本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Image Builder 映像的生命周期管理先决条件
在为EC2图像资源定义 Image Builder 生命周期管理策略和规则之前,必须满足以下先决条件。
-
创建一个IAM角色来授予 Image Builder 运行生命周期策略的权限。要创建该角色,请参阅为 Image Builder 生命周期管理创建IAM角色。
-
在目标账户中为跨账户分配的关联资源创建IAM角色。该角色可授予 Image Builder 在目标账户中对关联资源执行生命周期操作的权限。要创建该角色,请参阅为 Image Builder 跨账户生命周期管理创建IAM角色。
注意
如果您已授予输出启动权限,则此先决条件不适用AMI。凭借启动权限,您与之共享的账户拥有从共享实例启动的实例AMI,但所有AMI资源仍保留在您的账户中。
-
对于容器映像,您必须在ECR存储库中添加以下标签,以授予Image Builder对存储在存储库中的容器映像运行生命周期操作的访问权限:
LifecycleExecutionAccess: EC2 Image Builder
。
为 Image Builder 生命周期管理创建IAM角色
要授予 Image Builder 运行生命周期策略的权限,必须先创建它用来执行生命周期操作的IAM角色。按照以下步骤创建授予权限的服务角色。
-
从 IAM 打开 https://console.aws.amazon.com/iam/
控制台。 -
从导航窗格中,选择 Roles。
-
选择 Create role(创建角色)。此操作将进入流程的第一步选择可信实体,以创建您的角色。
-
对于可信实体类型,请选择自定义信任策略选项。
-
复制以下JSON信任策略并将其粘贴到自定义信任策略文本区域,替换示例文本。此信任策略允许 Image Builder 担任您为运行生命周期操作而创建的角色。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Effect": "Allow", "Principal": { "Service": [ "imagebuilder.amazonaws.com" ] } } ] }
-
从列表中选择以下托管策略:EC2ImageBuilderLifecycleExecutionPolicy,然后选择 “下一步”。此操作将打开命名、检查并创建页面。
提示
筛选
image
以简化结果。 -
输入角色名称。
-
查看设置后,请选择创建角色。
为 Image Builder 跨账户生命周期管理创建IAM角色
要授予 Image Builder 在目标账户中对关联资源执行生命周期操作的权限,您必须先创建它用于在这些账户中执行生命周期操作的IAM角色。您必须在目标账户中创建角色。
按照以下步骤创建在目标账户中授予权限的服务角色。
-
从 IAM 打开 https://console.aws.amazon.com/iam/
控制台。 -
从导航窗格中,选择 Roles。
-
选择 Create role(创建角色)。此操作将进入流程的第一步选择可信实体,以创建您的角色。
-
对于可信实体类型,请选择自定义信任策略选项。
-
复制以下JSON信任策略并将其粘贴到自定义信任策略文本区域,替换示例文本。此信任策略允许 Image Builder 担任您为运行生命周期操作而创建的角色。
注意
当 Image Builder 在目标账户中使用该角色对跨账户分配的关联资源进行操作时,其代表目标账户所有者行事。您在信任策略
aws:SourceAccount
中配置的账户是 Image Builder 分发这些资源的账户。 Amazon Web Services 账户{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "imagebuilder.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
444455556666
" }, "StringLike": { "aws:SourceArn": "arn:*:imagebuilder:*:*:image/*/*/*" } } } ] } -
从列表中选择以下托管策略:EC2ImageBuilderLifecycleExecutionPolicy,然后选择 “下一步”。此操作将打开命名、检查并创建页面。
提示
筛选
image
以简化结果。 -
输入
Ec2ImageBuilderCrossAccountLifecycleAccess
作为角色名称。重要
Ec2ImageBuilderCrossAccountLifecycleAccess
必须是该角色的名称。 -
查看设置后,请选择创建角色。