Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
So funktioniert EC2 Image Builder
Wenn Sie die EC2 Image Builder Builder-Konsole verwenden, um eine benutzerdefinierte Image-Pipeline zu erstellen, führt Sie das System durch die folgenden Schritte.
-
Pipeline-Details angeben — Geben Sie Informationen zu Ihrer Pipeline ein, z. B. einen Namen, eine Beschreibung, Tags und einen Zeitplan für die Ausführung automatisierter Builds. Sie können manuelle Builds wählen, wenn Sie dies bevorzugen.
-
Rezept wählen — Wählen Sie zwischen der Erstellung eines AMI oder der Erstellung eines Container-Images. Für beide Arten von Ausgabe-Images geben Sie einen Namen und eine Version für Ihr Rezept ein, wählen ein Basis-Image aus und wählen Komponenten aus, die zum Erstellen und Testen hinzugefügt werden sollen. Sie können auch die automatische Versionierung wählen, um sicherzustellen, dass Sie immer die neueste verfügbare Betriebssystemversion (OS) für Ihr Basis-Image verwenden. Container-Rezepte definieren zusätzlich Dockerfiles und das Amazon ECR-Ziel-Repository für Ihr Docker-Container-Ausgabe-Image.
Anmerkung
Komponenten sind die Bausteine, die von einem Image-Rezept oder einem Container-Rezept verwendet werden. Zum Beispiel Pakete für die Installation, Schritte zur Stärkung der Sicherheit und Tests. Das ausgewählte Basis-Image und die Komponenten bilden ein Image-Rezept.
-
Definieren Sie die Infrastrukturkonfiguration — Image Builder startet EC2 Instanzen in Ihrem Konto, um Images anzupassen und Validierungstests durchzuführen. In den Infrastrukturkonfigurationseinstellungen werden die Infrastrukturdetails für die Instanzen angegeben, die AWS-Konto während des Build-Prozesses in Ihrem ausgeführt werden.
-
Definieren Sie die Verteilungseinstellungen — Wählen Sie die AWS Regionen aus, in die Ihr Image verteilt werden soll, nachdem der Build abgeschlossen und alle Tests bestanden hat. Die Pipeline verteilt Ihr Image automatisch an die Region, in der der Build ausgeführt wird, und Sie können die Image-Verteilung für andere Regionen hinzufügen.
Die Images, die Sie aus Ihrem benutzerdefinierten Basis-Image erstellen, befinden sich in Ihrem AWS-Konto. Sie können Ihre Image-Pipeline so konfigurieren, dass aktualisierte und gepatchte Versionen Ihres Images erstellt werden, indem Sie einen Build-Zeitplan eingeben. Wenn der Build abgeschlossen ist, können Sie eine Benachrichtigung über Amazon Simple Notification Service (SNS) erhalten. Neben der Erstellung eines endgültigen Images generiert der Image Builder Builder-Konsolenassistent ein Rezept, das mit vorhandenen Versionskontrollsystemen und CI/CD-Pipelines (Continuous integration/continuous Deployment) für wiederholbare Automatisierung verwendet werden kann. Sie können Ihr Rezept teilen und neue Versionen erstellen.
Inhalt des Abschnitts
AMI-Elemente
Ein Amazon Machine Image (AMI) ist ein vorkonfiguriertes Image einer virtuellen Maschine (VM), das das Betriebssystem und die Software für die Bereitstellung von EC2 Instances enthält.
Ein AMI umfasst die folgenden Elemente:
-
Eine Vorlage für das Root-Volume der VM. Wenn Sie eine EC2 Amazon-VM starten, enthält das Root-Geräte-Volume das Image zum Starten der Instance. Wenn der Instance-Speicher verwendet wird, ist das Root-Gerät ein Instance-Speicher-Volume, das anhand einer Vorlage in Amazon S3 erstellt wurde. Weitere Informationen finden Sie unter Amazon EC2 Root Device Volume.
-
Startberechtigungen, die festlegen AWS-Konten , wer VMs mit dem AMI gestartet werden kann.
-
Blockieren Sie Gerätezuordnungsdaten, die angeben, welche Volumes nach dem Start an die Instance angehängt werden sollen.
-
Eine eindeutige Ressourcen-ID für jede Region, für jedes Konto.
-
Metadaten-Nutzlasten wie Tags und Eigenschaften wie Region, Betriebssystem, Architektur, Root-Gerätetyp, Anbieter, Startberechtigungen, Speicherplatz für das Root-Gerät und Signaturstatus.
-
Eine AMI-Signatur für Windows-Images zum Schutz vor unbefugter Manipulation. Weitere Informationen finden Sie unter Dokumente zur Instanzidentität.
Komponentenverwaltung
EC2 Image Builder verwendet eine Komponentenverwaltungsanwendung AWS Task Orchestrator and Executor (AWSTOE), mit der Sie komplexe Workflows orchestrieren, Systemkonfigurationen ändern und Ihre Systeme mit YAML-basierten Skriptkomponenten testen können. Da es AWSTOE sich um eine eigenständige Anwendung handelt, ist keine zusätzliche Einrichtung erforderlich. Es kann auf jeder Cloud-Infrastruktur und vor Ort ausgeführt werden. Informationen zu den ersten Schritten mit der Verwendung AWSTOE als eigenständige Anwendung finden Sie unterManuelles Setup zur Entwicklung kundenspezifischer Komponenten mit AWSTOE.
Image Builder verwendet AWSTOE , um alle Aktivitäten auf der Instanz auszuführen. Dazu gehören die Erstellung und Validierung Ihres Images vor der Erstellung eines Snapshots sowie das Testen des Snapshots, um sicherzustellen, dass er erwartungsgemäß funktioniert, bevor das endgültige Image erstellt wird. Weitere Informationen darüber, wie Image Builder seine AWSTOE Komponenten verwaltet, finden Sie unterVerwenden Sie Komponenten, um Ihr Image Builder Builder-Image anzupassen. Weitere Informationen zum Erstellen von Komponenten mit AWSTOE finden Sie unterSo verwendet Image Builder die AWS Task Orchestrator and Executor Anwendung zur Verwaltung von Komponenten.
Testen von Bildern
Sie können AWSTOE Testkomponenten verwenden, um Ihr Image zu validieren und sicherzustellen, dass es erwartungsgemäß funktioniert, bevor Sie das endgültige Image erstellen.
Im Allgemeinen besteht jede Testkomponente aus einem YAML-Dokument, das ein Testskript, eine Test-Binärdatei und Testmetadaten enthält. Das Testskript enthält die Orchestrierungsbefehle zum Starten der Test-Binärdatei, die in jeder vom Betriebssystem unterstützten Sprache geschrieben werden kann. Exit-Statuscodes geben das Testergebnis an. Testmetadaten beschreiben den Test und sein Verhalten, z. B. den Namen, die Beschreibung, die Pfade zur Testbinärdatei und die erwartete Dauer.
Ressourcen wurden erstellt
Wenn Sie eine Pipeline erstellen, werden keine Ressourcen außerhalb von Image Builder erstellt, sofern nicht Folgendes zutrifft:
-
Wenn ein Image im Rahmen des Pipeline-Zeitplans erstellt wird
-
Wenn Sie in der Image Builder Builder-Konsole im Menü Aktionen die Option Pipeline ausführen wählen
-
Wenn Sie einen dieser Befehle über die API ausführen oder AWS CLI: StartImagePipelineExecution oder CreateImage
Die folgenden Ressourcen werden während des Image-Build-Prozesses erstellt:
AMI-Image-Pipelines
-
EC2 Instanz (temporär)
-
Systems Manager Inventory Association (über Systems Manager State Manager, falls
EnhancedImageMetadataaktiviert) auf der EC2 Instanz -
EC2 Amazon-AMI
-
Der Amazon EBS-Snapshot, der mit Amazon EC2 AMI verknüpft ist
Pipelines für Container-Images
-
Docker-Container, der auf einer EC2 Instanz ausgeführt wird (temporär)
-
Systems Manager Inventory Association (über Systems Manager State Manager)
EnhancedImageMetadataist aktiviert) auf der EC2 Instanz -
Docker-Container-Image
-
Dockerfile
Nachdem das Image erstellt wurde, werden alle temporären Ressourcen gelöscht.
Distribution
EC2 Image Builder kann Bilder in jeder AWS Region verteilen AMIs oder in Containern speichern. Das Image wird in jede Region kopiert, die Sie in dem Konto angeben, mit dem das Image erstellt wurde.
Für AMI-Ausgabebilder können Sie AMI-Startberechtigungen definieren, um zu kontrollieren, AWS-Konten welche EC2 Instances mit dem erstellten AMI gestartet werden dürfen. Sie können das Image beispielsweise privat oder öffentlich machen oder es für bestimmte Konten freigeben. Wenn Sie sowohl das AMI an andere Regionen verteilen als auch Startberechtigungen für andere Konten definieren, werden die Startberechtigungen an alle Regionen weitergegeben, in denen das AMI verteilt wird. AMIs
Sie können Ihr AWS Organizations Konto auch verwenden, um Beschränkungen für Mitgliedskonten durchzusetzen, sodass nur Instances gestartet werden dürfen, die den Anforderungen entsprechen AMIs. Weitere Informationen finden Sie unter Verwaltung der AWS-Konten in Ihrer Organisation.
Um Ihre Verteilungseinstellungen mit der Image Builder Builder-Konsole zu aktualisieren, folgen Sie den Schritten zuErstellen Sie eine neue Image-Rezeptversion von der Konsole aus, oderErstellen Sie mit der Konsole eine neue Container-Rezeptversion.
Ressourcen teilen
Informationen zum Teilen von Komponenten, Rezepten oder Bildern mit anderen Konten oder innerhalb von AWS Organizations Accounts finden Sie unterTeilen Sie Image Builder Builder-Ressourcen mit AWS RAM.
Compliance
Für Benchmarks des Center for Internet Security (CIS) verwendet EC2 Image Builder Amazon Inspector, um Bewertungen im Hinblick auf Sicherheitsrisiken, Sicherheitslücken und Abweichungen von Best Practices und Compliance-Standards durchzuführen. Image Builder bewertet beispielsweise den unbeabsichtigten Netzwerkzugriff, ungepatchte CVEs, öffentliche Internetverbindungen und die Aktivierung der Root-Anmeldung per Fernzugriff. Amazon Inspector wird als Testkomponente angeboten, die Sie Ihrem Bildrezept hinzufügen können. Weitere Informationen zu Amazon Inspector finden Sie im Amazon Inspector Inspector-Benutzerhandbuch. Weitere Informationen finden Sie unter Benchmarks des Center for Internet Security (CIS).
Image Builder bietet STIG-Härtungskomponenten, mit denen Sie effizienter konforme Images für STIG-Grundstandards erstellen können. Diese STIG-Komponenten suchen nach Fehlkonfigurationen und führen ein Korrekturskript aus. Für die Verwendung von STIG-kompatiblen Komponenten fallen keine zusätzlichen Gebühren an. Eine vollständige Liste der über Image Builder verfügbaren STIG-Komponenten finden Sie unterVon Amazon verwaltete STIG-Härtungskomponenten für Image Builder.
