As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Pré-requisitos do gerenciamento do ciclo de vida de imagens do Image Builder
Antes que possa definir as políticas e regras de gerenciamento do ciclo de vida do EC2 Image Builder para seus recursos de imagem, você deve atender aos seguintes pré-requisitos.
+ Crie um perfil do IAM que conceda permissão para o Image Builder executar políticas de ciclo de vida. Você pode criar essa função de uma das seguintes formas:
+ Use a opção **Criar função de execução do ciclo de vida usando padrões de serviço** no console do Image Builder ao criar uma política de ciclo de vida. Isso cria automaticamente uma função com a política `EC2ImageBuilderLifecycleExecutionPolicy` gerenciada anexada.
+ Use a opção **Criar uma nova função de execução do ciclo** de vida no console do Image Builder, que abre o IAM com configurações pré-preenchidas para a criação de funções com um clique.
+ Crie manualmente a função no console do IAM. Para step-by-step obter instruções, consulte[Criar um perfil do IAM para o gerenciamento do ciclo de vida do Image Builder](#image-lifecycle-prereq-role).
+ Crie um perfil do IAM na conta de destino para recursos associados que foram distribuídos entre contas. O perfil concederá permissão para o Image Builder realizar ações de ciclo de vida na conta de destino para os recursos associados. Para criar o perfil, consulte [Criar um perfil do IAM para o gerenciamento do ciclo de vida entre contas do Image Builder](#image-lifecycle-prereq-cross-acct-role).
**nota**
Esse pré-requisito não se aplicará se você tiver concedido permissões de execução para uma AMI de saída. Com as permissões de execução, a conta com a qual você compartilhou o recurso será proprietária das instâncias que forem executadas diretamente da AMI compartilhada, mas todos os recursos da AMI permanecerão na sua conta.
+ Para imagens de contêiner, você deverá adicionar a seguinte tag aos seus repositórios do ECR para permitir que o Image Builder tenha acesso para executar ações de ciclo de vida nas imagens de contêiner armazenadas no repositório: `LifecycleExecutionAccess: EC2 Image Builder`.
## Criar um perfil do IAM para o gerenciamento do ciclo de vida do Image Builder
Para conceder permissão ao Image Builder para executar políticas de ciclo de vida, primeiro você deve criar o perfil do IAM que ele usa para realizar ações de ciclo de vida. Siga estas etapas para criar o perfil de serviço que concede permissão.
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Escolha **Funções** no painel de navegação.
1. Selecione **Criar perfil**. Isso abre a primeira etapa do processo, **Selecionar uma entidade confiável** para criar seu perfil.
1. Selecione a opção **Política de confiança personalizada** em **Tipo de entidade confiável**.
1. Copie a política de confiança JSON a seguir e cole na área do texto de **Política de confiança personalizada**, substituindo o texto de exemplo. Essa política de confiança permite que o Image Builder assuma o perfil que você cria para executar ações do ciclo de vida.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Effect": "Allow",
"Principal": {
"Service": [
"imagebuilder.amazonaws.com"
]
}
}
]
}
```
------
1. Selecione a seguinte política gerenciada na lista: **EC2ImageBuilderLifecycleExecutionPolicy** e escolha **Avançar**. Isso exibirá a página **Nomear, revisar e criar**.
**dica**
Filtre por `image` para otimizar os resultados.
1. Insira um nome em **Nome da função**.
1. Após revisar suas configurações, escolha **Criar perfil**.
## Criar um perfil do IAM para o gerenciamento do ciclo de vida entre contas do Image Builder
Para permitir que o Image Builder realize ações de ciclo de vida em contas de destino para recursos associados, primeiro você deve criar o perfil do IAM que ele usará para realizar ações de ciclo de vida nessas contas. É necessário criar o perfil na conta de destino.
Siga estas etapas para criar o perfil de serviço que concede permissão *na conta de destino*.
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Escolha **Funções** no painel de navegação.
1. Selecione **Criar perfil**. Isso abre a primeira etapa do processo, **Selecionar uma entidade confiável** para criar seu perfil.
1. Selecione a opção **Política de confiança personalizada** em **Tipo de entidade confiável**.
1. Copie a política de confiança JSON a seguir e cole na área do texto de **Política de confiança personalizada**, substituindo o texto de exemplo. Essa política de confiança permite que o Image Builder assuma o perfil que você cria para executar ações do ciclo de vida.
**nota**
Quando o Image Builder usa esse perfil na conta de destino para atuar nos recursos associados que foram distribuídos entre contas, ele estará agindo em nome do proprietário da conta de destino. O Conta da AWS que você configura como `aws:SourceAccount` na política de confiança é a conta em que o Image Builder distribuiu esses recursos.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"imagebuilder.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "444455556666"
},
"StringLike": {
"aws:SourceArn": "arn:*:imagebuilder:*:*:image/*/*/*"
}
}
}
]
}
```
1. Selecione a seguinte política gerenciada na lista: **EC2ImageBuilderLifecycleExecutionPolicy** e escolha **Avançar**. Isso exibirá a página **Nomear, revisar e criar**.
**dica**
Filtre por `image` para otimizar os resultados.
1. Insira `Ec2ImageBuilderCrossAccountLifecycleAccess` como o **Nome do perfil**.
**Importante**
O nome dessa função deve ser `Ec2ImageBuilderCrossAccountLifecycleAccess`.
1. Após revisar suas configurações, escolha **Criar perfil**.