As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Integração do Identity and Access Management com o Image Builder
Tópicos
Público
A forma como você usa AWS Identity and Access Management(IAM) difere com base na sua função:
-
Usuário do serviço: solicite permissões ao administrador caso você não consiga acessar os recursos (consulte Solucionar problemas do IAM no Image Builder).
-
Administrador do serviço: determine o acesso do usuário e envie solicitações de permissão (consulte Como o Image Builder utiliza políticas e perfis do IAM)
-
Administrador do IAM: escreva políticas para gerenciar o acesso (consulte Políticas baseadas em identidade do Image Builder)
Autenticação com identidades
Para obter informações detalhadas sobre como fornecer autenticação para pessoas e processos em seu Conta da AWS, consulte Identidades no Guia do usuário do IAM.
Permissões do IAM para fluxos de trabalho personalizados
Ao usar fluxos de trabalho personalizados com ações de etapas específicasRegisterImage, como permissões adicionais do IAM, podem ser necessárias além das políticas gerenciadas padrão do Image Builder. Esta seção descreve as permissões adicionais necessárias para ações personalizadas das etapas do fluxo de trabalho.
RegisterImage permissões de ação de etapa
A ação da RegisterImage etapa requer EC2 permissões específicas da Amazon para registrar AMIs e, opcionalmente, recuperar tags de snapshot. Ao usar o includeSnapshotTags parâmetro, são necessárias permissões adicionais para descrever os instantâneos.
Permissões necessárias para a ação da RegisterImage etapa:
Para todos os recursos, permita as seguintes ações:
-
ec2:RegisterImage -
ec2:DescribeSnapshots
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RegisterImage", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "ec2:CreateAction": "RegisterImage" } } } ] }
Detalhes da permissão:
-
ec2:RegisterImage- Necessário para registrar novos a AMIs partir de instantâneos -
ec2:DescribeSnapshots- Obrigatório ao usarincludeSnapshotTags: truepara recuperar tags de instantâneo para mesclagem com tags AMI -
ec2:CreateTags- Obrigatório para aplicar tags à AMI registrada, incluindo as tags padrão do Image Builder e as tags de snapshot mescladas
nota
A ec2:DescribeSnapshots permissão só é usada quando o includeSnapshotTags parâmetro é definido comotrue. Se você não usar esse recurso, poderá omitir essa permissão.
Comportamento de mesclagem de tags:
Quando includeSnapshotTags estiver ativada, a ação da RegisterImage etapa:
-
Recupere as tags do primeiro instantâneo especificado no mapeamento do dispositivo de bloco
-
Exclua todas as tags AWS reservadas (aquelas com chaves começando com “aws:”)
-
Mescle tags de snapshot com as tags de registro de AMI padrão do Image Builder
-
Dê precedência às tags do Image Builder quando as chaves de tag entrarem em conflito
Políticas baseadas em recursos do Image Builder
Para informações sobre como criar um componente, consulte Usar componentes para personalizar sua imagem do Image Builder.
Restringir o acesso do componente do construtor de imagens a endereços IP específicos
O exemplo a seguir concede permissões a qualquer usuário para executar qualquer operação do Image Builder em componentes. No entanto, a solicitação deve se originar no intervalo de endereços IP especificados na condição.
A condição nesta declaração identifica o intervalo 54.240.143.* de endereços IP permitidos do Protocolo de Internet versão 4 (IPv4), com uma exceção: 54.240.143.188.
O Condition bloco usa as NotIpAddress condições IpAddress e e a chave de aws:SourceIp condição, que é uma chave AWS de condição ampla. Para obter mais informações sobre essas chaves de condições, consulte Especificar condições em uma política. Os aws:sourceIp IPv4 valores usam a notação CIDR padrão. Para obter mais informações, consulte Operadores de condição de endereço IP no Guia do usuário do IAM.
