30 dicembre 2024 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder)— Politica aggiornata | Image Builder ha aggiornato la `EC2InstanceProfileForImageBuilder` politica per consentire a Image Builder di ottenere componenti. Marketplace AWS | 2 dicembre 2024 |
| [EC2ImageBuilderLifecycleExecutionPolicy](#sec-iam-manpol-EC2ImageBuilderLifecycleExecutionPolicy): nuova policy | Image Builder ha aggiunto la nuova `EC2ImageBuilderLifecycleExecutionPolicy` politica che contiene le autorizzazioni per la gestione del ciclo di vita delle immagini. | 17 novembre 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio per fornire supporto per il posizionamento delle istanze. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 19 ottobre 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio per fornire supporto per il posizionamento delle istanze. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 28 settembre 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio per consentire ai flussi di lavoro di Image Builder di raccogliere i risultati delle vulnerabilità per le build di immagini dei contenitori AMI ed ECR. Le nuove autorizzazioni supportano la funzionalità di rilevamento e segnalazione CVE. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 30 marzo 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 22 marzo 2022 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 21 febbraio 2022 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 20 novembre 2021 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha aggiunto nuove autorizzazioni per risolvere i problemi in cui più di un'associazione di inventario causa il blocco della creazione dell'immagine. | 11 agosto 2021 |
| [AWSImageBuilderFullAccess](#sec-iam-manpol-AWSImageBuilderFullAccess): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di accesso completo: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 13 aprile 2021 |
| Image Builder ha iniziato a tracciare le modifiche | Image Builder ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 02 aprile 2021 |
# Usa i ruoli collegati ai servizi IAM per Image Builder
EC2 Image AWS Identity and Access Management Builder utilizza ruoli collegati ai servizi ([IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a Image Builder. I ruoli collegati ai servizi sono predefiniti da Image Builder e includono tutte le autorizzazioni richieste dal servizio per chiamare altri utenti per conto dell'utente. Servizi AWS
Un ruolo collegato al servizio rende la configurazione di Image Builder più efficiente, poiché non è necessario aggiungere manualmente le autorizzazioni necessarie. Image Builder definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Image Builder può assumerne i ruoli. Le autorizzazioni definite includono policy di trust e di autorizzazioni. Le policy di autorizzazioni non possono essere collegate a nessun'altra entità IAM.
****Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS That [Work with IAM e cerca i servizi con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) Sì nella colonna Service-Linked Role.**** Scegliere **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per Image Builder
Image Builder utilizza il ruolo **AWSServiceRoleForImageBuilder**collegato al servizio per consentire a EC2 Image Builder di accedere alle risorse per tuo conto. AWS *Il ruolo collegato al servizio si fida che il servizio imagebuilder.amazonaws.com assuma il ruolo.*
Non è necessario creare manualmente questo ruolo collegato ai servizi. Quando create la vostra prima immagine di Image Builder nella AWS Management Console, o nell' AWS API AWS CLI, Image Builder crea automaticamente il ruolo collegato al servizio.
Le seguenti azioni creano una nuova immagine:
+ Esegui la procedura guidata per la pipeline nella console Image Builder per creare un'immagine personalizzata.
+ Utilizza una delle seguenti azioni API o il comando corrispondente: AWS CLI
+ L'azione **[CreateImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_CreateImage.html)** API (**[create-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/create-image.html)**in AWS CLI).
+ L'azione **[ImportVmImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_ImportVmImage.html)** API (**[import-vm-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/import-vm-image.html)**in AWS CLI).
+ L'azione **[StartImagePipelineExecution](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_StartImagePipelineExecution.html)** API (**[start-image-pipeline-execution](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/start-image-pipeline-execution.html)**in AWS CLI).
**Importante**
Se il ruolo collegato al servizio viene eliminato dal tuo account, puoi utilizzare la stessa procedura per crearlo nuovamente. Quando crei la tua prima risorsa EC2 Image Builder, Image Builder crea nuovamente il ruolo collegato al servizio per te.
Per vedere le autorizzazioni per la, consulta la pagina. **AWSServiceRoleForImageBuilder**[Policy AWSServiceRoleForImageBuilder](security-iam-awsmanpol.md#sec-iam-manpol-AWSServiceRoleForImageBuilder) *Per ulteriori informazioni sulla configurazione delle autorizzazioni per un ruolo collegato al servizio, consulta Service-Linked Role Permissions nella [IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions).*
## Rimuovere un ruolo collegato al servizio Image Builder dall'account
Puoi utilizzare la console IAM AWS CLI, o l' AWS API per rimuovere manualmente il ruolo collegato al servizio per Image Builder dal tuo account. Tuttavia, prima di eseguire questa operazione, è necessario assicurarsi che non vi siano risorse Image Builder abilitate che fanno riferimento ad esso.
**Nota**
Se il servizio Image Builder utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Pulisci le risorse di Image Builder utilizzate dal ruolo `AWSServiceRoleForImageBuilder`**
1. Verificate che nessuna build di pipeline sia in esecuzione prima di iniziare. Per annullare una build in esecuzione, utilizzate il `cancel-image-creation` comando di. AWS CLI
```
aws imagebuilder cancel-image-creation --image-build-version-arn arn:aws:imagebuilder:us-east-1:123456789012:image-pipeline/sample-pipeline
```
1. Modifica tutte le pianificazioni della pipeline per utilizzare un processo di compilazione manuale o eliminale se non le utilizzerai più. Per ulteriori informazioni sull'eliminazione delle risorse, consulta. [Eliminare risorse Image Builder obsolete o inutilizzate](delete-resources.md)
**Elimina il ruolo collegato al servizio utilizzando IAM**
Puoi utilizzare la console IAM AWS CLI, o l' AWS API per eliminare il `AWSServiceRoleForImageBuilder` ruolo dal tuo account. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi di Image Builder
Image Builder supporta l'utilizzo di ruoli collegati ai servizi in tutte le AWS regioni in cui il servizio è disponibile. Per l'elenco delle AWS regioni supportate, vedere. [AWS Regioni ed endpoint](what-is-image-builder.md#image-builder-regions)
# Risolvi i problemi di IAM in Image Builder
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Image Builder](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse di Image Builder](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Image Builder
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `imagebuilder:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: imagebuilder:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `imagebuilder:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di passare un ruolo a Image Builder.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Image Builder. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse di Image Builder
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o elenchi di controllo degli accessi (ACLs), è possibile utilizzare tali criteri per concedere alle persone l'accesso alle proprie risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Image Builder supporta queste funzionalità, vedere. [Come Image Builder funziona con le politiche e i ruoli IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Convalida della conformità per Image Builder
EC2 Image Builder non rientra nell'ambito AWS di alcun programma di conformità.
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta [AWS la documentazione sulla sicurezza](https://docs.aws.amazon.com/security/).
È possibile incorporare prodotti Marketplace AWS o componenti di AWS Task Orchestrator and Executor (AWSTOE) nelle immagini di Image Builder per garantire la conformità delle immagini. Per ulteriori informazioni, consulta [Prodotti di conformità per le immagini di Image Builder](integ-compliance-products.md).
# Ridondanza e resilienza dei dati in Image Builder
L'infrastruttura AWS globale è costruita attorno AWS a regioni e zone di disponibilità. AWS Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, puoi progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
Il servizio EC2 Image Builder consente di distribuire immagini create in una regione tra altre regioni, offrendo loro una resilienza multiregionale per. AMIs Non esiste alcun meccanismo per «eseguire il backup» di pipeline, ricette o componenti di immagini. Puoi archiviare i documenti delle ricette e dei componenti all'esterno del servizio Image Builder, ad esempio in un bucket Amazon S3.
EC2 Image Builder non può essere configurato per l'High Availability (HA). È possibile distribuire le immagini in più regioni per renderle più disponibili.
Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta [AWS Global Infrastructure](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sicurezza dell'infrastruttura in Image Builder
La rete AWS globale offre funzionalità di sicurezza e controlla l'accesso alla rete per servizi come EC2 Image Builder. Per ulteriori informazioni sulla sicurezza dell'infrastruttura che AWS fornisce i suoi servizi, consulta la sezione [Sicurezza dell'infrastruttura](https://docs.aws.amazon.com/whitepapers/latest/introduction-aws-security/infrastructure-security.html) nel white paper *Introduzione alla AWS sicurezza*.
Per inviare richieste attraverso la rete AWS globale per le azioni dell'API Image Builder, il software client deve rispettare le seguenti linee guida di sicurezza:
+ Per inviare richieste di azioni API Image Builder, il software client deve utilizzare una versione supportata di Transport Layer Security (TLS).
**Nota**
AWS sta eliminando gradualmente il supporto per le versioni TLS 1.0 e 1.1. Ti consigliamo vivamente di aggiornare il software client per utilizzare la versione TLS 1.2 o successiva in modo da poter continuare a connetterti. Per ulteriori informazioni, consulta questo [post sul blog AWS sulla sicurezza](https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/).
+ Il software client deve supportare suite di crittografia con Perfect Forward Secrecy (PFS), come Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi attuali, come Java 7 e versioni successive, supporta queste modalità.
+ È necessario firmare le richieste API con un ID di chiave di accesso e una chiave di accesso segreta associata a un principale AWS Identity and Access Management (IAM). Oppure puoi usare il [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html)(AWS STS) per generare credenziali di sicurezza temporanee per le tue richieste.
Inoltre, le istanze EC2 utilizzate da Image Builder per creare e testare le immagini devono avere accesso. AWS Systems Manager
# Gestione delle patch per le immagini di Image Builder
AWS fornisce aggiornamenti gestiti AMIs ogni mese con gli ultimi aggiornamenti e patch di sicurezza applicati per i seguenti sistemi operativi. È possibile utilizzarli AMIs come immagine di base per le personalizzazioni. Per ulteriori informazioni, consulta [Sistemi operativi supportati](what-is-image-builder.md#image-builder-os).
+ Distribuzioni Linux tra cui Amazon Linux 2 AL2023, Red Hat Enterprise Linux (RHEL), CentOS, Ubuntu, SUSE Linux Enterprise Server
+ Windows Server 2016 e versioni successive
+ macOS 10.14.x e versioni successive
Dopo aver creato un'immagine personalizzata, sei responsabile dell'applicazione delle patch al sistema Amazon EC2, secondo il modello di responsabilità [condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/). Se le istanze EC2 nel carico di lavoro dell'applicazione possono essere sostituite facilmente, la soluzione più efficiente potrebbe essere aggiornare l'AMI di base e ridistribuire tutti i nodi di calcolo in base a questa immagine.
**Nota**
Per l'applicazione delle patch su macOS, ti consigliamo di creare una nuova versione della ricetta che utilizzi l'ultima AMI gestita per l'immagine di base, quindi di creare un'immagine personalizzata aggiornata dalla ricetta e dalle altre risorse di creazione dell'immagine. Se le istanze Mac non possono essere sostituite facilmente, consulta la pagina [Aggiornamento del sistema operativo e del software sulle istanze Mac](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/mac-instance-updates.html) nella Guida per l'*utente di Amazon EC2* per ulteriori informazioni.
Di seguito sono riportati due modi per mantenere aggiornato Image Builder AMIs .
+ **AWS-componenti di patching forniti** — EC2 Image Builder fornisce i seguenti componenti di build che installano tutti gli aggiornamenti del sistema operativo in sospeso:
+ `update-linux`
+ `update-windows`
Questi componenti utilizzano il modulo di azione. `UpdateOS` Per ulteriori informazioni, consulta [Aggiorna il sistema operativo](toe-action-modules.md#action-modules-updateos). I componenti possono essere aggiunti alle pipeline di creazione dell'immagine selezionandoli dall'elenco dei componenti AWS forniti.
+ **Componenti di compilazione personalizzati con operazioni di patching**: per installare o aggiornare selettivamente le patch sui sistemi operativi supportati AMIs, è possibile creare un componente Image Builder per installare le patch richieste. Un componente personalizzato può installare le patch utilizzando script di shell (Bash o PowerShell) oppure può utilizzare il modulo di `UpdateOS` azione per specificare le patch per l'installazione o l'esclusione. Per ulteriori informazioni, consulta [Moduli di azione supportati dal gestore AWSTOE dei componenti](toe-action-modules.md).
Componente che utilizza il modulo di `UpdateOS` azione (solo Linux e Windows). Il modulo di `UpdateOS` azione non è supportato per macOS.)
```
schemaVersion: 1.0
phases:
- name: build
steps:
- name: UpdateOS
action: UpdateOS
```
Componente che utilizza Bash per installare gli aggiornamenti yum
```
schemaVersion: 1.0
phases:
- name: build
steps:
- name: InstallYumUpdates
action: ExecuteBash
inputs:
commands:
- sudo yum update -y
```
# Best practice di sicurezza per Image Builder
EC2 Image Builder offre una serie di funzionalità di sicurezza da prendere in considerazione durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l’ambiente, sono da considerare come considerazioni utili anziché prescrizioni.
+ Non utilizzare gruppi di sicurezza eccessivamente permissivi nelle ricette di Image Builder.
+ Non condividete immagini con account di cui non vi fidate.
+ Non rendere pubbliche le immagini che contengono dati privati o sensibili.
+ Applica tutte le patch di sicurezza disponibili per Windows o Linux durante la creazione delle immagini.
+ Applica periodicamente gli aggiornamenti delle AMI gestite alle tue ricette macOS e crea nuove immagini per avviare istanze con le patch di sicurezza più recenti.
Ti consigliamo vivamente di testare le immagini per convalidare il livello di sicurezza e i livelli di conformità di sicurezza applicabili. Soluzioni come [Amazon Inspector](https://aws.amazon.com/inspector/) possono aiutare a convalidare il livello di sicurezza e conformità delle immagini.
**IMDSv2 per le pipeline di Image Builder**
Quando viene eseguita la pipeline di Image Builder, invia richieste HTTP per avviare istanze EC2 che Image Builder utilizza per creare e testare l'immagine. Per configurare la versione di IMDS utilizzata dalla pipeline per le richieste di avvio, imposta il `httpTokens` parametro nelle impostazioni dei metadati dell'istanza di configurazione dell'infrastruttura Image Builder.
**Nota**
Ti consigliamo di configurare tutte le istanze EC2 che Image Builder avvia da una build di pipeline da IMDSv2 utilizzare in modo che le richieste di recupero dei metadati dell'istanza richiedano un'intestazione token firmata.
Per ulteriori informazioni sulla configurazione dell'infrastruttura Image Builder, vedere. [Gestione della configurazione dell'infrastruttura Image Builder](manage-infra-config.md) Per ulteriori informazioni sulle opzioni di metadati delle istanze EC2 per le immagini Linux, consulta [Configurare le opzioni dei metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) nella Amazon EC2 User Guide. Per le immagini Windows, consulta [Configurare le opzioni dei metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) nella Guida per l'utente di Amazon EC2.
## Pulizia post-compilazione richiesta
Dopo che Image Builder ha completato tutti i passaggi di creazione dell'immagine personalizzata, Image Builder prepara l'istanza di compilazione per il test e la creazione di immagini. Prima di chiudere l'istanza di compilazione per creare l'istantanea, Image Builder esegue la seguente pulizia per garantire la sicurezza dell'immagine:
------
#### [ Linux ]
La pipeline Image Builder esegue uno script di pulizia per garantire che l'immagine finale segua le migliori pratiche di sicurezza e per rimuovere eventuali artefatti o impostazioni di build che non devono essere trasferiti all'istantanea. Tuttavia, è possibile saltare sezioni dello script o sostituire completamente i dati dell'utente. Pertanto, le immagini prodotte dalle pipeline di Image Builder non sono necessariamente conformi a criteri normativi specifici.
Quando la pipeline completa le fasi di compilazione e test, Image Builder esegue automaticamente il seguente script di pulizia appena prima di creare l'immagine di output.
**Importante**
Se **sovrascrivi i dati utente** nella tua ricetta, lo script non viene eseguito. In tal caso, assicurati di includere nei dati utente un comando che crei un file vuoto denominato`perform_cleanup`. Image Builder rileva questo file ed esegue lo script di pulizia prima di creare la nuova immagine.
```
#!/bin/bash
if [[ ! -f {{workingDirectory}}/perform_cleanup ]]; then
echo "Skipping cleanup"
exit 0
else
sudo rm -f {{workingDirectory}}/perform_cleanup
fi
function cleanup() {
FILES=("$@")
for FILE in "${FILES[@]}"; do
if [[ -f "$FILE" ]]; then
echo "Deleting $FILE";
sudo shred -zuf $FILE;
fi;
if [[ -f $FILE ]]; then
echo "Failed to delete '$FILE'. Failing."
exit 1
fi;
done
};
# Clean up for cloud-init files
CLOUD_INIT_FILES=(
"/etc/sudoers.d/90-cloud-init-users"
"/etc/locale.conf"
"/var/log/cloud-init.log"
"/var/log/cloud-init-output.log"
)
if [[ -f {{workingDirectory}}/skip_cleanup_cloudinit_files ]]; then
echo "Skipping cleanup of cloud init files"
else
echo "Cleaning up cloud init files"
cleanup "${CLOUD_INIT_FILES[@]}"
if [[ $( sudo find /var/lib/cloud -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting files within /var/lib/cloud/*"
sudo find /var/lib/cloud -type f -exec shred -zuf {} \;
fi;
if [[ $( sudo ls /var/lib/cloud | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/lib/cloud/*"
sudo rm -rf /var/lib/cloud/* || true
fi;
fi;
# Clean up for temporary instance files
INSTANCE_FILES=(
"/etc/.updated"
"/etc/aliases.db"
"/etc/hostname"
"/var/lib/misc/postfix.aliasesdb-stamp"
"/var/lib/postfix/master.lock"
"/var/spool/postfix/pid/master.pid"
"/var/.updated"
"/var/cache/yum/x86_64/2/.gpgkeyschecked.yum"
)
if [[ -f {{workingDirectory}}/skip_cleanup_instance_files ]]; then
echo "Skipping cleanup of instance files"
else
echo "Cleaning up instance files"
cleanup "${INSTANCE_FILES[@]}"
fi;
# Clean up for ssh files
SSH_FILES=(
"/etc/ssh/ssh_host_rsa_key"
"/etc/ssh/ssh_host_rsa_key.pub"
"/etc/ssh/ssh_host_ecdsa_key"
"/etc/ssh/ssh_host_ecdsa_key.pub"
"/etc/ssh/ssh_host_ed25519_key"
"/etc/ssh/ssh_host_ed25519_key.pub"
"/root/.ssh/authorized_keys"
)
if [[ -f {{workingDirectory}}/skip_cleanup_ssh_files ]]; then
echo "Skipping cleanup of ssh files"
else
echo "Cleaning up ssh files"
cleanup "${SSH_FILES[@]}"
USERS=$(ls /home/)
for user in $USERS; do
echo Deleting /home/"$user"/.ssh/authorized_keys;
sudo find /home/"$user"/.ssh/authorized_keys -type f -exec shred -zuf {} \;
done
for user in $USERS; do
if [[ -f /home/"$user"/.ssh/authorized_keys ]]; then
echo Failed to delete /home/"$user"/.ssh/authorized_keys;
exit 1
fi;
done;
fi;
# Clean up for instance log files
INSTANCE_LOG_FILES=(
"/var/log/audit/audit.log"
"/var/log/boot.log"
"/var/log/dmesg"
"/var/log/cron"
)
if [[ -f {{workingDirectory}}/skip_cleanup_instance_log_files ]]; then
echo "Skipping cleanup of instance log files"
else
echo "Cleaning up instance log files"
cleanup "${INSTANCE_LOG_FILES[@]}"
fi;
# Clean up for TOE files
if [[ -f {{workingDirectory}}/skip_cleanup_toe_files ]]; then
echo "Skipping cleanup of TOE files"
else
echo "Cleaning TOE files"
if [[ $( sudo find {{workingDirectory}}/TOE_* -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within {{workingDirectory}}/TOE_*"
sudo find {{workingDirectory}}/TOE_* -type f -exec shred -zuf {} \;
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete {{workingDirectory}}/TOE_*"
exit 1
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type d | sudo wc -l) -gt 0 ]]; then
echo "Deleting {{workingDirectory}}/TOE_*"
sudo rm -rf {{workingDirectory}}/TOE_*
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type d | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete {{workingDirectory}}/TOE_*"
exit 1
fi
fi
# Clean up for ssm log files
if [[ -f {{workingDirectory}}/skip_cleanup_ssm_log_files ]]; then
echo "Skipping cleanup of ssm log files"
else
echo "Cleaning up ssm log files"
if [[ $( sudo find /var/log/amazon/ssm -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within /var/log/amazon/ssm/*"
sudo find /var/log/amazon/ssm -type f -exec shred -zuf {} \;
fi
if [[ $( sudo find /var/log/amazon/ssm -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete /var/log/amazon/ssm"
exit 1
fi
if [[ -d "/var/log/amazon/ssm" ]]; then
echo "Deleting /var/log/amazon/ssm/*"
sudo rm -rf /var/log/amazon/ssm
fi
if [[ -d "/var/log/amazon/ssm" ]]; then
echo "Failed to delete /var/log/amazon/ssm"
exit 1
fi
fi
if [[ $( sudo find /var/log/sa/sa* -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/log/sa/sa*"
sudo shred -zuf /var/log/sa/sa*
fi
if [[ $( sudo find /var/log/sa/sa* -type f | sudo wc -l ) -gt 0 ]]; then
echo "Failed to delete /var/log/sa/sa*"
exit 1
fi
if [[ $( sudo find /var/lib/dhclient/dhclient*.lease -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/lib/dhclient/dhclient*.lease"
sudo shred -zuf /var/lib/dhclient/dhclient*.lease
fi
if [[ $( sudo find /var/lib/dhclient/dhclient*.lease -type f | sudo wc -l ) -gt 0 ]]; then
echo "Failed to delete /var/lib/dhclient/dhclient*.lease"
exit 1
fi
if [[ $( sudo find /var/tmp -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within /var/tmp/*"
sudo find /var/tmp -type f -exec shred -zuf {} \;
fi
if [[ $( sudo find /var/tmp -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete /var/tmp"
exit 1
fi
if [[ $( sudo ls /var/tmp | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/tmp/*"
sudo rm -rf /var/tmp/*
fi
# Shredding is not guaranteed to work well on rolling logs
if [[ -f "/var/lib/rsyslog/imjournal.state" ]]; then
echo "Deleting /var/lib/rsyslog/imjournal.state"
sudo shred -zuf /var/lib/rsyslog/imjournal.state
sudo rm -f /var/lib/rsyslog/imjournal.state
fi
if [[ $( sudo ls /var/log/journal/ | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/log/journal/*"
sudo find /var/log/journal/ -type f -exec shred -zuf {} \;
sudo rm -rf /var/log/journal/*
fi
sudo touch /etc/machine-id
```
------
#### [ Windows ]
[Dopo che la pipeline Image Builder ha personalizzato le immagini di Windows, esegue l'utilità Microsoft Sysprep.](https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/sysprep--generalize--a-windows-installation?view=windows-11) Queste azioni seguono le [AWS migliori pratiche per il rafforzamento e la pulizia dell'immagine](https://aws.amazon.com/articles/public-ami-publishing-hardening-and-clean-up-requirements/).
------
#### [ macOS ]
La pipeline Image Builder esegue uno script di pulizia per garantire che l'immagine finale segua le migliori pratiche di sicurezza e per rimuovere eventuali artefatti o impostazioni di build che non devono essere trasferiti all'istantanea. Tuttavia, è possibile saltare sezioni dello script o sostituire completamente i dati dell'utente. Pertanto, le immagini prodotte dalle pipeline di Image Builder non sono necessariamente conformi a criteri normativi specifici.
Quando la pipeline completa le fasi di compilazione e test, Image Builder esegue automaticamente il seguente script di pulizia appena prima di creare l'immagine di output.
**Importante**
Se **sovrascrivi i dati utente** nella tua ricetta, lo script non viene eseguito. In tal caso, assicurati di includere nei dati utente un comando che crei un file vuoto denominato`perform_cleanup`. Image Builder rileva questo file ed esegue lo script di pulizia prima di creare la nuova immagine.
```
#!/bin/bash
if [[ ! -f {{workingDirectory}}/perform_cleanup ]]; then
echo "Skipping cleanup"
exit 0
else
sudo rm -f {{workingDirectory}}/perform_cleanup
fi
function cleanup() {
FILES=("$@")
for FILE in "${FILES[@]}"; do
if [[ -f "$FILE" ]]; then
echo "Deleting $FILE";
sudo rm -f $FILE;
fi;
if [[ -f $FILE ]]; then
echo "Failed to delete '$FILE'. Failing."
exit 1
fi;
done
};
# Clean up for cloud-init files
CLOUD_INIT_FILES=(
"/etc/sudoers.d/90-cloud-init-users"
"/etc/locale.conf"
"/var/log/cloud-init.log"
"/var/log/cloud-init-output.log"
)
if [[ -f {{workingDirectory}}/skip_cleanup_cloudinit_files ]]; then
echo "Skipping cleanup of cloud init files"
else
echo "Cleaning up cloud init files"
cleanup "${CLOUD_INIT_FILES[@]}"
if [[ $( sudo find /var/lib/cloud -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting files within /var/lib/cloud/*"
sudo find /var/lib/cloud -type f -exec rm -f {} \;
fi;
if [[ $( sudo ls /var/lib/cloud | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/lib/cloud/*"
sudo rm -rf /var/lib/cloud/* || true
fi;
fi;
# Clean up for temporary instance files
INSTANCE_FILES=(
"/etc/.updated"
"/etc/aliases.db"
"/etc/hostname"
"/var/lib/misc/postfix.aliasesdb-stamp"
"/var/lib/postfix/master.lock"
"/var/spool/postfix/pid/master.pid"
"/var/.updated"
"/var/cache/yum/x86_64/2/.gpgkeyschecked.yum"
)
if [[ -f {{workingDirectory}}/skip_cleanup_instance_files ]]; then
echo "Skipping cleanup of instance files"
else
echo "Cleaning up instance files"
cleanup "${INSTANCE_FILES[@]}"
fi;
# Clean up for ssh files
SSH_FILES=(
"/etc/ssh/ssh_host_rsa_key"
"/etc/ssh/ssh_host_rsa_key.pub"
"/etc/ssh/ssh_host_ecdsa_key"
"/etc/ssh/ssh_host_ecdsa_key.pub"
"/etc/ssh/ssh_host_ed25519_key"
"/etc/ssh/ssh_host_ed25519_key.pub"
"/root/.ssh/authorized_keys"
)
if [[ -f {{workingDirectory}}/skip_cleanup_ssh_files ]]; then
echo "Skipping cleanup of ssh files"
else
echo "Cleaning up ssh files"
cleanup "${SSH_FILES[@]}"
USERS=$(ls /home/)
for user in $USERS; do
echo Deleting /home/"$user"/.ssh/authorized_keys;
sudo find /home/"$user"/.ssh/authorized_keys -type f -exec rm -f {} \;
done
for user in $USERS; do
if [[ -f /home/"$user"/.ssh/authorized_keys ]]; then
echo Failed to delete /home/"$user"/.ssh/authorized_keys;
exit 1
fi;
done;
fi;
# Clean up for instance log files
INSTANCE_LOG_FILES=(
"/var/log/audit/audit.log"
"/var/log/boot.log"
"/var/log/dmesg"
"/var/log/cron"
"/var/log/amazon/ec2/ec2-macos-init.log"
"/var/log/amazon/ec2/ena-ethernet.log"
"/var/log/amazon/ec2/system-monitoring.log"
)
if [[ -f {{workingDirectory}}/skip_cleanup_instance_log_files ]]; then
echo "Skipping cleanup of instance log files"
else
echo "Cleaning up instance log files"
cleanup "${INSTANCE_LOG_FILES[@]}"
fi;
# Clean up for TOE files
if [[ -f {{workingDirectory}}/skip_cleanup_toe_files ]]; then
echo "Skipping cleanup of TOE files"
else
echo "Cleaning TOE files"
if [[ $( sudo find {{workingDirectory}}/TOE_* -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within {{workingDirectory}}/TOE_*"
sudo find {{workingDirectory}}/TOE_* -type f -exec rm -f {} \;
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete {{workingDirectory}}/TOE_*"
exit 1
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type d | sudo wc -l) -gt 0 ]]; then
echo "Deleting {{workingDirectory}}/TOE_*"
sudo rm -rf {{workingDirectory}}/TOE_*
fi
if [[ $( sudo find {{workingDirectory}}/TOE_* -type d | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete {{workingDirectory}}/TOE_*"
exit 1
fi
fi
# Clean up for ssm log files
if [[ -f {{workingDirectory}}/skip_cleanup_ssm_log_files ]]; then
echo "Skipping cleanup of ssm log files"
else
echo "Cleaning up ssm log files"
if [[ $( sudo find /var/log/amazon/ssm -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within /var/log/amazon/ssm/*"
sudo find /var/log/amazon/ssm -type f -exec rm -f {} \;
fi
if [[ $( sudo find /var/log/amazon/ssm -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete /var/log/amazon/ssm"
exit 1
fi
if [[ -d "/var/log/amazon/ssm" ]]; then
echo "Deleting /var/log/amazon/ssm/*"
sudo rm -rf /var/log/amazon/ssm
fi
if [[ -d "/var/log/amazon/ssm" ]]; then
echo "Failed to delete /var/log/amazon/ssm"
exit 1
fi
fi
if [[ $( sudo find /var/log/sa/sa* -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/log/sa/sa*"
sudo rm -f /var/log/sa/sa*
fi
if [[ $( sudo find /var/log/sa/sa* -type f | sudo wc -l ) -gt 0 ]]; then
echo "Failed to delete /var/log/sa/sa*"
exit 1
fi
if [[ $( sudo find /var/lib/dhclient/dhclient*.lease -type f | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/lib/dhclient/dhclient*.lease"
sudo rm -f /var/lib/dhclient/dhclient*.lease
fi
if [[ $( sudo find /var/lib/dhclient/dhclient*.lease -type f | sudo wc -l ) -gt 0 ]]; then
echo "Failed to delete /var/lib/dhclient/dhclient*.lease"
exit 1
fi
if [[ $( sudo find /var/tmp -type f | sudo wc -l) -gt 0 ]]; then
echo "Deleting files within /var/tmp/*"
sudo find /var/tmp -type f -exec rm -f {} \;
fi
if [[ $( sudo find /var/tmp -type f | sudo wc -l) -gt 0 ]]; then
echo "Failed to delete /var/tmp"
exit 1
fi
if [[ $( sudo ls /var/tmp | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/tmp/*"
sudo rm -rf /var/tmp/*
fi
# Shredding is not guaranteed to work well on rolling logs
if [[ -f "/var/lib/rsyslog/imjournal.state" ]]; then
echo "Deleting /var/lib/rsyslog/imjournal.state"
sudo rm -f /var/lib/rsyslog/imjournal.state
sudo rm -f /var/lib/rsyslog/imjournal.state
fi
if [[ $( sudo ls /var/log/journal/ | sudo wc -l ) -gt 0 ]]; then
echo "Deleting /var/log/journal/*"
sudo find /var/log/journal/ -type f -exec rm -f {} \;
sudo rm -rf /var/log/journal/*
fi
sudo touch /etc/machine-id
```
------
## Sostituisci lo script di pulizia di Linux
Image Builder crea immagini che sono sicure per impostazione predefinita e seguono le nostre best practice di sicurezza. Tuttavia, alcuni casi d'uso più avanzati potrebbero richiedere di saltare una o più sezioni dello script di pulizia integrato. Se hai bisogno di saltare alcune operazioni di pulizia, ti consigliamo vivamente di testare l'AMI di output per garantire la sicurezza dell'immagine.
**Importante**
Se si saltano le sezioni dello script di pulizia, nell'immagine finale possono essere incluse informazioni riservate, come i dettagli dell'account del proprietario o le chiavi SSH, e in ogni caso avviate da quell'immagine. Potresti inoltre riscontrare problemi con l'avvio in zone di disponibilità, regioni o account diversi.
La tabella seguente descrive le sezioni dello script di pulizia, i file che vengono eliminati in quella sezione e i nomi di file che è possibile utilizzare per contrassegnare una sezione che Image Builder deve ignorare. Per saltare una sezione specifica dello script di pulizia, è possibile utilizzare il modulo di azione del [CreateFile](toe-action-modules.md#action-modules-createfile) componente o un comando nei dati utente (se sovrascritto) per creare un file vuoto con il nome specificato nella colonna **Ignora** il nome del file della sezione.
**Nota**
I file creati per ignorare una sezione dello script di pulizia non devono includere un'estensione di file. Ad esempio, se si desidera saltare la `CLOUD_INIT_FILES` sezione dello script, ma si crea un file denominato`skip_cleanup_cloudinit_files.txt`, Image Builder non riconoscerà il file skip.
**Input**
| Sezione di pulizia | File rimossi | Ignora il nome del file della sezione |
| --- | --- | --- |
| `CLOUD_INIT_FILES` | `/etc/sudoers.d/90-cloud-init-users` `/etc/locale.conf` `/var/log/cloud-init.log` `/var/log/cloud-init-output.log` | `skip_cleanup_cloudinit_files` |
| `INSTANCE_FILES` | `/etc/.updated` `/etc/aliases.db` `/etc/hostname` `/var/lib/misc/postfix.aliasesdb-stamp` `/var/lib/postfix/master.lock` `/var/spool/postfix/pid/master.pid` `/var/.updated` `/var/cache/yum/x86_64/2/.gpgkeyschecked.yum` | `skip_cleanup_instance_files` |
| `SSH_FILES` | `/etc/ssh/ssh_host_rsa_key` `/etc/ssh/ssh_host_rsa_key.pub` `/etc/ssh/ssh_host_ecdsa_key` `/etc/ssh/ssh_host_ecdsa_key.pub` `/etc/ssh/ssh_host_ed25519_key` `/etc/ssh/ssh_host_ed25519_key.pub` `/root/.ssh/authorized_keys` `/home//.ssh/authorized_keys;` | `skip_cleanup_ssh_files` |
| `INSTANCE_LOG_FILES` | `/var/log/audit/audit.log` `/var/log/boot.log` `/var/log/dmesg` `/var/log/cron` | `skip_cleanup_instance_log_files` |
| `TOE_FILES` | `{{workingDirectory}}/TOE_*` | `skip_cleanup_toe_files` |
| `SSM_LOG_FILES` | `/var/log/amazon/ssm/*` | `skip_cleanup_ssm_log_files` |