Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gérer la configuration de l'infrastructure Image Builder
Vous pouvez utiliser les configurations d'infrastructure pour spécifier l'infrastructure Amazon EC2 qu'Image Builder utilise pour créer et tester votre image EC2 Image Builder. Les paramètres de l'infrastructure incluent :
+ Types d'instances pour votre infrastructure de création et de test. Nous vous recommandons de spécifier plusieurs types d'instance, car cela permet à Image Builder de lancer une instance à partir d'un pool doté d'une capacité suffisante. Cela peut réduire vos échecs de compilation transitoires.
Pour les images Mac, vous pouvez choisir des types d'instances compatibles nativement avec le système d'exploitation macOS. Pour plus d'informations, consultez les [instances Mac Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html) dans le guide de l'utilisateur *Amazon EC2*.
+ Paramètres de placement d'instance dans lesquels vous pouvez spécifier l'hôte, le groupe de placement d'hôtes ou la zone de disponibilité où doivent être placées les instances lancées depuis votre image.
+ Un profil d'instance qui fournit à vos instances de création et de test les autorisations nécessaires pour effectuer des activités de personnalisation. Par exemple, si vous avez un composant qui récupère des ressources depuis Amazon S3, le profil d'instance nécessite des autorisations pour accéder à ces fichiers. Le profil d'instance nécessite également un ensemble minimal d'autorisations pour qu'EC2 Image Builder puisse communiquer correctement avec l'instance. Pour de plus amples informations, veuillez consulter [Préparez-vous à créer des images personnalisées avec Image Builder](set-up-ib-env.md).
+ Le VPC, le sous-réseau et les groupes de sécurité pour les instances de création et de test de votre pipeline.
+ L'emplacement Amazon S3 où Image Builder stocke les journaux d'applications de votre compilation et de vos tests. Si vous configurez la journalisation, le profil d'instance spécifié dans la configuration de votre infrastructure doit disposer d'`s3:PutObject`autorisations pour le compartiment cible (`arn:aws:s3:::BucketName/*`).
+ Une paire de clés Amazon EC2 qui vous permet de vous connecter à votre instance pour résoudre les problèmes si votre build échoue et que vous le configurez. `terminateInstanceOnFailure` `false`
+ Rubrique SNS dans laquelle Image Builder envoie des notifications d'événements. Pour plus d'informations sur la façon dont Image Builder s'intègre à Amazon SNS, consultez. [Intégration d'Amazon SNS dans Image Builder](integ-sns.md)
**Note**
Si votre rubrique SNS est chiffrée, la clé qui chiffre cette rubrique doit résider dans le compte sur lequel le service Image Builder est exécuté. Image Builder ne peut pas envoyer de notifications aux rubriques SNS chiffrées à l'aide de clés provenant d'autres comptes.
Vous pouvez créer et gérer des configurations d'infrastructure à l'aide de la console Image Builder, via l'API Image Builder ou à l'aide de **imagebuilder** commandes dans le AWS CLI.
**Topics**
+ [Répertorier et afficher les détails de configuration de l'infrastructure](infra-config-details.md)
+ [Créer une configuration d'infrastructure](create-infra-config.md)
+ [Mettre à jour une configuration d'infrastructure](update-infra-config.md)
+ [Image Builder et points de AWS PrivateLink terminaison VPC d'interface](vpc-interface-endpoints.md)
**Astuce**
Lorsque vous disposez de plusieurs ressources du même type, le balisage vous aide à identifier une ressource spécifique en fonction des balises que vous lui avez attribuées. Pour plus d'informations sur le balisage de vos ressources à l'aide des commandes Image Builder dans le AWS CLI, consultez la [Balisage des ressources](tag-resources.md) section de ce guide.
# Répertorier et afficher les détails de configuration de l'infrastructure
Cette section décrit les différentes manières de trouver des informations et d'afficher les détails de vos configurations d'infrastructure EC2 Image Builder.
**Topics**
+ [Répertoriez les configurations d'infrastructure à partir du AWS CLI](#cli-list-infrastructure-configurations)
+ [Obtenez des informations détaillées sur la configuration de l'infrastructure auprès du AWS CLI](#cli-get-infrastructure-configuration-details)
## Répertoriez les configurations d'infrastructure à partir du AWS CLI
L'exemple suivant montre comment répertorier toutes les configurations de votre infrastructure à l'aide de la **[list-infrastructure-configurations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/list-infrastructure-configurations.html)** commande du AWS CLI.
```
aws imagebuilder list-infrastructure-configurations
```
## Obtenez des informations détaillées sur la configuration de l'infrastructure auprès du AWS CLI
L'exemple suivant montre comment utiliser la **[get-infrastructure-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/get-infrastructure-configuration.html)** commande du AWS CLI pour obtenir les détails d'une configuration d'infrastructure en spécifiant son Amazon Resource Name (ARN).
```
aws imagebuilder get-infrastructure-configuration --infrastructure-configuration-arn arn:aws:imagebuilder:us-west-2:123456789012:infrastructure-configuration/my-example-infrastructure-configuration
```
# Créer une configuration d'infrastructure
Cette section décrit comment utiliser la console Image Builder ou **imagebuilder** les commandes du AWS CLI pour créer une configuration d'infrastructure,
------
#### [ Console ]
Pour créer une ressource de configuration d'infrastructure à partir de la console Image Builder, procédez comme suit :
1. Ouvrez la console [https://console.aws.amazon.com/imagebuilder/](https://console.aws.amazon.com/imagebuilder/)EC2 Image Builder à l'adresse.
1. Dans le volet de navigation, choisissez **Configuration de l'infrastructure**.
1. Choisissez **Créer une configuration d'infrastructure**.
1. Dans la section **Général**, entrez les informations obligatoires suivantes :
+ Entrez le **nom** de votre ressource de configuration d'infrastructure.
+ Sélectionnez un **rôle IAM** que vous souhaitez associer au profil d'instance pour obtenir des autorisations de composant sur vos instances de génération et de test. Image Builder utilise ces autorisations pour télécharger et exécuter vos composants CloudWatch, télécharger des journaux et effectuer toute action supplémentaire spécifiée par les composants de votre recette.
1. Dans le panneau **AWS d'infrastructure**, vous pouvez configurer les paramètres d'infrastructure restants disponibles. Saisissez les informations requises suivantes :
+ **Type d'instance** : vous pouvez spécifier un ou plusieurs types d'instance à utiliser pour cette version. Le service choisira l'un de ces types d'instances en fonction de sa disponibilité.
**Note**
Les instances Mac s'exécutent sur des types d'`.metal`instances sur un hôte dédié. Le type de votre instance doit correspondre à l'un des types définis pour l'hôte sur lequel elle s'exécute. Pour plus d'informations sur les instances Mac et une liste des types d'instances compatibles nativement avec le système d'exploitation macOS, consultez la section Instances [Mac Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html) dans le guide de l'utilisateur *Amazon EC2*.
+ **Rubrique SNS (facultatif)** : sélectionnez une rubrique SNS pour recevoir des notifications et des alertes d'EC2 Image Builder.
Si vous ne fournissez pas de valeurs pour les paramètres suivants, ils utilisent des valeurs par défaut spécifiques au service, le cas échéant.
+ **VPC, sous-réseau et groupes de sécurité** : Image Builder utilise votre VPC et votre sous-réseau par défaut. Pour plus d'informations sur la configuration des points de terminaison de l'interface VPC, consultez. [Image Builder et points de AWS PrivateLink terminaison VPC d'interface](vpc-interface-endpoints.md)
+ Dans la section **Paramètres de résolution** des problèmes, vous pouvez configurer les valeurs suivantes :
+ Par défaut, la case à cocher **Terminer l'instance en cas d'échec** est cochée. Toutefois, lorsqu'une compilation échoue, vous pouvez vous connecter à l'instance EC2 pour résoudre les problèmes. Si vous souhaitez que votre instance continue de s'exécuter après un échec de compilation, décochez la case.
+ **Paire de clés** : si votre instance EC2 continue de fonctionner après un échec de compilation, vous pouvez créer une paire de clés ou utiliser une paire de clés existante pour vous connecter à l'instance et résoudre les problèmes.
+ **Journaux** : vous pouvez spécifier un compartiment S3 dans lequel Image Builder peut écrire des journaux d'application pour vous aider à résoudre les problèmes liés à votre build et à vos tests. Si vous ne spécifiez pas de compartiment S3, Image Builder écrit les journaux de l'application sur l'instance.
+ Dans la section **Paramètres des métadonnées de l'instance**, vous pouvez configurer les valeurs suivantes à appliquer aux instances EC2 utilisées par Image Builder pour créer et tester votre image :
+ Sélectionnez la **version des métadonnées** pour déterminer si EC2 nécessite un en-tête de jeton signé pour les demandes de récupération de métadonnées d'instance.
+ **V1 et V2 (jeton facultatif)** : valeur par défaut si vous ne sélectionnez rien.
+ **V2 (jeton requis)**
**Note**
Nous vous recommandons de configurer toutes les instances EC2 qu'Image Builder lance à partir d'une version de pipeline IMDSv2 afin que les demandes de récupération des métadonnées des instances nécessitent un en-tête de jeton signé.
+ **Limite de sauts de réponse du jeton de métadonnées** : nombre de sauts réseau que le jeton de métadonnées peut effectuer. Nombre minimum de sauts : 1, nombre maximum de sauts : 64, avec un saut par défaut.
+ Dans la section **Paramètres de placement des instances**, vous pouvez configurer les valeurs suivantes à appliquer aux instances EC2 utilisées par Image Builder pour créer et tester votre image :
+ Vous pouvez sélectionner la **zone de disponibilité** dans laquelle Image Builder lance les instances lors de la création de l'image.
+ Sélectionnez éventuellement **Tenancy** pour les serveurs qui exécutent les instances que vous lancez. Par défaut, les instances EC2 s’exécutent sur un matériel de location partagé. Cela signifie que plusieurs Comptes AWS peuvent partager le même matériel physique. Une instance avec `dedicated` location s'exécute sur du matériel à locataire unique. Une instance `host` louée s'exécute sur un hôte dédié.
Les instances Mac nécessitent la création d'un hôte dédié comme condition préalable à la création d'une image personnalisée. Sélectionnez `host` pour votre image macOS. Vous pouvez ensuite sélectionner un hôte cible ou un groupe de ressources d'hôtes pour lancer les instances, mais cela n'est pas obligatoire si le placement automatique est activé sur votre hôte dédié. Pour plus d'informations, consultez la section [Placement automatique](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-hosts-understanding.html#dedicated-hosts-auto-placement) dans le guide de l'*utilisateur Amazon EC2.*
+ **ID d'hôte locataire : ID** de l'hôte dédié sur lequel les instances s'exécutent.
+ **Groupe de ressources hôte locataire** : nom de ressource Amazon (ARN) du groupe de ressources hôte dans lequel les instances doivent être lancées.
1. Dans la section **Balises d'infrastructure** (facultatif), vous pouvez attribuer des balises de métadonnées à l'instance Amazon EC2 lancée par Image Builder pendant le processus de création. Les balises sont saisies sous forme de paires clé-valeur.
1. Dans la section **Tags** (facultatif), vous pouvez attribuer des balises de métadonnées à la ressource de configuration d'infrastructure créée par Image Builder en sortie. Les balises sont saisies sous forme de paires clé-valeur.
------
#### [ AWS CLI ]
La procédure suivante montre comment configurer l'infrastructure de votre image à l'aide de la **[create-infrastructure-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/create-infrastructure-configuration.html)** commande Image Builder dans le AWS CLI. La commande de l'étape 2 prend en compte le fichier que vous avez créé à l'étape 1. Pour ces exemples, le fichier de l'étape 1 est appelé`create-infrastructure-configuration.json`.
1.
**Créer un fichier JSON d'entrée CLI**
Les exemples suivants montrent des variantes du fichier JSON que vous pouvez créer pour la configuration de l'infrastructure. Utilisez un outil d'édition de fichiers pour créer votre propre fichier JSON.
**Exemple 1 : Configuration pour conserver une instance issue d'un échec de compilation**
Cet exemple spécifie deux types d'instances, `m5.large` et`m5.xlarge`. Nous vous recommandons de spécifier plusieurs types d'instance, car cela permet à Image Builder de lancer une instance à partir d'un pool doté d'une capacité suffisante. Cela peut réduire vos échecs de compilation transitoires.
`instanceProfileName`Spécifie le profil d'instance qui fournit à l'instance les autorisations dont le profil a besoin pour effectuer des activités de personnalisation. Par exemple, si vous avez un composant qui récupère des ressources depuis Amazon S3, le profil d'instance nécessite des autorisations pour accéder à ces fichiers. Le profil d'instance nécessite également un ensemble minimal d'autorisations pour qu'EC2 Image Builder puisse communiquer correctement avec l'instance. Pour de plus amples informations, veuillez consulter [Préparez-vous à créer des images personnalisées avec Image Builder](set-up-ib-env.md).
```
{
"name": "ExampleInfraConfigDontTerminate",
"description": "An example that will retain instances of failed builds",
"instanceTypes": [
"m5.large", "m5.xlarge"
],
"instanceProfileName": "myIAMInstanceProfileName",
"securityGroupIds": [
"sg-12345678"
],
"subnetId": "sub-12345678",
"logging": {
"s3Logs": {
"s3BucketName": "my-logging-bucket",
"s3KeyPrefix": "my-path"
}
},
"keyPair": "myKeyPairName",
"terminateInstanceOnFailure": false,
"snsTopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic"
}
```
**Exemple 2 : configuration de macOS avec positionnement automatique**
Cet exemple indique les types d'instances et leur emplacement pour une instance Mac sur laquelle le placement automatique est activé sur l'hôte dédié.
```
{
"name": "macOSInfraConfigAutoPlacement",
"description": "An example infrastructure configuration for macOS.",
"instanceProfileName": "EC2InstanceProfileForImageBuilder",
"instanceTypes": ["mac1.metal, mac2.metal"],
"terminateInstanceOnFailure": false,
"placement": {
"tenancy": "host"
}
}
```
**Exemple 3 : configuration de macOS avec ID d'hôte spécifié**
Cet exemple indique le type et l'emplacement d'une instance Mac qui cible un hôte dédié spécifique.
```
{
"name": "macOSInfraConfigHostPlacement",
"description": "An example infrastructure configuration for macOS.",
"instanceProfileName": "EC2InstanceProfileForImageBuilder",
"instanceTypes": ["mac2-m1ultra.metal"],
"terminateInstanceOnFailure": false,
"placement": {
"tenancy": "host",
"hostId" : "h-1234567890abcdef0"
}
}
```
1.
**Utilisez le fichier que vous avez créé comme entrée lorsque vous exécutez la commande suivante.**
```
aws imagebuilder create-infrastructure-configuration --cli-input-json file://create-infrastructure-configuration.json
```
------
# Mettre à jour une configuration d'infrastructure
Cette section explique comment utiliser la console Image Builder ou **imagebuilder** les commandes du AWS CLI pour mettre à jour une ressource de configuration d'infrastructure. Pour suivre vos ressources, vous pouvez appliquer des balises comme suit. Les balises sont saisies sous forme de paires clé-valeur.
+ Les *balises de ressources* attribuent des balises de métadonnées à l'instance Amazon EC2 qu'Image Builder lance pendant le processus de création.
+ Les *balises* attribuent des balises de métadonnées à la ressource de configuration de l'infrastructure créée par Image Builder en sortie.
------
#### [ Console ]
Vous pouvez modifier les détails de configuration de l'infrastructure suivants depuis la console Image Builder :
+ **Description** de la configuration de votre infrastructure.
+ Le **rôle IAM** à associer au profil d'instance.
+ **AWS infrastructure**, y compris le **type d'instance** et une **rubrique SNS** pour les notifications.
+ **VPC, sous-réseau et groupes de sécurité**.
+ **Paramètres de résolution** des problèmes, **notamment l'arrêt de l'instance en cas de défaillance**, la **paire de clés** pour la connexion et un emplacement du compartiment S3 facultatif pour les journaux d'instance.
Pour mettre à jour une ressource de configuration d'infrastructure depuis la console Image Builder, procédez comme suit :
**Choisissez une configuration d'infrastructure Image Builder existante**
1. Ouvrez la console [https://console.aws.amazon.com/imagebuilder/](https://console.aws.amazon.com/imagebuilder/)EC2 Image Builder à l'adresse.
1. Pour voir la liste des ressources de configuration de l'infrastructure sous votre compte, choisissez **Configuration de l'infrastructure** dans le volet de navigation.
1. Pour afficher les détails ou modifier une configuration d'infrastructure, cliquez sur le lien **Nom de la configuration**. Cela ouvre la vue détaillée de la configuration de l'infrastructure.
**Note**
Vous pouvez également cocher la case à côté du **nom de la configuration**, puis choisir **Afficher les détails**.
1. Dans le coin supérieur droit du panneau des **détails de l'infrastructure**, choisissez **Modifier**.
1. Lorsque vous êtes prêt à enregistrer les mises à jour que vous avez apportées à la configuration de votre infrastructure, choisissez **Enregistrer les modifications**.
------
#### [ AWS CLI ]
L'exemple suivant montre comment mettre à jour la configuration de l'infrastructure de votre image à l'aide de la **[update-infrastructure-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/update-infrastructure-configuration.html)** commande Image Builder dans le AWS CLI.
1.
**Créer un fichier JSON d'entrée CLI**
Cet exemple de configuration d'infrastructure utilise les mêmes paramètres que l'exemple de création, sauf que nous avons mis à jour le `terminateInstanceOnFailure` paramètre sur`false`. Une fois la **update-infrastructure-configuration** commande exécutée, les pipelines qui utilisent cette configuration d'infrastructure mettent fin à la construction et testent les instances en cas d'échec de la construction.
Utilisez un outil d'édition de fichier pour créer un fichier JSON avec les clés illustrées dans l'exemple suivant, auxquelles s'ajoutent des valeurs valides pour votre environnement. Cet exemple utilise un fichier nommé`update-infrastructure-configuration.json` :
```
{
"infrastructureConfigurationArn": "arn:aws:imagebuilder:us-west-2:123456789012:infrastructure-configuration/my-example-infrastructure-configuration",
"description": "An example that will terminate instances of failed builds",
"instanceTypes": [
"m5.large", "m5.2xlarge"
],
"instanceProfileName": "myIAMInstanceProfileName",
"securityGroupIds": [
"sg-12345678"
],
"subnetId": "sub-12345678",
"logging": {
"s3Logs": {
"s3BucketName": "my-logging-bucket",
"s3KeyPrefix": "my-path"
}
},
"terminateInstanceOnFailure": true,
"snsTopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic"
}
```
1.
**Utilisez le fichier que vous avez créé comme entrée lorsque vous exécutez la commande suivante.**
```
aws imagebuilder update-infrastructure-configuration --cli-input-json file://update-infrastructure-configuration.json
```
------
# Image Builder et points de AWS PrivateLink terminaison VPC d'interface
*Vous pouvez établir une connexion privée entre votre VPC et EC2 Image Builder en créant un point de terminaison VPC d'interface.* Les points de terminaison de l'interface sont alimentés par [AWS PrivateLink](https://aws.amazon.com/privatelink/)une technologie qui vous permet d'accéder en privé à Image Builder APIs sans passerelle Internet, appareil NAT, connexion VPN ou Direct Connect connexion. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec Image Builder. APIs Le trafic entre votre VPC et Image Builder ne quitte pas le réseau Amazon.
Chaque point de terminaison d’interface est représenté par une ou plusieurs [interfaces réseau Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) dans vos sous-réseaux. Lorsque vous créez une nouvelle image, vous pouvez spécifier l'identifiant de sous-réseau VPC dans la configuration de votre infrastructure.
**Note**
Chaque service auquel vous accédez depuis un VPC possède son propre point de terminaison d'interface, avec sa propre politique de point de terminaison. Image Builder télécharge l'application de gestion des AWSTOE composants et accède aux ressources gérées à partir de compartiments S3 pour créer des images personnalisées. Pour accorder l'accès à ces compartiments, vous devez mettre à jour la politique du point de terminaison S3 afin de l'autoriser. Pour de plus amples informations, veuillez consulter [Politiques personnalisées pour l'accès au compartiment S3](#vpc-endpoint-policy-s3).
Pour plus d'informations sur les points de terminaison d'un VPC, consultez [Points de terminaison de VPC d'interface (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) dans le *Guide de l'utilisateur Amazon VPC*.
## Considérations relatives aux points de terminaison VPC Image Builder
Avant de configurer un point de terminaison VPC d'interface pour Image Builder, assurez-vous de consulter les [propriétés et les limites du point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations) dans le guide de l'utilisateur Amazon *VPC*.
Image Builder permet d'appeler toutes ses actions d'API depuis votre VPC.
## Création d'un point de terminaison VPC d'interface pour Image Builder
Pour créer un point de terminaison VPC pour le service Image Builder, vous pouvez utiliser la console Amazon VPC ou le (). AWS Command Line Interface AWS CLI Pour plus d’informations, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint) dans le *Guide de l’utilisateur Amazon VPC*.
Créez un point de terminaison VPC pour Image Builder en utilisant le nom de service suivant :
+ com.amazonaws. *region*.générateur d'images
Si vous activez le DNS privé pour le point de terminaison, vous pouvez envoyer des demandes d'API à Image Builder en utilisant son nom DNS par défaut pour la région, par exemple :`imagebuilder.us-east-1.amazonaws.com`. Pour rechercher le point de terminaison qui s'applique à votre région cible, consultez la section [Points de terminaison et quotas d'EC2 Image Builder](https://docs.aws.amazon.com/general/latest/gr/imagebuilder.html#imagebuilder_region) dans le. *Référence générale d'Amazon Web Services*
Pour plus d’informations, consultez [Accès à un service via un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#access-service-though-endpoint) dans le *Guide de l’utilisateur Amazon VPC*.
## Création d'une politique de point de terminaison VPC pour Image Builder
Vous pouvez associer une politique de point de terminaison à votre point de terminaison VPC qui contrôle l'accès à Image Builder. La politique spécifie les informations suivantes :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Si vous utilisez des composants gérés par Amazon dans votre recette, le point de terminaison VPC pour Image Builder doit autoriser l'accès à la bibliothèque de composants appartenant au service suivante :
`arn:aws:imagebuilder:region:aws:component/*`
**Important**
Lorsqu'une politique autre que celle par défaut est appliquée à un point de terminaison VPC d'interface pour EC2 Image Builder, certaines demandes d'API ayant échoué, telles que celles provenant de, peuvent `RequestLimitExceeded` ne pas être enregistrées AWS CloudTrail sur Amazon ou sur Amazon. CloudWatch
Pour plus d’informations, consultez [Contrôle de l’accès aux services avec points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dans le *Guide de l’utilisateur Amazon VPC*.
### Politiques personnalisées pour l'accès au compartiment S3
Image Builder utilise un compartiment S3 accessible au public pour stocker et accéder aux ressources gérées, telles que les composants. Il télécharge également l'application de gestion des AWSTOE composants à partir d'un compartiment S3 distinct. Si vous utilisez un point de terminaison VPC pour Amazon S3 dans votre environnement, vous devez vous assurer que votre politique de point de terminaison VPC S3 autorise Image Builder à accéder aux compartiments S3 suivants. Les noms des compartiments sont uniques par AWS région (*region*) et par environnement d'application (*environment*). Image Builder AWSTOE prend en charge les environnements d'applications suivants : `prod``preprod`, et`beta`.
+ Le bucket AWSTOE du gestionnaire de composants :
```
s3://ec2imagebuilder-toe-region-environment
```
**Exemple :** s3://ec2 imagebuilder-toe-us-west -2-prod/\$1
+ Le bucket de ressources gérées par Image Builder :
```
s3://ec2imagebuilder-managed-resources-region-environment/components
```
**Exemple :** s3://ec2 imagebuilder-managed-resources-us -west-2-prod/components/\$1
### Exemples de politique de point de terminaison de VPC
Cette section inclut des exemples de politiques de point de terminaison VPC personnalisées.
**Politique générale des points de terminaison VPC pour les actions Image Builder**
L'exemple de politique de point de terminaison suivant pour Image Builder refuse l'autorisation de supprimer des images et des composants d'Image Builder. L'exemple de politique accorde également l'autorisation d'effectuer toutes les autres actions d'EC2 Image Builder.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "imagebuilder:*",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "imagebuilder:DeleteImage",
"Effect": "Deny",
"Resource": "*"
},
{
"Action": "imagebuilder:DeleteComponent",
"Effect": "Deny",
"Resource": "*"
}
]
}
```
------
**Restreindre l'accès par organisation, autoriser l'accès aux composants gérés**
L'exemple de politique de point de terminaison suivant montre comment restreindre l'accès aux identités et aux ressources appartenant à votre organisation et fournir un accès aux composants Image Builder gérés par Amazon. Remplacez *region**principal-org-id*, et *resource-org-id* par les valeurs de votre organisation.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "principal-org-id",
"aws:ResourceOrgID": "resource-org-id"
}
}
},
{
"Sid": "AllowAccessToEC2ImageBuilderComponents",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"imagebuilder:GetComponent"
],
"Resource": [
"arn:aws:imagebuilder:us-east-1:aws:component/*"
]
}
]
}
```
------
**Politique de point de terminaison VPC pour l'accès au compartiment Amazon S3**
L'exemple de politique de point de terminaison S3 suivant montre comment fournir un accès aux compartiments S3 utilisés par Image Builder pour créer des images personnalisées. Remplacez *region* et *environment* par les valeurs de votre organisation. Ajoutez toute autre autorisation requise à la politique en fonction des exigences de votre application.
**Note**
Pour les images Linux, si vous ne spécifiez pas de données utilisateur dans votre recette d'image, Image Builder ajoute un script pour télécharger et installer l'agent Systems Manager sur les instances de compilation et de test de votre image. Pour télécharger l'agent, Image Builder accède au compartiment S3 de votre région de construction.
Pour garantir qu'Image Builder puisse démarrer les instances de génération et de test, ajoutez la ressource supplémentaire suivante à votre politique de point de terminaison S3 :
"`arn:aws:s3:::amazon-ssm-region/*`"
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowImageBuilderAccessToAppAndComponentBuckets",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::ec2imagebuilder-toe-region-environment/*",
"arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*"
]
}
]
}
```
------