本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 EC2 Image Builder 的 AWS 受管政策
<a name="security-iam-awsmanpol"></a>

 AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可，以便您可以開始將許可指派給使用者、群組和角色。

請記住， AWS 受管政策可能不會授予特定使用案例的最低權限許可，因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)，以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可，則更新會影響政策連接的所有委託人身分 （使用者、群組和角色）。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時， AWS 最有可能更新 AWS 受管政策。

如需詳細資訊，請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AWSImageBuilderFullAccess 政策
<a name="sec-iam-manpol-AWSImageBuilderFullAccess"></a>

**AWSImageBuilderFullAccess** 政策會針對其連接的角色授予 Image Builder 資源的完整存取權，允許該角色列出、描述、建立、更新和刪除 Image Builder 資源。此政策也會將目標許可授予所需的相關 AWS 服務 ，例如，驗證資源，或在 中顯示帳戶的目前資源 AWS 管理主控台。

### 許可詳細資訊
<a name="sec-iam-manpol-AWSImageBuilderFullAccess-details"></a>

此政策包含以下許可：
+ **映像建置器** – 授予管理存取權，讓角色可以列出、描述、建立、更新和刪除映像建置器資源。
+ **Amazon EC2** – 授予 Amazon EC2 存取權 描述驗證資源存在或取得屬於帳戶之資源清單所需的動作。
+ **IAM** – 授予存取權，以取得和使用名稱包含「imagebuilder」的執行個體描述檔、透過 `iam:GetRole` API 動作驗證 Image Builder 服務連結角色是否存在，以及建立 Image Builder 服務連結角色。
+ **License Manager** – 授予存取權以列出資源的授權組態或授權。
+ **Amazon S3** – 授予存取權以列出屬於帳戶的儲存貯體，以及名稱中具有「imagebuilder」的映像建置器儲存貯體。
+ **Amazon SNS** – 將寫入許可授予 Amazon SNS，以驗證包含 "imagebuilder" 主題的主題擁有權。

若要檢視此政策的許可，請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html)。

## AWSImageBuilderReadOnlyAccess 政策
<a name="sec-iam-manpol-AWSImageBuilderReadOnlyAccess"></a>

此**AWSImageBuilderReadOnlyAccess**政策提供所有 Image Builder 資源的唯讀存取權。授予許可，以透過 `iam:GetRole` API 動作驗證 Image Builder 服務連結角色是否存在。

### 許可詳細資訊
<a name="sec-iam-manpol-AWSImageBuilderReadOnlyAccess-details"></a>

此政策包含以下許可：
+ **Image Builder** – 授予對 Image Builder 資源的唯讀存取權。
+ **IAM** – 授予存取權，以透過 `iam:GetRole` API 動作驗證 Image Builder 服務連結角色是否存在。

若要檢視此政策的許可，請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html)。

## AWSServiceRoleForImageBuilder 政策
<a name="sec-iam-manpol-AWSServiceRoleForImageBuilder"></a>

此**AWSServiceRoleForImageBuilder**政策允許 Image Builder AWS 服務 代表您呼叫 。

### 許可詳細資訊
<a name="sec-iam-manpol-AWSServiceRoleForImageBuilder-details"></a>

透過 Systems Manager 建立角色時，此政策會連接到 Image Builder 服務連結角色。如需 Image Builder 服務連結角色的詳細資訊，請參閱 [使用映像建置器的 IAM 服務連結角色](image-builder-service-linked-role.md)。

政策包含下列許可：
+ **CloudWatch Logs** – 授予建立 CloudWatch Logs 並將其上傳至名稱開頭為 之任何日誌群組的存取權`/aws/imagebuilder/`。
+ **Amazon EC2** – 授予 Image Builder 在您的帳戶中建立、拍攝快照和註冊其建立和啟動 EC2 執行個體之映像 (AMIs) 的存取權。映像建置器會視需要使用相關的快照、磁碟區、網路介面、子網路、安全群組、授權組態和金鑰對，只要建立或使用的映像、執行個體和磁碟區都加上 `CreatedBy: EC2 Image Builder`或 的標籤`CreatedBy: EC2 Fast Launch`。

  Image Builder 可以取得 Amazon EC2 映像、執行個體屬性、執行個體狀態、您帳戶可用的執行個體類型、啟動範本、子網路、主機和 Amazon EC2 資源標籤的相關資訊。

  Image Builder 可以更新映像設定，以啟用或停用您帳戶中 Windows 執行個體的更快速啟動，其中映像會加上 標籤`CreatedBy: EC2 Image Builder`。

  此外，Image Builder 可以啟動、停止和終止在您帳戶中執行的執行個體、共用 Amazon EBS 快照、建立和更新映像和啟動範本、取消註冊現有映像、新增標籤，以及跨您已透過**Ec2ImageBuilderCrossAccountDistributionAccess**政策授予許可給 的帳戶複寫映像。所有這些動作都需要映像建置器標記，如前所述。
+ **Amazon ECR** – 若容器映像漏洞掃描需要，會授予 Image Builder 建立儲存庫的存取權，並標記其建立的資源以限制其操作範圍。也會授予 Image Builder 在擷取漏洞快照後刪除其為掃描建立之容器映像的存取權。
+ **EventBridge** – 授予 Image Builder 建立和管理 EventBridge 規則的存取權。
+ **IAM** – 授予 Image Builder 將帳戶中任何角色傳遞給 Amazon EC2 和 VM Import/Export 的存取權。
+ **Amazon Inspector** – 授予 Image Builder 存取權，以判斷 Amazon Inspector 何時完成建置執行個體掃描，並收集設定為允許之映像的調查結果。
+ **AWS KMS** – 授予 Amazon EBS 加密、解密或重新加密 Amazon EBS 磁碟區的存取權。這對於確保加密磁碟區在 Image Builder 建置映像時運作至關重要。
+ **License Manager** – 授予 Image Builder 透過 更新 License Manager 規格的存取權`license-manager:UpdateLicenseSpecificationsForResource`。
+ **Amazon SNS** – 針對您帳戶中的任何 Amazon SNS 主題授予寫入許可。
+ **Systems Manager** – 授予 Image Builder 存取權，以列出 Systems Manager 命令及其調用、清查項目 、描述執行個體資訊和自動化執行狀態、描述執行個體置放支援的主機，以及取得命令調用詳細資訊。Image Builder 也可以傳送自動化訊號，並停止您帳戶中任何資源的自動化執行。

  Image Builder 能夠對針對`"CreatedBy": "EC2 Image Builder"`下列指令碼檔案加上標籤的任何執行個體發出執行命令叫用：`AWS-RunPowerShellScript`、 `AWS-RunShellScript`或 `AWSEC2-RunSysprep`。Image Builder 能夠在您的帳戶中針對名稱開頭為 的自動化文件啟動 Systems Manager 自動化執行`ImageBuilder`。

  Image Builder 也可以建立或刪除您帳戶中任何執行個體的狀態管理員關聯，只要關聯文件為 `AWS-GatherSoftwareInventory`，並在您的帳戶中建立 Systems Manager 服務連結角色。

  Image Builder 能夠讀取公有參數存放區參數，以及讀取和更新字首為 的私有參數，`/imagebuilder/`以便使用 Image Builder 從新建置建立的輸出 AMI IDs 來更新參數值。
+ **AWS STS** – 授予 Image Builder 存取權，以**EC2ImageBuilderDistributionCrossAccountRole**從您的帳戶擔任名為 的角色，以存取角色上的信任政策允許的任何帳戶。這用於跨帳戶映像分佈。

若要檢視此政策的許可，請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html)。

## Ec2ImageBuilderCrossAccountDistributionAccess 政策
<a name="sec-iam-manpol-Ec2ImageBuilderCrossAccountDistributionAccess"></a>

此**Ec2ImageBuilderCrossAccountDistributionAccess**政策會授予許可，讓 Image Builder 將映像分散到目標區域中的帳戶。此外，Image Builder 可以描述、複製標籤，並將標籤套用至帳戶中的任何 Amazon EC2 映像。此政策也授予透過 `ec2:ModifyImageAttribute` API 動作修改 AMI 許可的能力。

### 許可詳細資訊
<a name="sec-iam-manpol-Ec2ImageBuilderCrossAccountDistributionAccess-details"></a>

此政策包含以下許可：
+ **Amazon EC2** – Amazon EC2 會授予存取權，以描述、複製和修改映像的屬性，以及為帳戶中的任何 Amazon EC2 映像建立標籤。

若要檢視此政策的許可，請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html)。

## EC2ImageBuilderLifecycleExecutionPolicy 政策
<a name="sec-iam-manpol-EC2ImageBuilderLifecycleExecutionPolicy"></a>

此**EC2ImageBuilderLifecycleExecutionPolicy**政策授予 Image Builder 執行動作的許可，例如棄用、停用或刪除 Image Builder 映像資源及其基礎資源 (AMIs、快照），以支援映像生命週期管理任務的自動化規則。

### 許可詳細資訊
<a name="sec-iam-manpol-EC2ImageBuilderLifecycleExecutionPolicy-details"></a>

此政策包含以下許可：
+ **Amazon EC2** – 授予 Amazon EC2 存取權，以在標記 的帳戶中對 Amazon Machine Image (AMIs) 執行下列動作`CreatedBy: EC2 Image Builder`。
  + 啟用和停用 AMI。
  + 啟用和停用映像棄用。
  + 描述和取消註冊 AMI。
  + 描述和修改 AMI 映像屬性。
  + 刪除與 AMI 相關聯的磁碟區快照。
  + 擷取資源的標籤。
  + 從 AMI 新增或移除標籤以取代。
+ **Amazon ECR** – 授予 Amazon ECR 存取權，以在具有 `LifecycleExecutionAccess: EC2 Image Builder`標籤的 ECR 儲存庫上執行下列批次動作。批次動作支援自動化容器映像生命週期規則。
  + `ecr:BatchGetImage`
  + `ecr:BatchDeleteImage`

  在標記 的 ECR 儲存庫的儲存庫層級授予存取權`LifecycleExecutionAccess: EC2 Image Builder`。
+ **AWS 資源群組** – 授予 Image Builder 根據標籤取得資源的存取權。
+ **EC2 Image Builder** – 授予 Image Builder 刪除 Image Builder 映像資源的存取權。

若要檢視此政策的許可，請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html)。

## EC2InstanceProfileForImageBuilder 政策
<a name="sec-iam-manpol-EC2InstanceProfileForImageBuilder"></a>

此**EC2InstanceProfileForImageBuilder**政策會授予 EC2 執行個體使用映像建置器所需的最低許可。這不包括使用 Systems Manager Agent 所需的許可。

### 許可詳細資訊
<a name="sec-iam-manpol-EC2InstanceProfileForImageBuilder-details"></a>

此政策包含以下許可：
+ **CloudWatch Logs** – 授予建立 CloudWatch Logs 並將其上傳至名稱開頭為 之任何日誌群組的存取權`/aws/imagebuilder/`。
+ **Amazon EC2** – 授予存取權以描述磁碟區和快照、建立映像建置器建立的磁碟區或快照資源快照，以及建立映像建置器資源的標籤。
+ **映像建置器** – 授予存取以取得任何映像建置器或 AWS Marketplace 元件。
+ **AWS KMS** – 如果透過 加密，則會授予解密 Image Builder 元件的存取權 AWS KMS。
+ **Amazon S3** – 授予存取權，以取得儲存在名稱開頭為 的 Amazon S3 儲存貯體中的物件`ec2imagebuilder-`，或具有 ISO 副檔名的資源。

若要檢視此政策的許可，請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html)。

## EC2InstanceProfileForImageBuilderECRContainerBuilds 政策
<a name="sec-iam-manpol-EC2InstanceProfileForImageBuilderECRContainerBuilds"></a>

此**EC2InstanceProfileForImageBuilderECRContainerBuilds**政策會授予使用 Image Builder 建置 Docker 映像時 EC2 執行個體所需的最低許可，然後將映像註冊並存放在 Amazon ECR 容器儲存庫中。這不包括使用 Systems Manager Agent 所需的許可。

### 許可詳細資訊
<a name="sec-iam-manpol-EC2InstanceProfileForImageBuilderECRContainerBuilds-details"></a>

此政策包含以下許可：
+ **CloudWatch Logs** – 授予建立 CloudWatch Logs 並將其上傳至名稱開頭為 之任何日誌群組的存取權`/aws/imagebuilder/`。
+ **Amazon ECR** – 授予 Amazon ECR 取得、註冊和存放容器映像，以及取得授權字符的存取權。
+ **映像建置器** – 授予取得映像建置器元件或容器配方的存取權。
+ **AWS KMS** – 如果 Image Builder 元件或容器配方是透過 加密，則會授予其解密的存取權 AWS KMS。
+ **Amazon S3** – 授予存取權，以取得儲存在名稱開頭為 的 Amazon S3 儲存貯體中的物件`ec2imagebuilder-`。

若要檢視此政策的許可，請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html)。

## AWS 受管政策的映像建置器更新
<a name="security-iam-awsmanpol-updates"></a>

本節提供有關 Image Builder AWS 自此服務開始追蹤這些變更以來受管政策更新的資訊。如需此頁面變更的自動提醒，請訂閱映像建置器[文件歷史記錄](doc-history.md)頁面上的 RSS 摘要。




| 變更 | 描述 | Date | 
| --- | --- | --- | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 更新現有政策  |  Image Builder 對服務角色進行了下列變更： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2026 年 2 月 26 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 更新現有政策  |  Image Builder 對服務角色進行了下列變更，以支援在配方和映像分佈期間使用 AWS Systems Manager (SSM) 參數存放區參數。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2025 年 7 月 23 日 | 
|  [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder) – 更新現有政策  |  Image Builder 對執行個體描述檔政策進行了下列變更，以支援更多 ISO 檔案下載的副檔名。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2025 年 5 月 19 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 更新現有政策  |  Image Builder 對服務角色進行了下列變更，以支援匯入 Microsoft 用戶端作業系統 ISO 檔案作為基礎映像。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2024 年 12 月 30 日 | 
|  [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder) – 更新現有政策  |  Image Builder 對執行個體描述檔政策進行了下列變更，以支援從磁碟映像檔案建立映像。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2024 年 12 月 30 日 | 
|  [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder) - 更新的政策  |  Image Builder 已更新`EC2InstanceProfileForImageBuilder`政策，以允許 Image Builder 取得 AWS Marketplace 元件。  | 2024 年 12 月 2 日 | 
|  [EC2ImageBuilderLifecycleExecutionPolicy](#sec-iam-manpol-EC2ImageBuilderLifecycleExecutionPolicy) – 新政策  |  Image Builder 新增了包含映像生命週期管理許可的新`EC2ImageBuilderLifecycleExecutionPolicy`政策。  | 2023 年 11 月 17 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 更新現有政策  |  Image Builder 對服務角色進行了下列變更，以提供執行個體置放支援。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2023 年 10 月 19 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 更新現有政策  |  Image Builder 對服務角色進行了下列變更，以提供執行個體置放支援。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2023 年 9 月 28 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 更新現有政策  |  Image Builder 對服務角色進行了下列變更，以允許 Image Builder 工作流程收集 AMI 和 ECR 容器映像組建的漏洞調查結果。新的許可支援 CVE 偵測和報告功能。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2023 年 3 月 30 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 更新現有政策  |  Image Builder 對服務角色進行了下列變更： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2022 年 3 月 22 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 更新現有政策  |  Image Builder 對服務角色進行了下列變更： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2022 年 2 月 21 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 更新現有政策  |  Image Builder 對服務角色進行了下列變更： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2021 年 11 月 20 日 | 
|  [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 更新現有政策  |  Image Builder 新增了新的許可，以修正多個庫存關聯導致映像建置卡住的問題。  | 2021 年 8 月 11 日 | 
|  [AWSImageBuilderFullAccess](#sec-iam-manpol-AWSImageBuilderFullAccess) – 更新現有政策  |  Image Builder 對完整存取角色進行了下列變更： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/imagebuilder/latest/userguide/security-iam-awsmanpol.html)  | 2021 年 4 月 13 日 | 
|  Image Builder 已開始追蹤變更  |  Image Builder 開始追蹤其 AWS 受管政策的變更。  | 2021 年 4 月 2 日 |