EC2 映像生成器 如何与 IAM 一起使用 - EC2 映像生成器
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

EC2 映像生成器 如何与 IAM 一起使用

在使用 IAM 管理对 镜像生成器 的访问之前,您应了解哪些 IAM 功能可以与 镜像生成器 一起使用。要大致了解 镜像生成器 和其他 AWS 服务如何与 IAM 一起使用,请参阅 IAM 用户指南 中的与 IAM 一起使用的 AWS 服务

镜像生成器 基于身份的策略

通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源,以及在哪些条件下允许或拒绝操作。镜像生成器 支持特定的操作、资源和条件键。要了解您在 JSON 策略中使用的所有元素,请参阅 IAM 用户指南 中的 Amazon EC2 Image Builder 的操作、资源和条件键

操作

镜像生成器 中的策略操作在操作前面使用以下前缀:imagebuilder:。策略语句必须包含 ActionNotAction 元素。镜像生成器 定义了一组自己的操作,以描述可使用该服务执行的任务。

要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:

"Action": [ "imagebuilder:action1", "imagebuilder:action2"

您也可以使用通配符 (*) 指定多个操作。例如,要指定以单词 List 开头的所有操作,包括以下操作:

"Action": "imagebuilder:List*"

要查看 镜像生成器 操作列表,请参阅 IAM 用户指南 中的 AWS 服务的操作、资源和条件键

资源

Resource 元素指定要向其应用操作的对象。语句必须包含 ResourceNotResource 元素。您可使用 ARN 来指定资源,或使用通配符 (*) 以指明该语句适用于所有资源。

镜像生成器 实例资源具有以下 ARN。

arn:aws:imagebuilder:region:account-id:resource:resource-id

有关 ARN 格式的更多信息,请参阅 Amazon 资源名称 (ARN) 和 AWS 服务命名空间

例如,要在语句中指定 i-1234567890abcdef0 实例,请使用以下 ARN。

"Resource": "arn:aws:imagebuilder:us-east-1:123456789012:instance/i-1234567890abcdef0"

要指定属于特定账户的所有实例,请使用通配符 (*)。

"Resource": "arn:aws:imagebuilder:us-east-1:123456789012:instance/*"

无法对特定资源执行某些 镜像生成器 操作,例如,用于创建资源的操作。在这些情况下,您必须使用通配符 (*)。

"Resource": "*"

很多 EC2 映像生成器 API 操作涉及多种资源。要在单个语句中指定多个资源,请使用逗号分隔 ARN。

"Resource": [ "resource1", "resource2"

条件键

镜像生成器 提供特定于服务的条件键,并支持使用某些全局条件键。要查看所有 AWS 全局条件键,请参阅 IAM 用户指南 中的 AWS 全局条件上下文键。提供以下特定于服务的条件键。

imagebuilder:CreatedResourceTagKeys

字符串运算符结合使用。

使用此键可根据请求中是否存在标签键来筛选访问。这允许您通过定义的标签来管理 Image Builder 创建的资源。

可用性 - 此键仅可用于 CreateInfrastrucutreConfigurationUpdateInfrastructureConfiguration API。

imagebuilder:CreatedResourceTag/<key>

字符串运算符结合使用。

使用此键可根据附加到 Image Builder 所创建的资源的标签键值对来筛选访问。这允许您通过定义的标签来管理 Image Builder 创建的资源。

可用性 - 此键仅可用于 CreateInfrastrucutreConfigurationUpdateInfrastructureConfiguration API。

示例

要查看 镜像生成器 基于身份的策略示例,请参阅 EC2 映像生成器 基于身份的策略示例

镜像生成器 基于资源的策略

基于资源的策略是 JSON 策略文档,它指定了指定的委托人可以对 镜像生成器 资源执行的操作以及在哪些条件下执行操作。对于组件、映像和映像配方,镜像生成器 支持基于资源的权限策略。基于资源的策略允许您基于资源向其他账户授予使用权限。您也可以使用基于资源的策略,以允许 AWS 服务访问组件、映像和映像配方。

要启用跨账户访问,您可以将整个账户或其他账户中的 IAM 实体指定为基于资源的策略中的委托人 。将跨账户委托人添加到基于资源的策略只是建立信任关系工作的一半而已。当委托人和资源位于不同的 AWS 账户中时,还必须授予委托人实体对资源的访问权限。通过将基于身份的策略附加到实体以授予权限。但是,如果基于资源的策略向同一个账户中的委托人授予访问权限,则不需要额外的基于身份的策略。有关更多信息,请参阅 IAM 用户指南 中的 IAM 角色与基于资源的策略有何不同

基于 镜像生成器 标签的授权

您可以将标签附加到 镜像生成器 资源,或者将请求中的标签传递给 镜像生成器。要基于标签控制访问,您需要使用 imagebuilder:ResourceTag/key-nameaws:RequestTag/key-nameaws:TagKeys 条件键在策略的条件元素中提供标签信息。有关标记 镜像生成器 资源的更多信息,请参阅标记资源

镜像生成器 IAM 角色

IAM 角色是 AWS 账户中具有特定权限的实体。

将临时凭证用于 镜像生成器

您可以使用临时凭证进行联合身份登录,担任 IAM 角色或担任跨账户角色。您可以通过调用 AWS STS API 操作(如 AssumeRoleGetFederationToken)获得临时安全凭证。

服务相关角色

服务相关角色允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务相关角色显示在您的 IAM 账户中,并由该服务拥有。IAM 管理员可以查看但不能编辑服务相关角色的权限。

镜像生成器 支持服务相关角色。有关创建或管理 镜像生成器 服务相关角色的详细信息,请参阅将服务相关角色用于 EC2 映像生成器

服务角色

此功能允许服务代表您担任服务角色。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在您的 IAM 账户中,并由该账户拥有。这意味着 IAM 管理员可以更改此角色的权限。但是,这样做可能会中断服务的功能。