Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Integrazione di Identity and Access Management per Image Builder
**Topics**
+ [Destinatari](#security-iam-audience)
+ [Autenticazione con identità](#security-iam-authentication)
+ [Come Image Builder funziona con le politiche e i ruoli IAM](security_iam_service-with-iam.md)
+ [Gestisci i perimetri dei dati per l'accesso al download dei bucket S3 in Image Builder](security-iam-data-perimeter.md)
+ [Criteri basati sull'identità di Image Builder](security-iam-identity-based-policies.md)
+ [Autorizzazioni IAM per flussi di lavoro personalizzati](#security-iam-custom-workflows)
+ [Politiche basate sulle risorse di Image Builder](#security-iam-resource-based-policies)
+ [Usa policy AWS gestite per EC2 Image Builder](security-iam-awsmanpol.md)
+ [Usa i ruoli collegati ai servizi IAM per Image Builder](image-builder-service-linked-role.md)
+ [Risolvi i problemi di IAM in Image Builder](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risolvi i problemi di IAM in Image Builder](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come Image Builder funziona con le politiche e i ruoli IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Criteri basati sull'identità di Image Builder](security_iam_service-with-iam.md#security_iam_id-based-policy-examples))
## Autenticazione con identità
Per informazioni dettagliate su come fornire l'autenticazione per persone e processi in azienda Account AWS, consulta [Identities](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) in the *IAM User* Guide.
# Come Image Builder funziona con le politiche e i ruoli IAM
Prima di utilizzare IAM per gestire l'accesso a Image Builder, scopri quali funzionalità IAM sono disponibili per l'uso con Image Builder.
Per avere una visione di alto livello di come Image Builder e AWS altri servizi funzionano con la maggior parte delle funzionalità IAM, [AWS consulta i servizi che funzionano con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM nella IAM User *Guide*.
## Politiche basate sull'identità per Image Builder
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate sull'identità per Image Builder
Per visualizzare esempi di politiche basate sull'identità di Image Builder, vedere. [Criteri basati sull'identità di Image Builder](#security_iam_id-based-policy-examples)
## Politiche basate sulle risorse all'interno di Image Builder
**Supporta le policy basate sulle risorse**: sì
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per Image Builder
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
*Per visualizzare un elenco delle azioni di Image Builder, consulta [Azioni definite da EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions) nel Service Authorization Reference.*
Le azioni politiche in Image Builder utilizzano il seguente prefisso prima dell'azione:
```
imagebuilder
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"imagebuilder:action1",
"imagebuilder:action2"
]
```
Per visualizzare esempi di politiche basate sull'identità di Image Builder, vedere. [Criteri basati sull'identità di Image Builder](#security_iam_id-based-policy-examples)
## Risorse politiche per Image Builder
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
*Per visualizzare un elenco dei tipi di risorse di Image Builder e relativi ARNs, consulta [Risorse definite da EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-resources-for-iam-policies) nel Service Authorization Reference.* Per sapere con quali azioni è possibile specificare l'ARN di ogni risorsa, consulta [Azioni definite da EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità di Image Builder, vedere. [Criteri basati sull'identità di Image Builder](#security_iam_id-based-policy-examples)
## Chiavi delle condizioni dei criteri per Image Builder
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
*Per visualizzare un elenco delle chiavi di condizione di Image Builder, consulta Chiavi di [condizione per EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-policy-keys) nel Service Authorization Reference.* Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, consulta [Azioni definite da EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità di Image Builder, vedere. [Criteri basati sull'identità di Image Builder](#security_iam_id-based-policy-examples)
## ACLs in Image Builder
**Supporti ACLs: no**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con Image Builder
**Supporta ABAC (tag nelle policy):** parzialmente
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. È possibile allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con Image Builder
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali per diversi servizi per Image Builder
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso diretto (FAS) utilizzano le autorizzazioni del principale che chiama an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Image Builder
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di Image Builder. Modifica i ruoli di servizio solo quando Image Builder fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per Image Builder
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per informazioni dettagliate sul ruolo collegato al servizio Image Builder, vedere. [Usa i ruoli collegati ai servizi IAM per Image Builder](image-builder-service-linked-role.md)
## Criteri basati sull'identità di Image Builder
Con le policy IAM basate su identità puoi specificare azioni e risorse consentite o rifiutate, nonché le condizioni in base alle quali le azioni sono consentite o rifiutate. Image Builder supporta azioni, risorse e chiavi di condizione specifiche. *Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Actions, Resources, and Condition Keys for Amazon EC2 Image Builder](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2imagebuilder.html) nella IAM User Guide.*
### Azioni
Le azioni politiche in Image Builder utilizzano il seguente prefisso prima dell'azione:. `imagebuilder:` Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Image Builder definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"imagebuilder:action1",
"imagebuilder:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `List`, includi la seguente azione:
```
"Action": "imagebuilder:List*"
```
Per visualizzare un elenco delle azioni di Image Builder, consulta [Actions, Resources and Condition Keys Servizi AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) nella *IAM User Guide*.
### Gestione dell’accesso tramite policy
*Per informazioni dettagliate su come gestire l'accesso creando policy e collegandole a identità o AWS risorse IAM, consulta [Policies and permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella IAM User Guide. AWS *
Il ruolo IAM che associ al tuo profilo di istanza deve disporre delle autorizzazioni per eseguire i componenti di compilazione e test inclusi nell'immagine. Le seguenti policy di ruolo IAM devono essere collegate al ruolo IAM associato al profilo dell'istanza:
+ EC2InstanceProfileForImageBuilder
+ EC2InstanceProfileForImageBuilderECRContainerBuilds
+ AmazonSSMManagedInstanceCore
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
L'ARN è composto da più nodi che aiutano a identificare la risorsa e garantiscono che il nome sia univoco. Gli ultimi nodi del nome includono diverse varianti di formattazione per il tipo, il nome e l'ID della risorsa. Quando Image Builder crea una risorsa, utilizza il seguente formato:
`arn:aws:imagebuilder:region:owner:resource-type/resource-name/version/build-version`
**Nota**
La versione build non è sempre inclusa nell'ARN della risorsa. Tuttavia, alcune operazioni API, ad esempio [GetComponent](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_GetComponent.html), richiedono la versione di build per identificare in modo univoco una risorsa da recuperare.
Per le risorse utilizzate da Image Builder nelle sue ricette, come l'immagine di base o i componenti, il nodo proprietario può essere uno dei seguenti:
+ Il numero di account del proprietario della risorsa
+ Per le risorse gestite da Amazon: `aws`
+ Per Marketplace AWS le risorse: `aws-marketplace`
L'esempio seguente mostra l'ARN per un componente gestito per installare l' CloudWatch agente Amazon su Linux:
```
arn:aws:imagebuilder:us-east-1:aws:component/amazon-cloudwatch-agent-linux/1.0.1/1
```
Questo esempio mostra l'ARN per un componente gestito fittizio da: Marketplace AWS
```
arn:aws:imagebuilder:us-east-1:aws-marketplace:component/example-linux-software-component/1.0.1
```
Per ulteriori informazioni su come ottenere un elenco di componenti, incluso l'uso di un filtro di proprietà, vedere. [Elenca i componenti di Image Builder](component-details.md#list-components)
**Esempio ARNs**
Di seguito sono riportati alcuni esempi di risorse ARNs che è possibile specificare in una policy IAM:
+ ARN istanza
```
"Resource": "arn:aws:imagebuilder:us-east-1:111122223333:instance/i-1234567890abcdef0"
```
+ Esempio Wildcard (\$1) per specificare tutte le istanze di un determinato account
```
"Resource": "arn:aws:imagebuilder:us-east-1:111122223333:instance/*"
```
+ Esempio con Wildcard (\$1) per specificare tutte le versioni di un flusso di lavoro con immagini gestite
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:workflow/build/build-image/*"
```
+ ARN dell'immagine gestita
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:image/amazon-linux-2-arm64/2024.12.17/1"
```
+ Esempio di Wildcard (\$1) per specificare tutte le versioni di un'immagine gestita
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:image/amazon-linux-2-arm64/x.x.x"
```
Molte azioni dell'API EC2 Image Builder coinvolgono più risorse. Per specificare più risorse in una singola istruzione, separale ARNs con virgole.
```
"Resource": [
"resource1",
"resource2"
]
```
### Chiavi di condizione
Image Builder fornisce chiavi di condizione specifiche del servizio e supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta [AWS Global Condition Context Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *IAM* User Guide. Vengono fornite le seguenti chiavi di condizione specifiche del servizio.
#### generatore di immagini: CreatedResourceTagKeys
Lavora con [operatori stringa](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Usa questa chiave per filtrare l'accesso in base alla presenza di chiavi tag nella richiesta. Ciò consente di gestire le risorse create da Image Builder.
**Disponibilità**: questa chiave è disponibile solo per `CreateInfrastrucutreConfiguration` e `UpdateInfrastructureConfiguration` APIs.
#### imagebuilder:/CreatedResourceTag
Lavora con [operatori stringa](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Utilizzate questa chiave per filtrare l'accesso in base alle coppie chiave-valore dei tag allegate alla risorsa creata da Image Builder. Ciò consente di gestire le risorse di Image Builder tramite tag definiti.
**Disponibilità**: questa chiave è disponibile solo per `CreateInfrastrucutreConfiguration` e `UpdateInfrastructureConfiguration` APIs.
#### generatore di immagini: LifecyclePolicyResourceType
Lavora con [operatori stringa](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Usa questa chiave per filtrare l'accesso in base al tipo di risorsa Lifecycle specificato nella richiesta.
Il valore di questa chiave può essere o`AMI_IMAGE`. `CONTAINER_IMAGE`
**Disponibilità**: questa chiave è disponibile solo per il `CreateLifecyclePolicy` e `UpdateLifecyclePolicy`APIs.
#### Generatore di immagini: EC2 MetadataHttpTokens
Lavora con [operatori stringa](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Utilizza questa chiave per filtrare l'accesso in base al requisito del token HTTP dei metadati dell'istanza EC2 specificato nella richiesta.
Questo valore per questa chiave può essere o`optional`. `required`
**Disponibilità**: questa chiave è disponibile solo per il `CreateInfrastrucutreConfiguration` e `UpdateInfrastructureConfiguration` APIs.
#### generatore di immagini: StatusTopicArn
Lavora con [operatori stringa](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String).
Utilizzate questa chiave per filtrare l'accesso in base all'ARN dell'argomento SNS nella richiesta in cui verranno pubblicate le notifiche sullo stato del terminale.
**Disponibilità**: questa chiave è disponibile solo per e. `CreateInfrastrucutreConfiguration` `UpdateInfrastructureConfiguration` APIs
### Esempi
Per visualizzare esempi di politiche basate sull'identità di Image Builder, vedere. [Criteri basati sull'identità di Image Builder](security-iam-identity-based-policies.md)
## Politiche basate sulle risorse di Image Builder
Le politiche basate sulle risorse specificano quali azioni un determinato principale può eseguire sulla risorsa Image Builder e in quali condizioni. Image Builder supporta politiche di autorizzazione basate sulle risorse per componenti, immagini e ricette di immagini. Le policy basate su risorse consentono di concedere l'autorizzazione all'utilizzo ad altri account per ogni risorsa. È inoltre possibile utilizzare una politica basata sulle risorse per consentire a un AWS servizio di accedere ai componenti, alle immagini e alle ricette di immagini.
Per informazioni su come allegare una policy basata sulle risorse a un componente, un'immagine o una ricetta di immagini, consulta. [Condividi le risorse di Image Builder con AWS RAM](manage-shared-resources.md)
**Nota**
Quando si aggiorna una politica delle risorse utilizzando Image Builder, l'aggiornamento verrà visualizzato nella console RAM.
## Autorizzazione basata sui tag Image Builder
È possibile allegare tag alle risorse di Image Builder o passare i tag in una richiesta a Image Builder. Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `imagebuilder:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Per ulteriori informazioni sull'etichettatura delle risorse di Image Builder, vedere. [Assegna un tag a una risorsa dal AWS CLI](tag-resources.md#cli-tag-resource)
## Ruoli IAM di Image Builder
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità interna all'utente Account AWS che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con Image Builder
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
### Ruoli collegati ai servizi
[I ruoli collegati ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) consentono di accedere Servizi AWS alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un utente con accesso amministrativo può visualizzare ma non modificare le autorizzazioni per i ruoli collegati ai servizi.
Image Builder supporta i ruoli collegati ai servizi. Per informazioni sulla creazione o la gestione dei ruoli collegati ai servizi di Image Builder, vedere. [Usa i ruoli collegati ai servizi IAM per Image Builder](image-builder-service-linked-role.md)
### Ruoli dei servizi
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un utente con accesso amministrativo può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.
# Gestisci i perimetri dei dati per l'accesso al download dei bucket S3 in Image Builder
EC2 Image Builder mantiene due AWS classi di bucket S3 di proprietà del servizio che contengono le risorse scaricabili necessarie per eseguire i carichi di lavoro di Image Builder nel tuo account. Se utilizzi perimetri di dati per controllare l'accesso ad Amazon S3 nel tuo ambiente, potresti dover consentire esplicitamente l'accesso a questi bucket. Puoi utilizzare l'ARN del bucket o l'URL del bucket per inserire questi bucket nell'elenco consentito, a seconda di come controlli l'accesso ad Amazon S3.
**Script di bootstrap per la gestione dei componenti (obbligatori)**
Questo bucket S3 contiene script di bootstrap per configurare l' AWSTOE applicazione sulle istanze EC2 utilizzate per creare immagini. Image Builder richiede l'accesso per scaricare gli script per supportare la creazione e il test di nuove immagini.
+ **ARN del secchio S3:** `arn::s3:::ec2imagebuilder-managed-resources--prod`
+ **URL del bucket S3:** `https://ec2imagebuilder-managed-resources-.s3..`
**Componenti gestiti**
Questo bucket S3 contiene payload di pacchetti per componenti gestiti da Amazon. Image Builder richiede l'accesso per scaricare tutti i componenti gestiti configurati nelle ricette.
+ **ARN del secchio S3:** `arn::s3:::ec2imagebuilder-toe--prod`
+ **URL del bucket S3:** `https://ec2imagebuilder-toe-.s3..`
# Criteri basati sull'identità di Image Builder
**Topics**
+ [Le migliori pratiche di policy basate sull'identità](#security-iam-service-policy-best-practices)
+ [Utilizzo della console Image Builder](#sec-iam-id-based-policies-using-console)
## Le migliori pratiche di policy basate sull'identità
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse di Image Builder nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Image Builder
Per accedere alla console EC2 Image Builder, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni consentono di elencare e visualizzare i dettagli sulle risorse Image Builder presenti nel tuo. Account AWS Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti e ruoli IAM) associate a tale policy.
Per garantire che le entità IAM possano utilizzare la console Image Builder, è necessario allegare ad esse una delle seguenti policy AWS gestite:
+ [Policy AWSImageBuilderReadOnlyAccess](security-iam-awsmanpol.md#sec-iam-manpol-AWSImageBuilderReadOnlyAccess)
+ [Policy AWSImageBuilderFullAccess](security-iam-awsmanpol.md#sec-iam-manpol-AWSImageBuilderFullAccess)
Per ulteriori informazioni sulle politiche gestite da Image Builder, vedere. [Usa policy AWS gestite per EC2 Image Builder](security-iam-awsmanpol.md)
**Importante**
La **AWSImageBuilderFullAccess**policy è necessaria per creare il ruolo collegato al servizio Image Builder. Quando colleghi questa policy a un'entità IAM, devi anche allegare la seguente policy personalizzata e includere le risorse che desideri utilizzare che non sono `imagebuilder` presenti nel nome della risorsa:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:*:*:*imagebuilder*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetInstanceProfile"
],
"Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*imagebuilder*",
"arn:aws:iam::*:role/*imagebuilder*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:s3::*:*imagebuilder*"
}
]
}
```
------
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso l' AWS API AWS CLI o la stessa. Al contrario, è possibile accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.
## Autorizzazioni IAM per flussi di lavoro personalizzati
Quando si utilizzano flussi di lavoro personalizzati con azioni specifiche, ad esempio[RegisterImage](wfdoc-step-actions.md#wfdoc-step-action-register-image), potrebbero essere necessarie autorizzazioni IAM aggiuntive oltre alle policy gestite standard di Image Builder. Questa sezione descrive le autorizzazioni aggiuntive necessarie per le azioni personalizzate in fasi del flusso di lavoro.
### RegisterImage autorizzazioni relative alle azioni di fase
L'azione `RegisterImage` graduale richiede autorizzazioni specifiche di Amazon EC2 per registrare AMIs e, facoltativamente, recuperare i tag degli snapshot. Quando si utilizza il `includeSnapshotTags` parametro, sono necessarie autorizzazioni aggiuntive per descrivere le istantanee.
**Autorizzazioni richieste per RegisterImage l'azione graduale:**
Per tutte le risorse, consenti le seguenti azioni:
+ `ec2:RegisterImage`
+ `ec2:DescribeSnapshots`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RegisterImage",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::image/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "RegisterImage"
}
}
}
]
}
```
**Dettagli delle autorizzazioni:**
+ `ec2:RegisterImage`- Necessario per la registrazione AMIs di nuove istantanee
+ `ec2:DescribeSnapshots`- Richiesto quando si utilizza `includeSnapshotTags: true` per recuperare i tag snapshot per la fusione con i tag AMI
+ `ec2:CreateTags`- Necessario per applicare i tag all'AMI registrata, inclusi i tag predefiniti di Image Builder e i tag snapshot uniti
**Nota**
L'`ec2:DescribeSnapshots`autorizzazione viene utilizzata solo quando il `includeSnapshotTags` parametro è impostato su. `true` Se non utilizzi questa funzione, puoi omettere questa autorizzazione.
**Comportamento di fusione dei tag:**
Quando `includeSnapshotTags` è abilitata, l'azione RegisterImage graduale:
+ Recupera i tag dalla prima istantanea specificata nella mappatura del dispositivo a blocchi
+ Escludi tutti AWS i tag riservati (quelli con chiavi che iniziano con «aws:»)
+ Unisci i tag snapshot con i tag di registrazione AMI predefiniti di Image Builder
+ Dai la precedenza ai tag di Image Builder in caso di conflitto tra le chiavi dei tag
## Politiche basate sulle risorse di Image Builder
Per informazioni su come creare un componente, vedere. [Usa i componenti per personalizzare l'immagine di Image Builder](manage-components.md)
### Limitazione dell'accesso dei componenti Image Builder a indirizzi IP specifici
L'esempio seguente concede a qualsiasi utente le autorizzazioni per eseguire qualsiasi operazione di Image Builder sui componenti. La richiesta deve, tuttavia, avere origine dall'intervallo di indirizzi IP specificati nella condizione.
La condizione di questa istruzione identifica l'intervallo 54.240.143.\$1 di indirizzi IP consentiti per la versione 4 (IPv4) del protocollo Internet, con un'eccezione: 54.240.143.188.
Il `Condition` blocco utilizza le `NotIpAddress` condizioni `IpAddress` and e la chiave condition, che è una chiave di condizione -wide. `aws:SourceIp` AWS Per ulteriori informazioni su queste chiavi di condizione, vedere [Specificazione delle condizioni in una politica](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html). I `aws:sourceIp` IPv4 valori utilizzano la notazione CIDR standard. Per ulteriori informazioni, consulta [Operatori di condizione con indirizzo IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) nella *Guida per l'utente di IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "IBPolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Action": "imagebuilder:GetComponent",
"Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
```
------
# Usa policy AWS gestite per EC2 Image Builder
Una policy AWS gestita è una policy autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## Policy AWSImageBuilderFullAccess
La **AWSImageBuilderFullAccess**politica garantisce l'accesso completo alle risorse di Image Builder per il ruolo a cui è associato, consentendo al ruolo di elencare, descrivere, creare, aggiornare ed eliminare le risorse di Image Builder. La politica concede inoltre autorizzazioni mirate alle risorse correlate Servizi AWS necessarie, ad esempio, per verificare le risorse o per visualizzare le risorse correnti per l'account in. Console di gestione AWS
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ **Image Builder**: viene concesso l'accesso amministrativo, in modo che il ruolo possa elencare, descrivere, creare, aggiornare ed eliminare le risorse di Image Builder.
+ **Amazon EC2**: l'accesso è concesso per Amazon EC2 Descrivi le azioni necessarie per verificare l'esistenza delle risorse o ottenere elenchi di risorse appartenenti all'account.
+ **IAM**: viene concesso l'accesso per ottenere e utilizzare profili di istanza il cui nome contiene «imagebuilder», per verificare l'esistenza del ruolo collegato al servizio Image Builder tramite l'azione `iam:GetRole` API e per creare il ruolo collegato al servizio Image Builder.
+ **License Manager**: viene concesso l'accesso per elencare le configurazioni di licenza o le licenze per una risorsa.
+ **Amazon S3**: è consentito l'accesso ai bucket di elenco appartenenti all'account e anche ai bucket Image Builder con «imagebuilder» nel nome.
+ **Amazon SNS**: le autorizzazioni di scrittura vengono concesse ad Amazon SNS per verificare la proprietà degli argomenti contenenti «imagebuilder».
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Policy AWSImageBuilderReadOnlyAccess
La **AWSImageBuilderReadOnlyAccess**policy fornisce l'accesso in sola lettura a tutte le risorse di Image Builder. Vengono concesse le autorizzazioni per verificare l'esistenza del ruolo collegato al servizio Image Builder tramite l'azione API. `iam:GetRole`
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ **Image Builder**: l'accesso è concesso per l'accesso in sola lettura alle risorse di Image Builder.
+ **IAM**: viene concesso l'accesso per verificare l'esistenza del ruolo collegato al servizio Image Builder tramite l'azione API. `iam:GetRole`
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Policy AWSServiceRoleForImageBuilder
La **AWSServiceRoleForImageBuilder**policy consente a Image Builder di effettuare chiamate per Servizi AWS conto dell'utente.
### Dettagli delle autorizzazioni
Questa policy è associata al ruolo collegato al servizio Image Builder quando il ruolo viene creato tramite Systems Manager. Per ulteriori informazioni sul ruolo collegato al servizio Image Builder, vedere. [Usa i ruoli collegati ai servizi IAM per Image Builder](image-builder-service-linked-role.md)
La policy include le seguenti autorizzazioni:
+ **CloudWatch Registri**: è concesso l'accesso per creare e caricare CloudWatch registri in qualsiasi gruppo di log il cui nome inizia con. `/aws/imagebuilder/`
+ **Amazon EC2**: Image Builder consente di creare, scattare istantanee e registrare le immagini (AMI) create e avviare istanze EC2 nel tuo account. Image Builder utilizza istantanee, volumi, interfacce di rete, sottoreti, gruppi di sicurezza, configurazione delle licenze e coppie di chiavi correlati come richiesto, purché l'immagine, l'istanza e i volumi che vengono creati o utilizzati siano etichettati con o. `CreatedBy: EC2 Image Builder` `CreatedBy: EC2 Fast Launch`
Image Builder può ottenere informazioni sulle immagini di Amazon EC2, gli attributi delle istanze, lo stato delle istanze, i tipi di istanza disponibili per il tuo account, i modelli di avvio, le sottoreti, gli host e i tag sulle tue risorse Amazon EC2.
Image Builder può aggiornare le impostazioni dell'immagine per abilitare o disabilitare l'avvio più rapido delle istanze di Windows nell'account, dove l'immagine è contrassegnata con. `CreatedBy: EC2 Image Builder`
Inoltre, Image Builder può avviare, arrestare e terminare le istanze in esecuzione nel tuo account, condividere istantanee di Amazon EBS, creare e aggiornare immagini e avviare modelli, annullare la registrazione di immagini esistenti, aggiungere tag e replicare immagini tra gli account a cui hai concesso le autorizzazioni tramite la policy. **Ec2ImageBuilderCrossAccountDistributionAccess** Il tagging di Image Builder è necessario per tutte queste azioni, come descritto in precedenza.
+ **Amazon ECR** — Image Builder ha accesso per creare un repository, se necessario, per le scansioni delle vulnerabilità delle immagini dei container e contrassegnare le risorse che crea per limitare l'ambito delle sue operazioni. A Image Builder viene inoltre concesso l'accesso per eliminare le immagini del contenitore che ha creato per le scansioni dopo aver scattato istantanee delle vulnerabilità.
+ **EventBridge**— A Image Builder viene concesso l'accesso per creare e gestire EventBridge regole.
+ **IAM**: Image Builder consente di trasferire qualsiasi ruolo del tuo account ad Amazon EC2 e a VM Import/Export.
+ **Amazon Inspector**: a Image Builder viene concesso l'accesso per determinare quando Amazon Inspector completa le scansioni delle istanze di build e per raccogliere i risultati delle immagini configurate per consentirlo.
+ **AWS KMS**— L'accesso è concesso ad Amazon EBS per crittografare, decrittografare o ricrittografare i volumi Amazon EBS. Questo è fondamentale per garantire che i volumi crittografati funzionino quando Image Builder crea un'immagine.
+ **License Manager**: Image Builder consente di aggiornare le specifiche del License Manager tramite. `license-manager:UpdateLicenseSpecificationsForResource`
+ **Amazon SNS: le** autorizzazioni di scrittura sono concesse per qualsiasi argomento di Amazon SNS nel tuo account.
+ **Systems Manager**: a Image Builder viene concesso l'accesso per elencare i comandi di Systems Manager e le relative chiamate, le voci di inventario, descrivere le informazioni sull'istanza e gli stati di esecuzione dell'automazione, descrivere gli host per il supporto del posizionamento delle istanze e ottenere dettagli sulla chiamata dei comandi. Image Builder può anche inviare segnali di automazione e interrompere le esecuzioni di automazione per qualsiasi risorsa del tuo account.
Image Builder è in grado di emettere chiamate di comando run a qualsiasi istanza contrassegnata `"CreatedBy": "EC2 Image Builder"` per i seguenti file di script:`AWS-RunPowerShellScript`,, o. `AWS-RunShellScript` `AWSEC2-RunSysprep` Image Builder è in grado di avviare un'esecuzione di automazione di Systems Manager nell'account per i documenti di automazione il cui nome inizia con. `ImageBuilder`
Image Builder è anche in grado di creare o eliminare associazioni di State Manager per qualsiasi istanza dell'account, purché il documento di associazione sia presente`AWS-GatherSoftwareInventory`, e di creare il ruolo collegato al servizio Systems Manager nell'account.
Image Builder è in grado di leggere i parametri pubblici del Parameter Store e di leggere e aggiornare i parametri privati con prefisso `/imagebuilder/` in modo da poter aggiornare il valore del parametro con l'AMI di output che Image IDs Builder crea da una nuova build.
+ **AWS STS**— A Image Builder viene concesso l'accesso per assumere i ruoli denominati **EC2ImageBuilderDistributionCrossAccountRole**dall'account a qualsiasi account in cui la politica di attendibilità relativa al ruolo lo consenta. Viene utilizzato per la distribuzione di immagini tra più account.
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Policy Ec2ImageBuilderCrossAccountDistributionAccess
La **Ec2ImageBuilderCrossAccountDistributionAccess**politica concede a Image Builder le autorizzazioni per distribuire immagini tra account nelle regioni di destinazione. Inoltre, Image Builder può descrivere, copiare e applicare tag a qualsiasi immagine Amazon EC2 nell'account. La policy garantisce inoltre la possibilità di modificare le autorizzazioni AMI tramite l'azione `ec2:ModifyImageAttribute` API.
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ **Amazon EC2**: Amazon EC2 ha accesso per descrivere, copiare e modificare gli attributi di un'immagine e per creare tag per qualsiasi immagine Amazon EC2 nell'account.
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Policy EC2ImageBuilderLifecycleExecutionPolicy
La **EC2ImageBuilderLifecycleExecutionPolicy**politica concede a Image Builder le autorizzazioni per eseguire azioni come deprecare, disabilitare o eliminare le risorse di immagine di Image Builder e le relative risorse sottostanti AMIs (istantanee) per supportare regole automatizzate per le attività di gestione del ciclo di vita delle immagini.
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ **Amazon EC2**: Amazon EC2 consente ad Amazon EC2 di eseguire le seguenti azioni per Amazon Machine Images AMIs () nell'account contrassegnato. `CreatedBy: EC2 Image Builder`
+ Abilita e disabilita un AMI.
+ Abilita e disabilita la deprecazione delle immagini.
+ Descrivi e annulla la registrazione di un AMI.
+ Descrivi e modifica gli attributi delle immagini AMI.
+ Elimina le istantanee del volume associate all'AMI.
+ Recupera i tag per una risorsa.
+ Aggiungi o rimuovi tag da un'AMI per renderli obsoleti.
+ **Amazon ECR**: Amazon ECR consente ad Amazon ECR di eseguire le seguenti azioni batch sui repository ECR con il tag. `LifecycleExecutionAccess: EC2 Image Builder` Le azioni Batch supportano le regole automatizzate del ciclo di vita delle immagini dei container.
+ `ecr:BatchGetImage`
+ `ecr:BatchDeleteImage`
L'accesso è concesso a livello di repository per gli archivi ECR contrassegnati con. `LifecycleExecutionAccess: EC2 Image Builder`
+ **AWS Gruppi di risorse**: a Image Builder viene concesso l'accesso per ottenere risorse basate sui tag.
+ **EC2 Image** Builder — Image Builder consente a Image Builder di eliminare le risorse di immagine di Image Builder.
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Policy EC2InstanceProfileForImageBuilder
La **EC2InstanceProfileForImageBuilder**policy concede le autorizzazioni minime necessarie affinché un'istanza EC2 funzioni con Image Builder. Ciò non include le autorizzazioni necessarie per utilizzare l'agente Systems Manager.
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ **CloudWatch Registri**: l'accesso è concesso per creare e caricare CloudWatch registri in qualsiasi gruppo di log il cui nome inizia con. `/aws/imagebuilder/`
+ **Amazon EC2** — L'accesso è concesso per descrivere volumi e istantanee, per creare istantanee di volumi o risorse snapshot create da Image Builder e per creare tag per le risorse Image Builder.
+ **Image Builder**: l'accesso è concesso per ottenere qualsiasi Image Marketplace AWS Builder o componente.
+ **AWS KMS**— L'accesso è concesso per decrittografare un componente Image Builder, se è stato crittografato tramite. AWS KMS
+ **Amazon S3**: l'accesso è concesso per ottenere oggetti archiviati in un bucket Amazon S3 il cui nome inizia `ec2imagebuilder-` con o risorse con estensione di file ISO.
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Policy EC2InstanceProfileForImageBuilderECRContainerBuilds
La **EC2InstanceProfileForImageBuilderECRContainerBuilds**policy concede le autorizzazioni minime richieste per un'istanza EC2 quando si lavora con Image Builder per creare immagini Docker e quindi registrare e archiviare le immagini in un repository di contenitori Amazon ECR. Ciò non include le autorizzazioni necessarie per utilizzare l'agente Systems Manager.
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ **CloudWatch Registri**: l'accesso è concesso per creare e caricare CloudWatch registri in qualsiasi gruppo di log il cui nome inizia con. `/aws/imagebuilder/`
+ **Amazon ECR**: Amazon ECR consente di ottenere, registrare e archiviare un'immagine del contenitore e ottenere un token di autorizzazione.
+ **Image Builder**: è consentito l'accesso per ottenere un componente Image Builder o una ricetta del contenitore.
+ **AWS KMS**— L'accesso è concesso per decrittografare un componente Image Builder o una ricetta contenitore, se è stato crittografato tramite. AWS KMS
+ **Amazon S3**: l'accesso è concesso per archiviare oggetti in un bucket Amazon S3 il cui nome inizia con. `ec2imagebuilder-`
Per vedere le autorizzazioni per questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Image Builder aggiorna le politiche gestite AWS
Questa sezione fornisce informazioni sugli aggiornamenti delle politiche AWS gestite per Image Builder da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, abbonatevi al feed RSS nella pagina della cronologia dei documenti di Image [Builder](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento a una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 26 febbraio 2026 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio per supportare l'uso dei parametri AWS Systems Manager (SSM) Parameter Store nelle ricette e durante la distribuzione delle immagini. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 23 luglio 2025 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche alla politica del profilo dell'istanza per supportare più estensioni di file per il download di file ISO. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 19 maggio 2025 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio per supportare l'importazione di file ISO del sistema operativo client Microsoft come immagine di base. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 30 dicembre 2024 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche alla politica del profilo dell'istanza per supportare la creazione di immagini dai file di immagine del disco. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 30 dicembre 2024 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder)— Politica aggiornata | Image Builder ha aggiornato la `EC2InstanceProfileForImageBuilder` politica per consentire a Image Builder di ottenere componenti. Marketplace AWS | 2 dicembre 2024 |
| [EC2ImageBuilderLifecycleExecutionPolicy](#sec-iam-manpol-EC2ImageBuilderLifecycleExecutionPolicy): nuova policy | Image Builder ha aggiunto la nuova `EC2ImageBuilderLifecycleExecutionPolicy` politica che contiene le autorizzazioni per la gestione del ciclo di vita delle immagini. | 17 novembre 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio per fornire supporto per il posizionamento delle istanze. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 19 ottobre 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio per fornire supporto per il posizionamento delle istanze. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 28 settembre 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio per consentire ai flussi di lavoro di Image Builder di raccogliere i risultati delle vulnerabilità per le build di immagini dei contenitori AMI ed ECR. Le nuove autorizzazioni supportano la funzionalità di rilevamento e segnalazione CVE. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 30 marzo 2023 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 22 marzo 2022 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 21 febbraio 2022 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di servizio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 20 novembre 2021 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder): aggiornamento di una policy esistente | Image Builder ha aggiunto nuove autorizzazioni per risolvere i problemi in cui più di un'associazione di inventario causa il blocco della creazione dell'immagine. | 11 agosto 2021 |
| [AWSImageBuilderFullAccess](#sec-iam-manpol-AWSImageBuilderFullAccess): aggiornamento di una policy esistente | Image Builder ha apportato le seguenti modifiche al ruolo di accesso completo: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 13 aprile 2021 |
| Image Builder ha iniziato a tracciare le modifiche | Image Builder ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 02 aprile 2021 |
# Usa i ruoli collegati ai servizi IAM per Image Builder
EC2 Image AWS Identity and Access Management Builder utilizza ruoli collegati ai servizi ([IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a Image Builder. I ruoli collegati ai servizi sono predefiniti da Image Builder e includono tutte le autorizzazioni richieste dal servizio per chiamare altri utenti per conto dell'utente. Servizi AWS
Un ruolo collegato al servizio rende la configurazione di Image Builder più efficiente, poiché non è necessario aggiungere manualmente le autorizzazioni necessarie. Image Builder definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Image Builder può assumerne i ruoli. Le autorizzazioni definite includono policy di trust e di autorizzazioni. Le policy di autorizzazioni non possono essere collegate a nessun'altra entità IAM.
****Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS That [Work with IAM e cerca i servizi con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) Sì nella colonna Service-Linked Role.**** Scegliere **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per Image Builder
Image Builder utilizza il ruolo **AWSServiceRoleForImageBuilder**collegato al servizio per consentire a EC2 Image Builder di accedere alle risorse per tuo conto. AWS *Il ruolo collegato al servizio si fida che il servizio imagebuilder.amazonaws.com assuma il ruolo.*
Non è necessario creare manualmente questo ruolo collegato ai servizi. Quando create la vostra prima immagine di Image Builder nella AWS Management Console, o nell' AWS API AWS CLI, Image Builder crea automaticamente il ruolo collegato al servizio.
Le seguenti azioni creano una nuova immagine:
+ Esegui la procedura guidata per la pipeline nella console Image Builder per creare un'immagine personalizzata.
+ Utilizza una delle seguenti azioni API o il comando corrispondente: AWS CLI
+ L'azione **[CreateImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_CreateImage.html)** API (**[create-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/create-image.html)**in AWS CLI).
+ L'azione **[ImportVmImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_ImportVmImage.html)** API (**[import-vm-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/import-vm-image.html)**in AWS CLI).
+ L'azione **[StartImagePipelineExecution](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_StartImagePipelineExecution.html)** API (**[start-image-pipeline-execution](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/start-image-pipeline-execution.html)**in AWS CLI).
**Importante**
Se il ruolo collegato al servizio viene eliminato dal tuo account, puoi utilizzare la stessa procedura per crearlo nuovamente. Quando crei la tua prima risorsa EC2 Image Builder, Image Builder crea nuovamente il ruolo collegato al servizio per te.
Per vedere le autorizzazioni per la, consulta la pagina. **AWSServiceRoleForImageBuilder**[Policy AWSServiceRoleForImageBuilder](security-iam-awsmanpol.md#sec-iam-manpol-AWSServiceRoleForImageBuilder) *Per ulteriori informazioni sulla configurazione delle autorizzazioni per un ruolo collegato al servizio, consulta Service-Linked Role Permissions nella [IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions).*
## Rimuovere un ruolo collegato al servizio Image Builder dall'account
Puoi utilizzare la console IAM AWS CLI, o l' AWS API per rimuovere manualmente il ruolo collegato al servizio per Image Builder dal tuo account. Tuttavia, prima di eseguire questa operazione, è necessario assicurarsi che non vi siano risorse Image Builder abilitate che fanno riferimento ad esso.
**Nota**
Se il servizio Image Builder utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Pulisci le risorse di Image Builder utilizzate dal ruolo `AWSServiceRoleForImageBuilder`**
1. Verificate che nessuna build di pipeline sia in esecuzione prima di iniziare. Per annullare una build in esecuzione, utilizzate il `cancel-image-creation` comando di. AWS CLI
```
aws imagebuilder cancel-image-creation --image-build-version-arn arn:aws:imagebuilder:us-east-1:123456789012:image-pipeline/sample-pipeline
```
1. Modifica tutte le pianificazioni della pipeline per utilizzare un processo di compilazione manuale o eliminale se non le utilizzerai più. Per ulteriori informazioni sull'eliminazione delle risorse, consulta. [Eliminare risorse Image Builder obsolete o inutilizzate](delete-resources.md)
**Elimina il ruolo collegato al servizio utilizzando IAM**
Puoi utilizzare la console IAM AWS CLI, o l' AWS API per eliminare il `AWSServiceRoleForImageBuilder` ruolo dal tuo account. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi di Image Builder
Image Builder supporta l'utilizzo di ruoli collegati ai servizi in tutte le AWS regioni in cui il servizio è disponibile. Per l'elenco delle AWS regioni supportate, vedere. [AWS Regioni ed endpoint](what-is-image-builder.md#image-builder-regions)
# Risolvi i problemi di IAM in Image Builder
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Image Builder](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse di Image Builder](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Image Builder
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `imagebuilder:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: imagebuilder:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `imagebuilder:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di passare un ruolo a Image Builder.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Image Builder. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse di Image Builder
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o elenchi di controllo degli accessi (ACLs), è possibile utilizzare tali criteri per concedere alle persone l'accesso alle proprie risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Image Builder supporta queste funzionalità, vedere. [Come Image Builder funziona con le politiche e i ruoli IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.