EC2 Image Builder 的Identity and Access Management - EC2 Image Builder
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

EC2 Image Builder 的Identity and Access Management

受众

使用Amazon Identity and Access Management(Image Builder)的方式因您可以在 Image Builder 中执行的操作而异。

服务用户-如果您使用 Image Builder 服务来完成工作,则管理员会为您提供所需的凭证和权限。当您使用更多 Image Builder 功能来完成工作时,您可能需要更多权限。了解如何管理访问权限可帮助您向管理员请求适合的权限。如果您无法访问Image Builder 中的功能,请参阅EC2 Image Builder 身份和访问权限

服务管理员-如果您在公司负责管理 Image Builder 资源,您可能对 Image Builder 具有完全访问权限。您有责任确定您的服务用户应访问哪些 Image Builder 功能和资源。然后,您必须向 IAM 管理员提交请求以更改服务用户的权限。请查看该页面上的信息以了解 IAM 的基本概念。要了解有关您的公司如何将 IAM 与 Image Builder 搭配使用的更多信息,请参阅EC2 Image Builder 与 IAM

IAM 管理员 — 如果您是 IAM 管理员,您可能希望了解您如何编写策略以管理 ImagImage Builder 的访问权限的详细信息。要查看您可在 IAM 中使用的 Image Builder 基于身份的示例,请参阅Image Builder 基于身份的策略

使用身份进行身份验证

有关如何为您中的人员和流程提供身份验证的详细信息Amazon Web Services 账户,请参阅 IAM 用户指南中的身份

EC2 Image Builder 资源的

有关如何创建组件的信息,请参阅使用以下命令管理组件EC2 TOE

限制Image Builder 组件对特定 IP 地址的访问权限

以下示例向任何用户授予对组件执行任何 Image Builder 操作的权限。但是,请求必须来自条件中指定的 IP 地址范围。

此语句中的条件确定允许的 Internet 协议版本 4 (IPv4) IP 地址范围为 54.240.143.*,只有一个例外:54.240.143.188。

Condition 块使用 IpAddressNotIpAddress 条件以及 aws:SourceIp 条件键 (这是 Amazon 范围的条件键)。有关这些条件键的更多信息,请参阅在策略中指定条件aws:sourceIp IPv4 值使用标准 CIDR 表示法。有关更多信息,请参阅 IAM 用户指南中的 IP 地址条件运算符

{ "Version": "2012-10-17", "Id": "IBPolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Allow", "Principal": "*", "Action": "imagebuilder.GetComponent:*", "Resource": "arn:aws:imagebuilder:::examplecomponent/*", "Condition": { "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}, "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} } } ] }