Creación de un rol de IAM para la administración del ciclo de vida de Generador de imágenes Creación de un rol de IAM para la administración del ciclo de vida de Generador de imágenes entre cuentas

Requisitos previos de administración del ciclo de vida para imágenes de Generador de imágenes

Antes de poder definir las políticas y reglas de administración del ciclo de vida de EC2 Image Builder para sus recursos de imágenes, debe cumplir los siguientes requisitos previos.

Cree un rol de IAM que conceda permiso a Generador de imágenes para ejecutar políticas de ciclo de vida. Para crear la función, consulte Creación de un rol de IAM para la administración del ciclo de vida de Generador de imágenes.
Cree un rol de IAM en la cuenta de destino para los recursos asociados que se distribuyeron entre las cuentas. El rol otorga permiso para que Generador de imágenes realice acciones del ciclo de vida con los recursos asociados en la cuenta de destino. Para crear la función, consulte Creación de un rol de IAM para la administración del ciclo de vida de Generador de imágenes entre cuentas.

nota
Este requisito previo no se aplica si ha otorgado permisos de lanzamiento para una AMI de salida. Con los permisos de lanzamiento, la cuenta con la que ha compartido es propietaria de las instancias que se lanzan desde la AMI compartida, pero todos los recursos de la AMI permanecen en su cuenta.
En el caso de las imágenes de contenedor, debe agregar la siguiente etiqueta a los repositorios de ECR para permitir que Generador de imágenes ejecute acciones del ciclo de vida en las imágenes de contenedor almacenadas en el repositorio: LifecycleExecutionAccess: EC2 Image Builder.

Creación de un rol de IAM para la administración del ciclo de vida de Generador de imágenes

Para conceder permiso para que Generador de imágenes ejecute políticas de ciclo de vida, primero debe crear el rol de IAM que utiliza para realizar acciones del ciclo de vida. Siga estos pasos para crear el rol de servicio que otorga el permiso.

Abra la consola de IAM en https://console.aws.amazon.com/iam/.
Elija la opción Roles en el panel de navegación.
Seleccione Crear rol. Así se abre el primer paso del proceso Seleccionar entidad de confianza para crear el rol.
Seleccione la opción Política de confianza personalizada en Tipo de entidad de confianza.

Copie la siguiente política de confianza JSON y péguela en el área de texto Política de confianza personalizada para sustituir el texto de ejemplo. Esta política de confianza permite a Generador de imágenes asumir el rol que se creó para ejecutar las acciones del ciclo de vida.

Seleccione la siguiente política administrada de la lista: EC2ImageBuilderLifecycleExecutionPolicy y, a continuación, elija Siguiente. Se abre la página Nombrar, revisar y crear.

sugerencia
Filtre por image para optimizar los resultados.
Escriba un Role name.
Después de revisar la configuración, elija Crear rol.

Creación de un rol de IAM para la administración del ciclo de vida de Generador de imágenes entre cuentas

Para conceder permiso para que Generador de imágenes realice acciones del ciclo de vida en las cuentas de destino de los recursos asociados, primero debe crear el rol de IAM que utiliza para realizar acciones del ciclo de vida en esas cuentas. Debe crear el rol en la cuenta de destino.

Siga estos pasos para crear el rol de servicio que otorga el permiso en la cuenta de destino.

Abra la consola de IAM en https://console.aws.amazon.com/iam/.
Elija la opción Roles en el panel de navegación.
Seleccione Crear rol. Así se abre el primer paso del proceso Seleccionar entidad de confianza para crear el rol.
Seleccione la opción Política de confianza personalizada en Tipo de entidad de confianza.

nota

Cuando Generador de imágenes utiliza este rol en la cuenta de destino para actuar sobre los recursos asociados que se distribuyeron entre las cuentas, actúa en nombre del propietario de la cuenta de destino. La Cuenta de AWS que configure como parte de la política de confianza es la cuenta aws:SourceAccount en la que Image Builder distribuyó esos recursos.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "imagebuilder.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "444455556666"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:*:imagebuilder:*:*:image/*/*/*"
                }
            }
        }
    ]
}

Seleccione la siguiente política administrada de la lista: EC2ImageBuilderLifecycleExecutionPolicy y, a continuación, elija Siguiente. Se abre la página Nombrar, revisar y crear.

sugerencia
Filtre por image para optimizar los resultados.
Ingrese Ec2ImageBuilderCrossAccountLifecycleAccess como Nombre del rol.

importante
Ec2ImageBuilderCrossAccountLifecycleAccess debe ser el nombre de este rol.
Después de revisar la configuración, elija Crear rol.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración del ciclo de vida de imágenes

Enumeración de las políticas de ciclo de vida

Requisitos previos de administración del ciclo de vida para imágenes de Generador de imágenes

nota

Creación de un rol de IAM para la administración del ciclo de vida de Generador de imágenes

sugerencia

Creación de un rol de IAM para la administración del ciclo de vida de Generador de imágenes entre cuentas

nota

sugerencia

importante