Image Builder 映像的生命周期管理先决条件 - EC2Image Builder
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Image Builder 映像的生命周期管理先决条件

在为EC2图像资源定义 Image Builder 生命周期管理策略和规则之前,必须满足以下先决条件。

  • 创建一个IAM角色来授予 Image Builder 运行生命周期策略的权限。要创建该角色,请参阅为 Image Builder 生命周期管理创建IAM角色

  • 在目标账户中为跨账户分配的关联资源创建IAM角色。该角色可授予 Image Builder 在目标账户中对关联资源执行生命周期操作的权限。要创建该角色,请参阅为 Image Builder 跨账户生命周期管理创建IAM角色

    注意

    如果您已授予输出启动权限,则此先决条件不适用AMI。凭借启动权限,您与之共享的账户拥有从共享实例启动的实例AMI,但所有AMI资源仍保留在您的账户中。

  • 对于容器映像,您必须在ECR存储库中添加以下标签,以授予Image Builder对存储在存储库中的容器映像运行生命周期操作的访问权限:LifecycleExecutionAccess: EC2 Image Builder

为 Image Builder 生命周期管理创建IAM角色

要授予 Image Builder 运行生命周期策略的权限,必须先创建它用来执行生命周期操作的IAM角色。按照以下步骤创建授予权限的服务角色。

  1. 从 IAM 打开 https://console.aws.amazon.com/iam/ 控制台。

  2. 从导航窗格中,选择 Roles

  3. 选择 Create role(创建角色)。此操作将进入流程的第一步选择可信实体,以创建您的角色。

  4. 对于可信实体类型,请选择自定义信任策略选项。

  5. 复制以下JSON信任策略并将其粘贴到自定义信任策略文本区域,替换示例文本。此信任策略允许 Image Builder 担任您为运行生命周期操作而创建的角色。

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Effect": "Allow", "Principal": { "Service": [ "imagebuilder.amazonaws.com" ] } } ] }
  6. 从列表中选择以下托管策略:EC2ImageBuilderLifecycleExecutionPolicy,然后选择 “下一步”。此操作将打开命名、检查并创建页面。

    提示

    筛选 image 以简化结果。

  7. 输入角色名称

  8. 查看设置后,请选择创建角色

为 Image Builder 跨账户生命周期管理创建IAM角色

要授予 Image Builder 在目标账户中对关联资源执行生命周期操作的权限,您必须先创建它用于在这些账户中执行生命周期操作的IAM角色。您必须在目标账户中创建角色。

按照以下步骤创建在目标账户中授予权限的服务角色。

  1. 从 IAM 打开 https://console.aws.amazon.com/iam/ 控制台。

  2. 从导航窗格中,选择 Roles

  3. 选择 Create role(创建角色)。此操作将进入流程的第一步选择可信实体,以创建您的角色。

  4. 对于可信实体类型,请选择自定义信任策略选项。

  5. 复制以下JSON信任策略并将其粘贴到自定义信任策略文本区域,替换示例文本。此信任策略允许 Image Builder 担任您为运行生命周期操作而创建的角色。

    注意

    当 Image Builder 在目标账户中使用该角色对跨账户分配的关联资源进行操作时,其代表目标账户所有者行事。您在信任策略aws:SourceAccount中配置的账户是 Image Builder 分发这些资源的账户。 Amazon Web Services 账户

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "imagebuilder.amazonaws.com" ] }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "444455556666" }, "StringLike": { "aws:SourceArn": "arn:*:imagebuilder:*:*:image/*/*/*" } } } ] }
  6. 从列表中选择以下托管策略:EC2ImageBuilderLifecycleExecutionPolicy,然后选择 “下一步”。此操作将打开命名、检查并创建页面。

    提示

    筛选 image 以简化结果。

  7. 输入 Ec2ImageBuilderCrossAccountLifecycleAccess 作为角色名称

    重要

    Ec2ImageBuilderCrossAccountLifecycleAccess 必须是该角色的名称。

  8. 查看设置后,请选择创建角色