本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
先决条件
验证使用 EC2 Image Builder 创建映像管道的以下先决条件。除非另有说明,所有类型的管道都需要先决条件。
EC2 Image Builder 服务相关角色
EC2 Image Builder 使用服务相关角色代表您向其他 Amazon 服务授予权限。您无需手动创建服务相关角色。当您在 Amazon 管理控制台、或 Amazon API 中创建第一个 Image Builder 资源时,Image Builder 会为您创建服务相关角色。 Amazon CLI有关 Image Builder 在您的账户中创建服务相关角色的更多信息,请参阅 使用 EC2 Image Builder 的服务相关角色。
配置要求
-
Image Builder 支持 Amazon PrivateLink。有关为 Image Builder 配置 VPC 终端节点的更多信息,请参阅 EC2 Image Builder 和接口 VPC 端点 (Amazon PrivateLink)。
-
Image Builder 支持 EC2-Classic。
-
Image Builder 用于构建容器映像的实例必须具有互联网访问权限才能 Amazon CLI 从 Amazon S3 下载容器映像,也可以从 Docker Hub 存储库下载基础映像(如果适用)。Image Builder 使用从容器配方中获取 Dockerfile,该文件作为数据存储。 Amazon CLI
-
Image Builder 用于构建映像和运行测试的实例必须有权访问 Systems Manager 服务。安装要求取决于您的操作系统。
要查看基础映像的安装要求,请选择与基础映像操作系统相匹配的选项卡。
容器存储库(容器映像管道)
对于容器映像管道,配方定义了生成并存储在目标容器存储库中的 Docker 映像的配置。在为 Docker 映像创建容器配方之前,您必须先创建目标存储库。
Image Builder 使用 Amazon ECR 作为其容器映像的目标存储库。要创建 Amazon ECR 存储库,请按照 Amazon Elastic 容器注册表用户指南中的创建存储库所述步骤进行操作。
Amazon Identity and Access Management (IAM)
与实例配置文件关联的 IAM 角色必须有权运行映像中包含的生成和测试组件。必须将以下 IAM 角色策略附加到与实例配置文件关联的 IAM 角色:
-
EC2InstanceProfileForImageBuilder
-
EC2InstanceProfileForImageBuilderECRContainerBuilds
-
亚马逊 SSM ManagedInstanceCore
如果配置日志记录,在基础设施配置中指定的实例配置文件必须具有目标存储桶 (arn:aws:s3:::) 的 BucketName/*s3:PutObject 权限。例如:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::bucket-name/*" } ] }
附加策略
以下步骤将指导您完成将 IAM 策略附加到 IAM 角色以授予上述权限的过程。
-
登录 Amazon 管理控制台并打开 IAM 控制台,网址为 https://console.aws.amazon.com/iam/
。 -
在左侧导航窗格中,选择 Policies(策略)。
-
使用 EC2InstanceProfileForImageBuilder 筛选策略列表
-
选择策略旁边的项目符号,然后在策略操作下拉列表中选择附加。
-
选择要附加该策略的 IAM 角色的名称。
-
选择 Attach policy(附加策略)。
-
对EC2InstanceProfileForImageBuilderECRContainerBuilds和 AmazonSSM ManagedInstanceCore 政策重复步骤 3-6。
注意
如果要将使用 Image Builder 创建的映像复制到另一个账户,则必须在所有目标账户中创建 EC2ImageBuilderDistributionCrossAccountRole 角色,并将 Ec2ImageBuilderCrossAccountDistributionAccess 策略 托管策略附加到该角色。有关更多信息,请参阅 共享 EC2 Image Builder 资源。