为 EC2 Image Builder 使用 Amazon 托管策略 - EC2 Image Builder
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 EC2 Image Builder 使用 Amazon 托管策略

Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Services 服务 的 API 操作时更新 Amazon 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管策略

AWSImageBuilderFullAccess policy

这些区域有:AWSImageBuilderFullAccess策略授予其所属角色对 Image Builder 资源的完全访问权限,允许该角色列出、描述、创建、更新和删除 Image Builder 资源。该策略还向相关 Amazon Web Services 服务 人员授予所需的定向权限,例如验证资源或在中显示账户的当前资源 Amazon Web Services Management Console。

权限详细信息

该策略包含以下权限:

  • Image Builder – 授予管理权限,使该角色可以列出、描述、创建、更新和删除 Image Builder 资源。

  • 亚马逊 EC2 — 授予访问权限 Amazon Desc EC2 ribe 操作,这些操作是验证资源存在或获取属于该账户的资源列表所必需的。

  • IAM – 授予访问权限以获取和使用名称包含“imagebuilder”的实例配置文件,通过 iam:GetRole API 操作验证 Image Builder 服务相关角色是否存在,以及创建 Image Builder 服务相关角色。

  • License Manager – 授予访问权限,以列出资源的许可证配置或许可证。

  • Amazon S3 – 授予访问权限,以列出属于该账户的存储桶,以及名称中带有“imagebuilder”的 Image Builder 存储桶。

  • Amazon SNS – 向 Amazon SNS 授予写入权限,以验证包含“imagebuilder”的主题的主题所有权。

要查看此策略的权限,请参阅 AWSImageBuilderFullAccess在《Amazon 托管策略参考》中。

AWSImageBuilderReadOnlyAccess policy

这些区域有:AWSImageBuilderReadOnlyAccess策略提供对所有 Image Builder 资源的只读访问权限。授予权限以通过 iam:GetRole API 操作验证 Image Builder 服务相关角色是否存在。

权限详细信息

该策略包含以下权限:

  • Image Builder – 授予对 Image Builder 资源的只读访问权限。

  • IAM – 授予访问权限,以通过 iam:GetRole API 操作验证 Image Builder 服务相关角色是否存在。

要查看此策略的权限,请参阅 AWSImageBuilderReadOnlyAccess在《Amazon 托管策略参考》中。

AWSServiceRoleForImageBuilder policy

这些区域有:AWSServiceRoleForImageBuilder策略允许 Image Builder Amazon Web Services 服务 代表您致电。

权限详细信息

通过 Systems Manager 创建 Image Builder 服务相关角色时,该策略将附加到该角色。有关 Image Builder 服务相关角色的更多信息,请参阅 使用 Image Builder 的 IAM 服务相关角色

此策略包含以下权限:

  • CloudWatch 日志-授予创建 CloudWatch 日志并将其上传到名称以开头的任何日志组的访问权限/aws/imagebuilder/

  • 亚马逊 EC2 — Image Builder 有权创建、拍摄快照和注册其创建的图像 (AMIs),并在您的账户中启动EC2 实例。Image Builder 会根据需要使用相关的快照、卷、网络接口、子网、安全组、许可证配置和密钥对,前提是正在创建或使用的映像、实例和卷标有CreatedBy: EC2 Image BuilderCreatedBy: EC2 Fast Launch

    Image Builder 可以获取有关亚马逊 EC2 映像、实例属性、实例状态、您的账户可用的实例类型、启动模板、子网、主机和亚马逊 EC2 资源上的标签的信息。

    Image Builder 可以更新映像设置,以启用或禁用账户中的 Windows 实例快速启动(其中映像标有 CreatedBy: EC2 Image Builder)。

    此外,Image Builder 可以启动、停止和终止在您的账户中运行的实例,共享 Amazon EBS 快照,创建和更新映像和启动模板,注销现有映像,添加标签,以及在您通过授予权限的账户之间复制映像 Ec2ImageBuilderCrossAccountDistributionAccess政策。如前所述,所有这些操作都需要使用 Image Builder 标记。

  • Amazon ECR – 向 Image Builder 授予访问权限,在需要进行容器映像漏洞扫描时创建存储库,并为其创建的资源添加标签,以限制其操作范围。Image Builder 还被授予访问权限,以在获取漏洞快照后删除其为扫描创建的容器映像。

  • EventBridge— 授予 Image Builder 创建和管理 EventBridge 规则的权限。

  • IAM — 授予 Image Builder 访问权限,可以将您账户中的任何角色传递给亚马逊 EC2和虚拟机导入/导出。

  • Amazon Inspector – 向 Image Builder 授予访问权限,以确定 Amazon Inspector 何时完成构建实例扫描,并收集配置为允许扫描的映像的结果。

  • Amazon KMS:向 Amazon EBS 授予访问权限,以加密、解密或重新加密 Amazon EBS 卷。这一点非常重要,可以确保当 Image Builder 构建映像时,加密卷能够正常工作。

  • License Manager – 向 Image Builder 授予访问权限,以通过 license-manager:UpdateLicenseSpecificationsForResource 更新 License Manager 规格。

  • Amazon SNS – 向账户中的任何 Amazon SNS 主题都授予写入权限。

  • Systems Manager – 向 Image Builder 授予访问权限,以列出 Systems Manager 命令及其调用、清单条目、描述实例信息和自动执行状态、描述提供实例放置支持的主机,并获取命令调用详细信息。Image Builder 还可以发送自动化信号,并停止对账户中任意资源的自动化执行。

    Image Builder 能够向标记为 "CreatedBy": "EC2 Image Builder" 的任何实例发出运行命令调用,用于以下脚本文件:AWS-RunPowerShellScriptAWS-RunShellScriptAWSEC2-RunSysprep。Image Builder 能够在账户中启动 Systems Manager 自动化执行,用于名称以 ImageBuilder 开头的自动化文档。

    Image Builder 还可以在账户中为任何实例创建或删除状态管理器关联(只要关联文档为 AWS-GatherSoftwareInventory),并且可以在账户中创建 Systems Manager 服务相关角色。

  • Amazon STS— 授予 Image Builder 担任名为的角色的访问权限 EC2ImageBuilderDistributionCrossAccountRole从您的账户转移到该角色的信任政策允许的任何账户。这可用于跨账户映像分配。

要查看此策略的权限,请参阅 AWSServiceRoleForImageBuilder在《Amazon 托管策略参考》中。

Ec2ImageBuilderCrossAccountDistributionAccess policy

这些区域有:Ec2ImageBuilderCrossAccountDistributionAccess策略授予 Image Builder 在目标区域跨账户分发图像的权限。此外,Image Builder 可以对账户中的任何亚马逊 EC2 图片进行描述、复制和应用标签。该策略还允许通过 ec2:ModifyImageAttribute API 操作修改 AMI 权限。

权限详细信息

该策略包含以下权限:

  • 亚马逊 EC2 — EC2 允许亚马逊描述、复制和修改图片的属性,以及为账户中的任何亚马逊 EC2 图片创建标签。

要查看此策略的权限,请参阅 Ec2ImageBuilderCrossAccountDistributionAccess在《Amazon 托管策略参考》中。

EC2ImageBuilderLifecycleExecutionPolicy policy

这些区域有:EC2ImageBuilderLifecycleExecutionPolicy策略授予 Image Builder 执行诸如弃用、禁用或删除 Image Builder 图像资源及其底层资源(快照)等操作的权限AMIs,以支持图像生命周期管理任务的自动规则。

权限详细信息

该策略包含以下权限:

  • 亚马逊 EC2 — 授予亚马逊访问权限, EC2 允许其对账户中带有标签的亚马逊系统映像 (AMIs) 执行以下操作CreatedBy: EC2 Image Builder

    • 启用和禁用 AMI。

    • 启用和禁用映像弃用。

    • 描述和注销 AMI。

    • 描述和修改 AMI 映像属性。

    • 删除与 AMI 关联的卷快照。

    • 检索资源的标签。

    • 在 AMI 中添加或删除弃用标签。

  • Amazon ECR – 向 Amazon ECR 授予访问权限,以对具有 LifecycleExecutionAccess: EC2 Image Builder 标签的 ECR 存储库上执行以下批处理操作。批处理操作支持自动化容器映像生命周期规则。

    • ecr:BatchGetImage

    • ecr:BatchDeleteImage

    在存储库级别向标记为 LifecycleExecutionAccess: EC2 Image Builder 的 ECR 存储库授予访问权限。

  • Amazon 资源组 — 授予 Image Builder 基于标签获取资源的权限。

  • EC2 Image Builder — Image Builder 被授予删除图像生成器图像资源的权限。

要查看此策略的权限,请参阅 EC2ImageBuilderLifecycleExecutionPolicy在《Amazon 托管策略参考》中。

EC2InstanceProfileForImageBuilder policy

这些区域有:EC2InstanceProfileForImageBuilder策略授予 EC2 实例使用 Image Builder 所需的最低权限。但这不包括使用 Systems Manager 代理所需的权限。

权限详细信息

该策略包含以下权限:

  • CloudWatch 日志-授予创建 CloudWatch 日志并将其上传到名称以开头的任何日志组的访问权限/aws/imagebuilder/

  • 亚马逊 EC2 — 授予访问权限以描述卷和快照、创建 Image Builder 创建的卷或快照资源的快照以及为 Image Builder 资源创建标签。

  • Image Builder — 授予获取任何图像生成器或 Amazon Web Services Marketplace 组件的访问权限。

  • Amazon KMS— 如果Image Builder组件是通过加密的,则有权解密该组件。 Amazon KMS

  • Amazon S3 — 授予访问权限,以获取存储在名称以 ec2imagebuilder- ISO 开头的 Amazon S3 存储桶中的对象或文件扩展名为 ISO 的资源。

要查看此策略的权限,请参阅 EC2InstanceProfileForImageBuilder在《Amazon 托管策略参考》中。

EC2InstanceProfileForImageBuilderECRContainerBuilds policy

这些区域有:EC2InstanceProfileForImageBuilderECRContainerBuilds策略授予 EC2 实例在使用 Image Builder 构建 Docker 映像,然后在 Amazon ECR 容器存储库中注册和存储映像时所需的最低权限。但这不包括使用 Systems Manager 代理所需的权限。

权限详细信息

该策略包含以下权限:

  • CloudWatch 日志-授予创建 CloudWatch 日志并将其上传到名称以开头的任何日志组的访问权限/aws/imagebuilder/

  • Amazon ECR – 向 Amazon ECR 授予访问权限,以获取、注册和存储容器映像,以及获取授权令牌。

  • Image Builder – 授予访问权限,以获取 Image Builder 组件或容器配方。

  • Amazon KMS— 如果Image Builder组件或容器配方是通过加密的,则授予解密该组件或容器配方的权限。 Amazon KMS

  • Amazon S3 – 授予权限,以获取存储在名称以 ec2imagebuilder- 开头的 Amazon S3 存储桶中的对象。

要查看此策略的权限,请参阅 EC2InstanceProfileForImageBuilderECRContainerBuilds在《Amazon 托管策略参考》中。

Image Builder 更新 Amazon 了托管策略

本节提供有关自Image Builder Amazon 托管策略开始跟踪这些更改以来对该服务所做的更新的信息。有关此页面更改的自动警报,请订阅 Image Builder 文档历史记录页面上的 RSS 源。

更改 描述 日期

AWSServiceRoleForImageBuilder – 对现有策略的更新

Image Builder 对服务角色进行了以下更改,以支持将 Microsoft 客户端操作系统 ISO 文件作为基础映像导入。

  • 添加了 ec2: RegisterImage 以允许 Image Builder 创建快照并创建和注册基准操作系统是从经过验证的 ISO 磁盘文件中导入的 AMI。

2024 年 12 月 30 日

EC2InstanceProfileForImageBuilder – 对现有策略的更新

Image Builder 对实例配置文件策略进行了以下更改,以支持从磁盘映像文件创建映像。

  • 在所有资源DescribeSnapshots 上添加了以下 ec2 操作: DescribeVolumes 和,以检索详细信息。还为 Image Builder 创建的资源添加了以下操作:CreateSnapshot 卷和快照资源,以及 CreateTags。GetObject 为文件扩展名为 “ISO” 的资源添加了 s3:。

2024 年 12 月 30 日

EC2InstanceProfileForImageBuilder - 更新的策略

Image Builder 更新了EC2InstanceProfileForImageBuilder政策,允许图像生成器获取 Amazon Web Services Marketplace 组件。

2024 年 12 月 2 日

EC2ImageBuilderLifecycleExecutionPolicy:新策略

Image Builder 添加了包含映像生命周期管理权限的新 EC2ImageBuilderLifecycleExecutionPolicy 策略。

2023 年 11 月 17 日

AWSServiceRoleForImageBuilder – 对现有策略的更新

Image Builder 对服务角色进行了以下更改以提供实例放置支持。

  • 新增 ec2:DescribeHosts 允许 Image Builder 轮询主机 ID 以确定其何时处于启动实例的有效状态。

  • 添加了 ssm:GetCommandInvocation,API 操作以改进 Image Builder 用于获取命令调用详细信息的方法。

2023 年 10 月 19 日

AWSServiceRoleForImageBuilder – 对现有策略的更新

Image Builder 对服务角色进行了以下更改以提供实例放置支持。

  • 新增 ec2:DescribeHosts 启用 Image Builder 轮询主机 ID 以确定其何时处于启动实例的有效状态。

  • 添加了 ssm:GetCommandInvocation,API 操作以改进 Image Builder 用于获取命令调用详细信息的方法。

2023 年 9 月 28 日

AWSServiceRoleForImageBuilder – 对现有策略的更新

Image Builder 对服务角色进行了以下更改,以允许 Image Builder 工作流程收集 AMI 和 ECR 容器映像版本的漏洞结果。新权限支持 CVE 检测和报告功能。

  • 添加了 inspector2: ListCoverage 和 inspector2: ListFindings 以允许 Image Builder 确定 Amazon Inspector 何时完成测试实例扫描,并收集配置为允许扫描的图像的结果。

  • 添加了 ecr:CreateRepository,并要求 Image Builder 使用 CreatedBy: EC2 Image Builder (tag-on-create) 标记存储库。还添加了具有相同 CreatedBy 标签约束的 ecr:TagResource (必填项 tag-on-create),以及一个要求以存储库名称开头的image-builder-*附加约束。名称限制可防止权限升级,并防止对 Image Builder 未创建的存储库进行更改。

  • BatchDeleteImage 为带有标签的 ECR 存储库添加了 ecr:。CreatedBy: EC2 Image Builder此权限要求存储库名称以 image-builder-* 开头。

  • 为 Image Builder 添加了创建和管理名称ImageBuilder-*中包含的亚马逊 EventBridge 托管规则的事件权限。

2023 年 3 月 30 日

AWSServiceRoleForImageBuilder – 对现有策略的更新

Image Builder 对服务角色进行了以下更改:

  • 添加了 License Manager 许可证作为 ec2: RunInstance 调用的资源 AMIs ,以允许客户使用与许可证配置关联的基础映像。

2022 年 3 月 22 日

AWSServiceRoleForImageBuilder – 对现有策略的更新

Image Builder 对服务角色进行了以下更改:

  • 添加了 EC2 EnableFastLaunch API 操作权限,以启用和禁用 Windows 实例的更快启动速度。

  • 进一步缩小了 ec2:CreateTags 操作和资源标签条件的范围。

2022 年 2 月 21 日

AWSServiceRoleForImageBuilder – 对现有策略的更新

Image Builder 对服务角色进行了以下更改:

  • 已增加权限,以调用 VMIE 服务导入虚拟机并从中创建基本 AMI。

  • 收紧了 ec2 的范围:CreateTags 操作和资源标签条件。

2021 年 11 月 20 日

AWSServiceRoleForImageBuilder – 对现有策略的更新

Image Builder 已添加新权限,以修复多个清单关联导致映像构建卡住的问题。

2021 年 8 月 11 日

AWSImageBuilderFullAccess – 对现有策略的更新

Image Builder 对完全访问权限角色进行了以下更改:

  • 添加允许 ec2:DescribeInstanceTypeOffereings 的权限。

  • 添加调用 ec2:DescribeInstanceTypeOffereings 的权限,使 Image Builder 控制台能够准确反映账户中可用的实例类型。

2021 年 4 月 13 日

Image Builder 已开始跟踪更改

Image Builder 开始跟踪其 Amazon 托管策略的更改。

2021 年 4 月 02 日