Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Requisitos previos de administración del ciclo de vida para imágenes de Generador de imágenes
Antes de poder definir las políticas y reglas de administración del ciclo de vida de Generador de imágenes de EC2 para los recursos de imágenes, debe cumplir los siguientes requisitos previos.
+ Cree un rol de IAM que conceda permiso a Generador de imágenes para ejecutar políticas de ciclo de vida. Puede crear este rol de una de las siguientes maneras:
+ Utilice la opción **Crear una función de ejecución del ciclo de vida mediante los valores predeterminados del servicio** en la consola de Image Builder al crear una política de ciclo de vida. Esto crea automáticamente un rol con la política `EC2ImageBuilderLifecycleExecutionPolicy` administrada adjunta.
+ Utilice la opción **Crear un nuevo rol de ejecución del ciclo** de vida en la consola de Image Builder, que abre IAM con los ajustes predefinidos para la creación de roles con un solo clic.
+ Cree el rol manualmente en la consola de IAM. Para obtener step-by-step instrucciones, consulte[Creación de un rol de IAM para la administración del ciclo de vida de Generador de imágenes](#image-lifecycle-prereq-role).
+ Cree un rol de IAM en la cuenta de destino para los recursos asociados que se distribuyeron entre las cuentas. El rol otorga permiso para que Generador de imágenes realice acciones del ciclo de vida con los recursos asociados en la cuenta de destino. Para crear la función, consulte [Creación de un rol de IAM para la administración del ciclo de vida de Generador de imágenes entre cuentas](#image-lifecycle-prereq-cross-acct-role).
**nota**
Este requisito previo no se aplica si ha otorgado permisos de lanzamiento para una AMI de salida. Con los permisos de lanzamiento, la cuenta con la que ha compartido es propietaria de las instancias que se lanzan desde la AMI compartida, pero todos los recursos de la AMI permanecen en su cuenta.
+ En el caso de las imágenes de contenedor, debe agregar la siguiente etiqueta a los repositorios de ECR para permitir que Generador de imágenes ejecute acciones del ciclo de vida en las imágenes de contenedor almacenadas en el repositorio: `LifecycleExecutionAccess: EC2 Image Builder`.
## Creación de un rol de IAM para la administración del ciclo de vida de Generador de imágenes
Para conceder permiso para que Generador de imágenes ejecute políticas de ciclo de vida, primero debe crear el rol de IAM que utiliza para realizar acciones del ciclo de vida. Siga estos pasos para crear el rol de servicio que otorga el permiso.
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Elija la opción **Roles** en el panel de navegación.
1. Elija **Crear rol**. Así se abre el primer paso del proceso **Seleccionar entidad de confianza** para crear el rol.
1. Seleccione la opción **Política de confianza personalizada** en **Tipo de entidad de confianza**.
1. Copie la siguiente política de confianza JSON y péguela en el área de texto **Política de confianza personalizada** para sustituir el texto de ejemplo. Esta política de confianza permite a Generador de imágenes asumir el rol que se creó para ejecutar las acciones del ciclo de vida.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Effect": "Allow",
"Principal": {
"Service": [
"imagebuilder.amazonaws.com"
]
}
}
]
}
```
------
1. Seleccione la siguiente política administrada de la lista: **EC2ImageBuilderLifecycleExecutionPolicy** y, a continuación, elija **Siguiente**. Se abre la página **Nombrar, revisar y crear**.
**sugerencia**
Filtre por `image` para optimizar los resultados.
1. Escriba un **Role name**.
1. Después de revisar la configuración, elija **Crear rol**.
## Creación de un rol de IAM para la administración del ciclo de vida de Generador de imágenes entre cuentas
Para conceder permiso para que Generador de imágenes realice acciones del ciclo de vida en las cuentas de destino de los recursos asociados, primero debe crear el rol de IAM que utiliza para realizar acciones del ciclo de vida en esas cuentas. Debe crear el rol en la cuenta de destino.
Siga estos pasos para crear el rol de servicio que otorga el permiso *en la cuenta de destino*.
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Elija la opción **Roles** en el panel de navegación.
1. Elija **Crear rol**. Así se abre el primer paso del proceso **Seleccionar entidad de confianza** para crear el rol.
1. Seleccione la opción **Política de confianza personalizada** en **Tipo de entidad de confianza**.
1. Copie la siguiente política de confianza JSON y péguela en el área de texto **Política de confianza personalizada** para sustituir el texto de ejemplo. Esta política de confianza permite a Generador de imágenes asumir el rol que se creó para ejecutar las acciones del ciclo de vida.
**nota**
Cuando Generador de imágenes utiliza este rol en la cuenta de destino para actuar sobre los recursos asociados que se distribuyeron entre las cuentas, actúa en nombre del propietario de la cuenta de destino. La Cuenta de AWS que configure como parte de la política de confianza es la cuenta `aws:SourceAccount` en la que Image Builder distribuyó esos recursos.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"imagebuilder.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "444455556666"
},
"StringLike": {
"aws:SourceArn": "arn:*:imagebuilder:*:*:image/*/*/*"
}
}
}
]
}
```
1. Seleccione la siguiente política administrada de la lista: **EC2ImageBuilderLifecycleExecutionPolicy** y, a continuación, elija **Siguiente**. Se abre la página **Nombrar, revisar y crear**.
**sugerencia**
Filtre por `image` para optimizar los resultados.
1. Ingrese `Ec2ImageBuilderCrossAccountLifecycleAccess` como **Nombre del rol**.
**importante**
`Ec2ImageBuilderCrossAccountLifecycleAccess` debe ser el nombre de este rol.
1. Después de revisar la configuración, elija **Crear rol**.