本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 EC2 Image Builder 使用 Amazon 托管策略
<a name="security-iam-awsmanpol"></a>

 Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住， Amazon 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Services 服务 的 API 操作时更新 Amazon 托管策略。

有关更多信息，请参阅《IAM 用户指南》**中的 [Amazon 托管式策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AWSImageBuilderFullAccess 策略
<a name="sec-iam-manpol-AWSImageBuilderFullAccess"></a>

该 **AWSImageBuilderFullAccess** 策略授予所附加角色对 Image Builder 资源的完全访问权限，允许该角色列出、描述、创建、更新和删除 Image Builder 资源。该策略还向相关 Amazon Web Services 服务 人员授予所需的定向权限，例如验证资源或在中显示账户的当前资源 Amazon Web Services 管理控制台。

### 权限详细信息
<a name="sec-iam-manpol-AWSImageBuilderFullAccess-details"></a>

该策略包含以下权限：
+ **Image Builder** – 授予管理权限，使该角色可以列出、描述、创建、更新和删除 Image Builder 资源。
+ **Amazon EC2** – 授予 Amazon EC2 Describe 操作的访问权限，这些操作是验证资源是否存在或获取属于账户的资源列表所必需的。
+ **IAM** – 授予访问权限以获取和使用名称包含“imagebuilder”的实例配置文件，通过 `iam:GetRole` API 操作验证 Image Builder 服务相关角色是否存在，以及创建 Image Builder 服务相关角色。
+ **License Manager** – 授予访问权限，以列出资源的许可证配置或许可证。
+ **Amazon S3** – 授予访问权限，以列出属于该账户的存储桶，以及名称中带有“imagebuilder”的 Image Builder 存储桶。
+ **Amazon SNS** – 向 Amazon SNS 授予写入权限，以验证包含“imagebuilder”的主题的主题所有权。

要查看此策略的权限，请参阅《Amazon 托管式策略参考》中的 [https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html)**。

## AWSImageBuilderReadOnlyAccess 策略
<a name="sec-iam-manpol-AWSImageBuilderReadOnlyAccess"></a>

**AWSImageBuilderReadOnlyAccess** 策略提供对所有 Image Builder 资源的只读访问权限。授予权限以通过 `iam:GetRole` API 操作验证 Image Builder 服务相关角色是否存在。

### 权限详细信息
<a name="sec-iam-manpol-AWSImageBuilderReadOnlyAccess-details"></a>

该策略包含以下权限：
+ **Image Builder** – 授予对 Image Builder 资源的只读访问权限。
+ **IAM** – 授予访问权限，以通过 `iam:GetRole` API 操作验证 Image Builder 服务相关角色是否存在。

要查看此策略的权限，请参阅《Amazon 托管式策略参考》中的 [https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html)**。

## AWSServiceRoleForImageBuilder 策略
<a name="sec-iam-manpol-AWSServiceRoleForImageBuilder"></a>

该**AWSServiceRoleForImageBuilder**政策允许 Image Builder Amazon Web Services 服务 代表您致电。

### 权限详细信息
<a name="sec-iam-manpol-AWSServiceRoleForImageBuilder-details"></a>

通过 Systems Manager 创建 Image Builder 服务相关角色时，该策略将附加到该角色。有关 Image Builder 服务相关角色的更多信息，请参阅 [使用 Image Builder 的 IAM 服务相关角色](image-builder-service-linked-role.md)。

此策略包含以下权限：
+ **CloudWatch 日志**-授予创建 CloudWatch 日志并将其上传到名称以开头的任何日志组的访问权限`/aws/imagebuilder/`。
+ **Amazon EC2** — Image Builder 有权创建、拍摄快照和注册其创建的映像 (AMI)，并在您的账户中启动 EC2 实例。Image Builder 会根据需要使用相关的快照、卷、网络接口、子网、安全组、许可证配置和密钥对，前提是正在创建或使用的映像、实例和卷标有`CreatedBy: EC2 Image Builder`或`CreatedBy: EC2 Fast Launch`。

  Image Builder 可以获取以下有关信息：Amazon EC2 映像、实例属性、实例状态、账户可用的实例类型、启动模板、子网、主机和 Amazon EC2 资源上的标签。

  Image Builder 可以更新映像设置，以启用或禁用账户中的 Windows 实例快速启动（其中映像标有 `CreatedBy: EC2 Image Builder`）。

  此外，Image Builder 可以启动、停止和终止账户中运行的实例，还可以共享 Amazon EBS 快照、创建和更新映像和启动模板，注销现有映像，添加标签，以及在您通过 **Ec2ImageBuilderCrossAccountDistributionAccess** 策略授予权限的账户之间复制映像。如前所述，所有这些操作都需要使用 Image Builder 标记。
+ **Amazon ECR** – 向 Image Builder 授予访问权限，在需要进行容器映像漏洞扫描时创建存储库，并为其创建的资源添加标签，以限制其操作范围。Image Builder 还被授予访问权限，以在获取漏洞快照后删除其为扫描创建的容器映像。
+ **EventBridge**— 授予 Image Builder 创建和管理 EventBridge 规则的权限。
+ **IAM** – 向 Image Builder 授予访问权限，以将您账户中的任意角色传递给 Amazon EC2 和 VM Import/Export。
+ **Amazon Inspector** – 向 Image Builder 授予访问权限，以确定 Amazon Inspector 何时完成构建实例扫描，并收集配置为允许扫描的映像的结果。
+ **Amazon KMS**：向 Amazon EBS 授予访问权限，以加密、解密或重新加密 Amazon EBS 卷。这一点非常重要，可以确保当 Image Builder 构建映像时，加密卷能够正常工作。
+ **License Manager** – 向 Image Builder 授予访问权限，以通过 `license-manager:UpdateLicenseSpecificationsForResource` 更新 License Manager 规格。
+ **Amazon SNS** – 向账户中的任何 Amazon SNS 主题都授予写入权限。
+ **Systems Manager** – 向 Image Builder 授予访问权限，以列出 Systems Manager 命令及其调用、清单条目、描述实例信息和自动执行状态、描述提供实例放置支持的主机，并获取命令调用详细信息。Image Builder 还可以发送自动化信号，并停止对账户中任意资源的自动化执行。

  Image Builder 能够向标记为 `"CreatedBy": "EC2 Image Builder"` 的任何实例发出运行命令调用，用于以下脚本文件：`AWS-RunPowerShellScript`、`AWS-RunShellScript` 和 `AWSEC2-RunSysprep`。Image Builder 能够在账户中启动 Systems Manager 自动化执行，用于名称以 `ImageBuilder` 开头的自动化文档。

  Image Builder 还可以在账户中为任何实例创建或删除状态管理器关联（只要关联文档为 `AWS-GatherSoftwareInventory`），并且可以在账户中创建 Systems Manager 服务相关角色。

  Image Builder 能够读取公共参数存储参数，并读取和更新前缀为的私有参数，`/imagebuilder/`这样它就可以使用 Image Builder 从新版本中创建的输出 AMI IDs 来更新参数值。
+ **Amazon STS**：向 Image Builder 授予访问权限，以将账户中名为 **EC2ImageBuilderDistributionCrossAccountRole** 的角色带入任何账户，前提是该角色的信任策略允许代入。这可用于跨账户映像分配。

要查看此策略的权限，请参阅《Amazon 托管式策略参考》中的 [https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html)**。

## Ec2ImageBuilderCrossAccountDistributionAccess 策略
<a name="sec-iam-manpol-Ec2ImageBuilderCrossAccountDistributionAccess"></a>

该 **Ec2ImageBuilderCrossAccountDistributionAccess** 策略向 Image Builder 授予权限，以在目标区域跨账户分配映像。此外，Image Builder 能够描述、复制和应用标签到账户中的任何 Amazon EC2 映像。该策略还允许通过 `ec2:ModifyImageAttribute` API 操作修改 AMI 权限。

### 权限详细信息
<a name="sec-iam-manpol-Ec2ImageBuilderCrossAccountDistributionAccess-details"></a>

该策略包含以下权限：
+ **Amazon EC2** – 向 Amazon EC2 授予访问权限，以描述、复制和修改映像的属性，以及为账户中的任何 Amazon EC2 映像创建标签。

要查看此策略的权限，请参阅《Amazon 托管式策略参考》中的 [https://docs.amazonaws.cn/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html)**。

## EC2ImageBuilderLifecycleExecutionPolicy 策略
<a name="sec-iam-manpol-EC2ImageBuilderLifecycleExecutionPolicy"></a>

该**EC2ImageBuilderLifecycleExecutionPolicy**政策授予 Image Builder 执行诸如弃用、禁用或删除 Image Builder 图像资源及其底层资源（快照）等操作的权限AMIs，以支持映像生命周期管理任务的自动规则。

### 权限详细信息
<a name="sec-iam-manpol-EC2ImageBuilderLifecycleExecutionPolicy-details"></a>

该策略包含以下权限：
+ **Amazon EC2** — Amazon EC2 被授予访问权限，允许其对账户中标记为的亚马逊系统映像 (AMIs) 执行以下操作`CreatedBy: EC2 Image Builder`。
  + 启用和禁用 AMI。
  + 启用和禁用映像弃用。
  + 描述和注销 AMI。
  + 描述和修改 AMI 映像属性。
  + 删除与 AMI 关联的卷快照。
  + 检索资源的标签。
  + 在 AMI 中添加或删除弃用标签。
+ **Amazon ECR** – 向 Amazon ECR 授予访问权限，以对具有 `LifecycleExecutionAccess: EC2 Image Builder` 标签的 ECR 存储库上执行以下批处理操作。批处理操作支持自动化容器映像生命周期规则。
  + `ecr:BatchGetImage`
  + `ecr:BatchDeleteImage`

  在存储库级别向标记为 `LifecycleExecutionAccess: EC2 Image Builder` 的 ECR 存储库授予访问权限。
+ **Amazon 资源组** — 授予 Image Builder 基于标签获取资源的权限。
+ **EC2 Image Builder** – 向 Image Builder 授予权限，以删除 Image Builder 映像资源。

要查看此策略的权限，请参阅《Amazon 托管式策略参考》中的 [https://docs.amazonaws.cn/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html)**。

## EC2InstanceProfileForImageBuilder 策略
<a name="sec-iam-manpol-EC2InstanceProfileForImageBuilder"></a>

**EC2InstanceProfileForImageBuilder** 策略授予 EC2 实例与 Image Builder 协同工作所需的最低权限。但这不包括使用 Systems Manager 代理所需的权限。

### 权限详细信息
<a name="sec-iam-manpol-EC2InstanceProfileForImageBuilder-details"></a>

该策略包含以下权限：
+ **CloudWatch 日志**-授予创建 CloudWatch 日志并将其上传到名称以开头的任何日志组的访问权限`/aws/imagebuilder/`。
+ **Amazon EC2** — 有权描述卷和快照、创建 Image Builder 创建的卷或快照资源的快照以及为 Image Builder 资源创建标签。
+ **Image Builder** — 授予获取任何图像生成器或 Amazon Web Services Marketplace 组件的访问权限。
+ **Amazon KMS**— 如果Image Builder组件是通过加密的，则有权解密该组件。 Amazon KMS
+ **Amazon S3** — 授予访问权限，以获取存储在名称以 `ec2imagebuilder-` ISO 开头的 Amazon S3 存储桶中的对象或文件扩展名为 ISO 的资源。

要查看此策略的权限，请参阅《Amazon 托管式策略参考》中的 [https://docs.amazonaws.cn/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html)**。

## EC2InstanceProfileForImageBuilderECRContainerBuilds 策略
<a name="sec-iam-manpol-EC2InstanceProfileForImageBuilderECRContainerBuilds"></a>

当 EC2 实例使用 Image Builder 构建 Docker 映像，然后在 Amazon ECR 容器存储库中注册和存储映像时，**EC2InstanceProfileForImageBuilderECRContainerBuilds** 策略会授予其所需的最低权限。但这不包括使用 Systems Manager 代理所需的权限。

### 权限详细信息
<a name="sec-iam-manpol-EC2InstanceProfileForImageBuilderECRContainerBuilds-details"></a>

该策略包含以下权限：
+ **CloudWatch 日志**-授予创建 CloudWatch 日志并将其上传到名称以开头的任何日志组的访问权限`/aws/imagebuilder/`。
+ **Amazon ECR** – 向 Amazon ECR 授予访问权限，以获取、注册和存储容器映像，以及获取授权令牌。
+ **Image Builder** – 授予访问权限，以获取 Image Builder 组件或容器配方。
+ **Amazon KMS**— 如果Image Builder组件或容器配方是通过加密的，则授予解密该组件或容器配方的权限。 Amazon KMS
+ **Amazon S3** – 授予权限，以获取存储在名称以 `ec2imagebuilder-` 开头的 Amazon S3 存储桶中的对象。

要查看此策略的权限，请参阅《Amazon 托管式策略参考》中的 [https://docs.amazonaws.cn/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html)**。

## Image Builder 更新 Amazon 了托管策略
<a name="security-iam-awsmanpol-updates"></a>

本节提供有关自Image Builder Amazon 托管策略开始跟踪这些更改以来对该服务所做的更新的信息。有关此页面更改的自动警报，请订阅 Image Builder [文档历史记录](doc-history.md)页面上的 RSS 源。




| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder)：对现有策略的更新  |  Image Builder 对服务角色进行了以下更改： [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2026 年 2 月 26 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder)：对现有策略的更新  |  Image Builder 对服务角色进行了以下更改，以支持在配方和图像分发期间使用 Amazon Systems Manager (SSM) 参数存储参数。 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2025 年 7 月 23 日 | 
|  [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder)：对现有策略的更新  |  Image Builder 对实例配置文件策略进行了以下更改，以支持 ISO 文件下载更多文件扩展名。 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2025 年 5 月 19 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder)：对现有策略的更新  |  Image Builder 对服务角色进行了以下更改，以支持将 Microsoft 客户端操作系统 ISO 文件作为基础映像导入。 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2024 年 12 月 30 日 | 
|  [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder)：对现有策略的更新  |  Image Builder 对实例配置文件策略进行了以下更改，以支持从磁盘映像文件创建映像。 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2024 年 12 月 30 日 | 
|  [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder) - 更新的策略  |  Image Builder 更新了`EC2InstanceProfileForImageBuilder`政策，允许图像生成器获取 Amazon Web Services Marketplace 组件。  | 2024 年 12 月 2 日 | 
|  [EC2ImageBuilderLifecycleExecutionPolicy](#sec-iam-manpol-EC2ImageBuilderLifecycleExecutionPolicy)：新策略  |  Image Builder 添加了包含映像生命周期管理权限的新 `EC2ImageBuilderLifecycleExecutionPolicy` 策略。  | 2023 年 11 月 17 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder)：对现有策略的更新  |  Image Builder 对服务角色进行了以下更改以提供实例放置支持。 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2023 年 10 月 19 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder)：对现有策略的更新  |  Image Builder 对服务角色进行了以下更改以提供实例放置支持。 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2023 年 9 月 28 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder)：对现有策略的更新  |  Image Builder 对服务角色进行了以下更改，以允许 Image Builder 工作流程收集 AMI 和 ECR 容器映像版本的漏洞结果。新权限支持 CVE 检测和报告功能。 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2023 年 3 月 30 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder)：对现有策略的更新  |  Image Builder 对服务角色进行了以下更改： [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2022 年 3 月 22 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder)：对现有策略的更新  |  Image Builder 对服务角色进行了以下更改： [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2022 年 2 月 21 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder)：对现有策略的更新  |  Image Builder 对服务角色进行了以下更改： [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2021 年 11 月 20 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder)：对现有策略的更新  |  Image Builder 已添加新权限，以修复多个清单关联导致映像构建卡住的问题。  | 2021 年 8 月 11 日 | 
|  [AWSImageBuilderFullAccess](#sec-iam-manpol-AWSImageBuilderFullAccess)：对现有策略的更新  |  Image Builder 对完全访问权限角色进行了以下更改： [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2021 年 4 月 13 日 | 
|  Image Builder 已开始跟踪更改  |  Image Builder 开始跟踪其 Amazon 托管策略的更改。  | 2021 年 4 月 02 日 |