本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 Image Builder 的 IAM 服务相关角色 服务关联角色 EC2 Image Builder 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色,它与 Image Builder 直接相关。服务相关角色由 Image Builder 预定义,包括该服务代表您呼叫他人 AWS 服务 所需的所有权限。 服务相关角色可让您更高效地设置 Image Builder,因为您不必手动添加必要的权限。Image Builder 定义其服务相关角色的权限,除非另外定义,否则只有 Image Builder 可以代入该角色。定义的权限包括信任策略和权限策略。不能将该权限策略附加到任何其他 IAM 实体。 有关支持服务相关角色的其他服务的信息,请参阅[与 IAM 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找 **Service-Linked Role**(服务相关角色)列中显示为 **Yes**(是)的服务。请选择**是**与查看该服务的服务关联角色文档的链接。 ## Image Builder 的服务相关角色权限 Image Builder 使用**AWSServiceRoleForImageBuilder**服务相关角色允许 EC2 Image Builder 代表您访问 AWS 资源。服务相关角色信任 *imagebuilder.amazonaws.com* ​服务来代入该角色。 您无需手动创建该服务相关角色。当您在 AWS 管理控制台、或 AWS API 中创建第一个 Image Builder 映像时,Image Builder 会为您创建服务相关角色。 AWS CLI 以下操作可创建新的映像: + 在 Image Builder 控制台中运行管道向导以创建自定义映像。 + 使用以下 API 操作之一或其对应的 AWS CLI 命令: + **[CreateImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_CreateImage.html)**API 操作(**[create-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/create-image.html)**在 AWS CLI)。 + **[ImportVmImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_ImportVmImage.html)**API 操作(**[import-vm-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/import-vm-image.html)**在 AWS CLI)。 + **[StartImagePipelineExecution](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_StartImagePipelineExecution.html)**API 操作(**[start-image-pipeline-execution](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/start-image-pipeline-execution.html)**在 AWS CLI)。 **重要** 如果您的帐户已删除服务相关角色,您可以使用相同的过程重新创建它。在创建第一个 EC2 Image Builder 资源时,Image Builder 将再次为您创建服务相关角色。 要查看 **AWSServiceRoleForImageBuilder** 的权限,请参阅 [AWSServiceRoleForImageBuilder 策略](security-iam-awsmanpol.md#sec-iam-manpol-AWSServiceRoleForImageBuilder) 页面。要了解有关为服务相关角色配置权限的更多信息,请参阅 *IAM 用户指南*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。 ## 从您的账户中移除 Image Builder 服务相关角色 您可以使用 IAM 控制台 AWS CLI、或 AWS API 从您的账户中手动移除 Image Builder 的服务相关角色。但是,在执行此操作之前,必须确保未启用任何引用它的 Image Builder 资源。 **注意** 在尝试删除资源时,如果 Image Builder 服务正在使用该角色,删除可能会失败。如果发生这种情况,请等待几分钟后重试。 **清理 `AWSServiceRoleForImageBuilder` 角色使用的 Image Builder 资源** 1. 在开始操作之前,请确认没有正在运行中的任何管道构建。要取消正在运行中的构建,请使用 AWS CLI中的 `cancel-image-creation` 命令。 ``` aws imagebuilder cancel-image-creation --image-build-version-arn arn:aws:imagebuilder:us-east-1:123456789012:image-pipeline/sample-pipeline ``` 1. 将所有管道计划更改为采用手动构建流程,或者如果不再使用它们,则将其删除。有关删除资源的更多信息,请参阅 [删除过期或未使用的 Image Builder 资源](delete-resources.md)。 **使用 IAM 删除服务相关角色** 您可以使用 IAM 控制台 AWS CLI、或 AWS API 从您的账户中删除该`AWSServiceRoleForImageBuilder`角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。 ## Image Builder 服务相关角色的受支持区域 Image Builder 支持在提供服务的所有 AWS 区域中使用服务相关角色。有关支持的 AWS 区域列表,请参阅[AWS 区域和终端节点](what-is-image-builder.md#image-builder-regions)。