为 EC2 Image Builder 使用 Amazon 托管策略 - EC2Image Builder
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 EC2 Image Builder 使用 Amazon 托管策略

Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 当新服务启动或现有服务 Amazon Web Services 服务 有新API操作可用时,最有可能更新 Amazon 托管策略。

有关更多信息,请参阅 IAM IAM 用户指南中的 Amazon 托管式策略

AWSImageBuilderFullAccess policy

这些区域有:AWSImageBuilderFullAccess策略授予其所属角色对 Image Builder 资源的完全访问权限,允许该角色列出、描述、创建、更新和删除 Image Builder 资源。该策略还向相关 Amazon Web Services 服务 人员授予所需的定向权限,例如验证资源或在中显示账户的当前资源 Amazon Web Services Management Console。

权限详细信息

该策略包含以下权限:

  • Image Builder – 授予管理权限,使该角色可以列出、描述、创建、更新和删除 Image Builder 资源。

  • 亚马逊 EC2 — 授予访问权限 Amazon Desc EC2 ribe 操作,这些操作是验证资源存在或获取属于该账户的资源列表所必需的。

  • IAM— 授予访问权限以获取和使用名称包含 “imagebuilder” 的实例配置文件,通过iam:GetRoleAPI操作验证 Image Builder 服务相关角色的存在,以及创建 Image Builder 服务相关角色。

  • License Manager – 授予访问权限,以列出资源的许可证配置或许可证。

  • Amazon S3 – 授予访问权限,以列出属于该账户的存储桶,以及名称中带有“imagebuilder”的 Image Builder 存储桶。

  • Amazon SNS — SNS 向亚马逊授予写入权限,用于验证包含 “图像生成器” 的主题的主题的所有权。

要查看此策略的权限,请参阅 AWSImageBuilderFullAccess在《Amazon 托管策略参考》中。

AWSImageBuilderReadOnlyAccess policy

这些区域有:AWSImageBuilderReadOnlyAccess策略提供对所有 Image Builder 资源的只读访问权限。授予权限以通过iam:GetRoleAPI操作验证 Image Builder 服务相关角色是否存在。

权限详细信息

该策略包含以下权限:

  • Image Builder – 授予对 Image Builder 资源的只读访问权限。

  • IAM— 授予访问权限,通过iam:GetRoleAPI操作验证 Image Builder 服务相关角色是否存在。

要查看此策略的权限,请参阅 AWSImageBuilderReadOnlyAccess在《Amazon 托管策略参考》中。

AWSServiceRoleForImageBuilder policy

这些区域有:AWSServiceRoleForImageBuilder策略允许 Image Builder Amazon Web Services 服务 代表您致电。

权限详细信息

通过 Systems Manager 创建 Image Builder 服务相关角色时,该策略将附加到该角色。有关 Image Builder 服务相关角色的更多信息,请参阅 在 Image Builder 中使用IAM服务相关角色

此策略包含以下权限:

  • CloudWatch 日志-授予创建 CloudWatch 日志并将其上传到名称以开头的任何日志组的访问权限/aws/imagebuilder/

  • Amazon EC2 — 只要正在创建或使用的映像、EC2实例和卷标有或标签,Image Builder 就有权根据需要使用相关的快照、卷、网络接口、子网、安全组、许可配置和密钥对在您的账户中创建映像和启动实例。CreatedBy: EC2 Image Builder CreatedBy: EC2 Fast Launch

    Image Builder 可以获取有关亚马逊EC2映像、实例属性、实例状态、您的账户可用的实例类型、启动模板、子网、主机和亚马逊EC2资源上的标签的信息。

    Image Builder 可以更新映像设置,以启用或禁用账户中的 Windows 实例快速启动(其中映像标有 CreatedBy: EC2 Image Builder)。

    此外,Image Builder 可以启动、停止和终止在您的账户中运行的实例,共享 Amazon EBS 快照,创建和更新图像和启动模板,注销现有映像,添加标签,以及在您通过授予权限的账户之间复制映像 Ec2ImageBuilderCrossAccountDistributionAccess政策。如前所述,所有这些操作都需要使用 Image Builder 标记。

  • Amazon ECR — Image Builder 有权在需要时创建存储库进行容器映像漏洞扫描,并标记其创建的资源以限制其操作范围。Image Builder 还被授予访问权限,以在获取漏洞快照后删除其为扫描创建的容器映像。

  • EventBridge— 授予 Image Builder 创建和管理 EventBridge 规则的权限。

  • IAM— 授权 Image Builder 可以将您账户中的任何角色传递给亚马逊EC2和虚拟机导入/导出。

  • Amazon Inspector – 向 Image Builder 授予访问权限,以确定 Amazon Inspector 何时完成构建实例扫描,并收集配置为允许扫描的映像的结果。

  • Amazon KMS— 授予亚马逊对亚马逊卷EBS进行加密、解密或重新加密的访问权限。EBS这一点非常重要,可以确保当 Image Builder 构建映像时,加密卷能够正常工作。

  • License Manager – 向 Image Builder 授予访问权限,以通过 license-manager:UpdateLicenseSpecificationsForResource 更新 License Manager 规格。

  • Amazon SNS — 对您账户中的任何亚马逊SNS主题都授予写入权限。

  • Systems Manager – 向 Image Builder 授予访问权限,以列出 Systems Manager 命令及其调用、清单条目、描述实例信息和自动执行状态、描述提供实例放置支持的主机,并获取命令调用详细信息。Image Builder 还可以发送自动化信号,并停止对账户中任意资源的自动化执行。

    Image Builder 能够向标记为 "CreatedBy": "EC2 Image Builder" 的任何实例发出运行命令调用,用于以下脚本文件:AWS-RunPowerShellScriptAWS-RunShellScriptAWSEC2-RunSysprep。Image Builder 能够在账户中启动 Systems Manager 自动化执行,用于名称以 ImageBuilder 开头的自动化文档。

    Image Builder 还可以在账户中为任何实例创建或删除状态管理器关联(只要关联文档为 AWS-GatherSoftwareInventory),并且可以在账户中创建 Systems Manager 服务相关角色。

  • Amazon STS— 授予 Image Builder 担任名为的角色的访问权限 EC2ImageBuilderDistributionCrossAccountRole从您的账户转移到该角色的信任政策允许的任何账户。这可用于跨账户映像分配。

要查看此策略的权限,请参阅 AWSServiceRoleForImageBuilder在《Amazon 托管策略参考》中。

Ec2ImageBuilderCrossAccountDistributionAccess policy

这些区域有:Ec2ImageBuilderCrossAccountDistributionAccess策略授予 Image Builder 在目标区域跨账户分发图像的权限。此外,Image Builder 可以对账户中的任何亚马逊EC2图片进行描述、复制和应用标签。该策略还允许通过ec2:ModifyImageAttributeAPI操作修改AMI权限。

权限详细信息

该策略包含以下权限:

  • 亚马逊 EC2 — EC2 允许亚马逊描述、复制和修改图片的属性,以及为账户中的任何亚马逊EC2图片创建标签。

要查看此策略的权限,请参阅 Ec2ImageBuilderCrossAccountDistributionAccess在《Amazon 托管策略参考》中。

EC2ImageBuilderLifecycleExecutionPolicy policy

这些区域有:EC2ImageBuilderLifecycleExecutionPolicy策略授予 Image Builder 执行诸如弃用、禁用或删除 Image Builder 图像资源及其底层资源(快照)等操作的权限AMIs,以支持图像生命周期管理任务的自动规则。

权限详细信息

该策略包含以下权限:

  • 亚马逊 EC2 — 授予亚马逊访问权限,EC2允许其对账户中带有标签的亚马逊系统映像 (AMIs) 执行以下操作CreatedBy: EC2 Image Builder

    • 启用和禁用AMI。

    • 启用和禁用映像弃用。

    • 描述并注销一个. AMI

    • 描述和修改AMI图像属性。

    • 删除与关联的卷快照AMI。

    • 检索资源的标签。

    • 在中添加或移除标签以AMI供弃用。

  • 亚马逊 ECR — 授予亚马逊访问权限ECR,允许其对带有LifecycleExecutionAccess: EC2 Image Builder标签的ECR存储库执行以下批量操作。批处理操作支持自动化容器映像生命周期规则。

    • ecr:BatchGetImage

    • ecr:BatchDeleteImage

    在存储库级别授予标有标签的ECR存储库的访问权限LifecycleExecutionAccess: EC2 Image Builder

  • Amazon 资源组 — 授予 Image Builder 基于标签获取资源的权限。

  • EC2Image Builder — Image Builder 被授予删除图像生成器图像资源的权限。

要查看此策略的权限,请参阅 EC2ImageBuilderLifecycleExecutionPolicy在《Amazon 托管策略参考》中。

EC2InstanceProfileForImageBuilder policy

这些区域有:EC2InstanceProfileForImageBuilder策略授予EC2实例使用 Image Builder 所需的最低权限。但这不包括使用 Systems Manager 代理所需的权限。

权限详细信息

该策略包含以下权限:

  • CloudWatch 日志-授予创建 CloudWatch 日志并将其上传到名称以开头的任何日志组的访问权限/aws/imagebuilder/

  • Image Builder — 授予获取任何图像生成器或 Amazon Web Services Marketplace 组件的访问权限。

  • Amazon KMS— 如果Image Builder组件是通过加密的,则有权解密该组件。 Amazon KMS

  • Amazon S3 – 授予权限,以获取存储在名称以 ec2imagebuilder- 开头的 Amazon S3 存储桶中的对象。

要查看此策略的权限,请参阅 EC2InstanceProfileForImageBuilder在《Amazon 托管策略参考》中。

EC2InstanceProfileForImageBuilderECRContainerBuilds policy

这些区域有:EC2InstanceProfileForImageBuilderECRContainerBuilds策略授予EC2实例在使用 Image Builder 构建 Docker 镜像,然后在亚马逊ECR容器存储库中注册和存储镜像所需的最低权限。但这不包括使用 Systems Manager 代理所需的权限。

权限详细信息

该策略包含以下权限:

  • CloudWatch 日志-授予创建 CloudWatch 日志并将其上传到名称以开头的任何日志组的访问权限/aws/imagebuilder/

  • 亚马逊 ECR — 授予亚马逊获ECR取、注册和存储容器镜像以及获取授权令牌的访问权限。

  • Image Builder – 授予访问权限,以获取 Image Builder 组件或容器配方。

  • Amazon KMS— 如果Image Builder组件或容器配方是通过加密的,则授予解密该组件或容器配方的权限。 Amazon KMS

  • Amazon S3 – 授予权限,以获取存储在名称以 ec2imagebuilder- 开头的 Amazon S3 存储桶中的对象。

要查看此策略的权限,请参阅 EC2InstanceProfileForImageBuilderECRContainerBuilds在《Amazon 托管策略参考》中。

Image Builder 更新 Amazon 了托管策略

本节提供有关自Image Builder Amazon 托管策略开始跟踪这些更改以来对该服务所做的更新的信息。要获取有关此页面变更的自动提醒,请订阅 Image Builder 文档历史记录页面上的订阅RSS源。

更改 描述 日期

EC2InstanceProfileForImageBuilder - 更新的策略

Image Builder 更新了EC2InstanceProfileForImageBuilder政策,允许图像生成器获取 Amazon Web Services Marketplace 组件。

2024 年 12 月 2 日

EC2ImageBuilderLifecycleExecutionPolicy:新策略

Image Builder 添加了包含映像生命周期管理权限的新 EC2ImageBuilderLifecycleExecutionPolicy 策略。

2023 年 11 月 17 日

AWSServiceRoleForImageBuilder – 对现有策略的更新

Image Builder 对服务角色进行了以下更改以提供实例放置支持。

  • 已添加 ec2:DescribeHosts 启用 Image Builder 进行轮询 hostId 以确定何时处于启动实例的有效状态。

  • 添加了 ssm:GetCommandInvocation,API操作用于改进 Image Builder 用于获取命令调用详细信息的方法。

2023 年 10 月 19 日

AWSServiceRoleForImageBuilder – 对现有策略的更新

Image Builder 对服务角色进行了以下更改以提供实例放置支持。

  • 已添加 ec2:DescribeHosts 启用 Image Builder 进行轮询 hostId 以确定何时处于启动实例的有效状态。

  • 添加了 ssm:GetCommandInvocation,API操作用于改进 Image Builder 用于获取命令调用详细信息的方法。

2023 年 9 月 28 日

AWSServiceRoleForImageBuilder – 对现有策略的更新

Image Builder 对服务角色进行了以下更改,以允许 Image Builder 工作流程收集两个版本AMI和ECR容器映像版本的漏洞发现。新权限支持CVE检测和报告功能。

  • 添加了 inspector2: ListCoverage 和 inspector2: ListFindings 以允许 Image Builder 确定 Amazon Inspector 何时完成测试实例扫描,并收集配置为允许扫描的图像的结果。

  • 添加了 ecr:CreateRepository,并要求 Image Builder 使用 CreatedBy: EC2 Image Builder (tag-on-create) 标记存储库。还添加了具有相同 CreatedBy 标签约束的 ecr:TagResource (必填 tag-on-create),以及一个要求存储库名称以开头的image-builder-*附加约束。名称限制可防止权限升级,并防止对 Image Builder 未创建的存储库进行更改。

  • 添加了 ecr: BatchDeleteImage 用于标记为的ECR存储库。CreatedBy: EC2 Image Builder此权限要求存储库名称以 image-builder-* 开头。

  • 为 Image Builder 添加了创建和管理名称ImageBuilder-*中包含的亚马逊 EventBridge 托管规则的事件权限。

2023 年 3 月 30 日

AWSServiceRoleForImageBuilder – 对现有策略的更新

Image Builder 对服务角色进行了以下更改:

  • 添加了 License Manager 许可证作为 ec2: RunInstance 调用的资源AMIs,以允许客户使用与许可证配置关联的基础映像。

2022 年 3 月 22 日

AWSServiceRoleForImageBuilder – 对现有策略的更新

Image Builder 对服务角色进行了以下更改:

  • 添加了EC2 EnableFastLaunch API操作权限,以启用和禁用 Windows 实例的更快启动。

  • 进一步缩小了 ec2:CreateTags 操作和资源标签条件的范围。

2022 年 2 月 21 日

AWSServiceRoleForImageBuilder – 对现有策略的更新

Image Builder 对服务角色进行了以下更改:

  • 增加了调用该VMIE服务以导入虚拟机并AMI从中创建基础的权限。

  • 收紧了 ec2 的范围:CreateTags 操作和资源标签条件。

2021 年 11 月 20 日

AWSServiceRoleForImageBuilder – 对现有策略的更新

Image Builder 已添加新权限,以修复多个清单关联导致映像构建卡住的问题。

2021 年 8 月 11 日

AWSImageBuilderFullAccess – 对现有策略的更新

Image Builder 对完全访问权限角色进行了以下更改:

  • 添加允许 ec2:DescribeInstanceTypeOffereings 的权限。

  • 添加调用 ec2:DescribeInstanceTypeOffereings 的权限,使 Image Builder 控制台能够准确反映账户中可用的实例类型。

2021 年 4 月 13 日

Image Builder 已开始跟踪更改

Image Builder 开始跟踪其 Amazon 托管策略的更改。

2021 年 4 月 02 日