EC2 Image Builder 的Identity and Access Management - EC2 Image Builder
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

EC2 Image Builder 的Identity and Access Management

Audience

如何使用Amazon Identity and Access Management(IAM) 因您可以在 EC2 Image Builder 中执行的操作而异。

服务用户— 如果您使用 EC2 Image Builder 服务来完成工作,则您的管理员会为您提供所需的凭证和权限。随着您使用更多 EC2 Image Builder 功能来完成工作,您可能需要额外权限。了解如何管理访问权限可帮助您向管理员请求适合的权限。如果您无法访问 EC2 Image Builder 中的功能,请参阅EC2 Image Builder 身份和访问问题.

服务管理员— 如果您在公司负责管理 EC2 Image Builder 资源,您可能对 EC2 Image Builder 具有完全访问权限。您有责任确定您的服务用户应访问哪些 EC2 Image Builder 功能和资源。然后,您必须向 IAM 管理员提交请求以更改服务用户的权限。请查看该页面上的信息以了解 IAM 的基本概念。要了解有关您的公司如何将 IAM 与 EC2 Image Builder 搭配使用的更多信息,请参阅EC2 Image Builder 如何使用 IM.

IAM 管理员— 如果您是 IAM 管理员,您可能希望了解有关您可以如何编写策略以管理对 EC2 Image Builder 的访问的详细信息。要查看您可在 IAM 中使用的 EC2 映像生成器基于身份的策略示例 EC2 Image Builder 示例Image Builder 基于身份的策略.

使用身份进行身份验证

有关如何为人员和过程提供身份验证的详细信息,以了解有关如何为您的人员和过程提供身份验证的详细信息Amazon Web Services 账户,请参阅身份中的IAM 用户指南.

EC2 Image Builder 基于资源

有关如何创建组件的信息,请参阅使用管理组件EC2 TOE.

限制Image Builder 组件访问映像生成器组件访问的 IP 地址

以下示例向任何用户授予对组件执行任何Image Builder 操作的权限。但是,请求必须来自条件中指定的 IP 地址范围。

此语句中的条件确定允许的 Internet 协议版本 4 (IPv4) IP 地址范围为 54.240.143.*,只有一个例外:54.240.143.188。

Condition 块使用 IpAddressNotIpAddress 条件以及 aws:SourceIp 条件键 (这是 Amazon 范围的条件键)。有关这些条件键的更多信息,请参阅在策略中指定条件aws:sourceIp IPv4 值使用标准 CIDR 表示法。有关更多信息,请参阅 IAM 用户指南中的 IP 地址条件运算符

{ "Version": "2012-10-17", "Id": "IBPolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Allow", "Principal": "*", "Action": "imagebuilder.GetComponent:*", "Resource": "arn:aws:imagebuilder:::examplecomponent/*", "Condition": { "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}, "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} } } ] }