Image Builder의 자격 증명 및 액세스 관리 통합 - EC2 Image Builder
대상ID를 통한 인증사용자 지정 워크플로 권한리소스 기반 정책

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Image Builder의 자격 증명 및 액세스 관리 통합

주제

대상

AWS Identity and Access Management(IAM)를 사용하는 방법은 역할에 따라 다릅니다.

ID를 통한 인증

의 사용자 및 프로세스에 인증을 제공하는 방법에 대한 자세한 내용은 IAM 사용 설명서자격 증명을AWS 계정참조하세요.

사용자 지정 워크플로에 대한 IAM 권한

와 같은 특정 단계 작업과 함께 사용자 지정 워크플로를 사용하는 경우 표준 Image Builder 관리형 정책 외에 RegisterImage추가 IAM 권한이 필요할 수 있습니다. 이 섹션에서는 사용자 지정 워크플로 단계 작업에 필요한 추가 권한을 설명합니다.

RegisterImage 단계 작업 권한

RegisterImage 단계 작업에는 AMIs 등록하고 선택적으로 스냅샷 태그를 검색하기 위한 특정 Amazon EC2 권한이 필요합니다. includeSnapshotTags 파라미터를 사용할 때는 스냅샷을 설명하는 데 추가 권한이 필요합니다.

RegisterImage 단계 작업에 필요한 권한:

모든 리소스에 대해 다음 작업을 허용합니다.

  • ec2:RegisterImage

  • ec2:DescribeSnapshots

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:RegisterImage",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "RegisterImage"
                }
            }
        }
    ]
}

권한 세부 정보:

  • ec2:RegisterImage - 스냅샷에서 새 AMIs 등록하는 데 필요합니다.

  • ec2:DescribeSnapshots -를 사용하여 AMI 태그와 병합includeSnapshotTags: true하기 위한 스냅샷 태그를 검색할 때 필요합니다.

  • ec2:CreateTags - Image Builder 기본 태그와 병합된 스냅샷 태그를 모두 포함하여 등록된 AMI에 태그를 적용하는 데 필요합니다.

참고

ec2:DescribeSnapshots 권한은 includeSnapshotTags 파라미터가 로 설정된 경우에만 사용됩니다true. 이 기능을 사용하지 않는 경우이 권한을 생략할 수 있습니다.

태그 병합 동작:

includeSnapshotTags이 활성화되면 RegisterImage 단계 작업은 다음을 수행합니다.

  • 블록 디바이스 매핑에 지정된 첫 번째 스냅샷에서 태그 검색

  • AWS예약 태그 제외("aws:"로 시작하는 키가 있는 태그)

  • 스냅샷 태그를 Image Builder의 기본 AMI 등록 태그와 병합

  • 태그 키 충돌 시 Image Builder 태그에 우선 순위 부여

Image Builder 리소스 기반 정책

구성 요소를 생성하는 방법에 대한 자세한 내용은 구성 요소를 사용하여 Image Builder 이미지 사용자 지정(을)를 참조합니다.

Image Builder 구성 요소 액세스를 특정 IP 주소로 제한

다음 예에서는 구성 요소에서 모든 Image Builder 작업을 수행할 수 있는 권한을 모든 사용자에게 부여합니다. 하지만 조건에 지정된 IP 주소 범위에서만 요청을 허용해야 합니다.

이 문의 조건은 허용되는 IPv4(인터넷 프로토콜 버전 4) IP 주소의 54.240.143.* 범위를 식별하며 단, 한 가지 예외는 54.240.143.188입니다.

Condition 블록은 IpAddressNotIpAddress 조건과AWS전체 aws:SourceIp 조건 키인 조건 키를 사용합니다. 이러한 조건 키에 대한 자세한 내용은 정책의 조건 지정을 참조합니다. aws:sourceIp IPv4 값은 표준 CIDR 표기법을 사용합니다. 자세한 내용은 IAM 사용자 설명서IP 주소 조건 연산자를 참조합니다.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Id": "IBPolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Action": "imagebuilder:GetComponent",
      "Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}