本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用映像建置器的 IAM 服務連結角色
EC2 Image Builder 使用 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Image Builder 的唯一 IAM 角色類型。服務連結角色由 Image Builder 預先定義,並包含服務 AWS 服務 代表您呼叫其他 所需的所有許可。
服務連結角色可讓設定 Image Builder 更有效率,因為您不必手動新增必要的許可。Image Builder 定義其服務連結角色的許可,除非另有定義,否則只有 Image Builder 可以擔任其角色。已定義的許可包括信任政策和許可政策。許可原則無法附加到其他任何 IAM 實體。
如需有關支援服務連結角色的其他 服務的資訊,請參閱[AWS 服務 該使用 IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並在**服務連結角色**欄中尋找具有**是**的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## Image Builder 的服務連結角色許可
Image Builder 使用**AWSServiceRoleForImageBuilder**服務連結角色,以允許 EC2 Image Builder 代表您存取 AWS 資源。服務連結角色信任 *imagebuilder.amazonaws.com* 服務擔任該角色。
您不需要手動建立這個服務連結角色。當您在 AWS 管理主控台、 AWS CLI或 AWS API 中建立第一個映像建置器映像時,映像建置器會為您建立服務連結角色。
下列動作會建立新的映像:
+ 在映像建置器主控台中執行管道精靈,以建立自訂映像。
+ 使用下列其中一個 API 動作,或其對應的 AWS CLI 命令:
+ **[CreateImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_CreateImage.html)** API 動作 (**[create-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/create-image.html)** 中的 AWS CLI)。
+ **[ImportVmImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_ImportVmImage.html)** API 動作 (**[import-vm-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/import-vm-image.html)** 中的 AWS CLI)。
+ **[StartImagePipelineExecution](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_StartImagePipelineExecution.html)** API 動作 (**[start-image-pipeline-execution](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/start-image-pipeline-execution.html)** 中的 AWS CLI)。
**重要**
如果已從您的帳戶刪除服務連結角色,您可以使用相同的程序再次建立該角色。當您建立第一個 EC2 Image Builder 資源時,Image Builder 會再次為您建立服務連結角色。
若要查看 的許可**AWSServiceRoleForImageBuilder**,請參閱 [AWSServiceRoleForImageBuilder 政策](security-iam-awsmanpol.md#sec-iam-manpol-AWSServiceRoleForImageBuilder)頁面。若要進一步了解如何設定服務連結角色的許可,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 從您的帳戶移除 Image Builder 服務連結角色
您可以使用 IAM 主控台 AWS CLI、 或 AWS API,從您的帳戶手動移除 Image Builder 的服務連結角色。不過,在執行此操作之前,您必須確保未啟用任何參考它的映像建置器資源。
**注意**
如果 Image Builder 服務在您嘗試刪除資源時使用角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**清除`AWSServiceRoleForImageBuilder`角色使用的映像建置器資源**
1. 開始之前,請確認沒有任何管道建置正在執行。若要取消執行中的組建,請使用 中的 `cancel-image-creation`命令 AWS CLI。
```
aws imagebuilder cancel-image-creation --image-build-version-arn {{arn:aws:imagebuilder:us-east-1:123456789012:image-pipeline/sample-pipeline}}
```
1. 變更所有管道排程以使用手動建置程序,如果您不會再次使用它們,請將其刪除。如需刪除資源的詳細資訊,請參閱 [刪除過期或未使用的映像建置器資源](delete-resources.md)。
**使用 IAM 刪除服務連結角色**
您可以使用 IAM 主控台 AWS CLI、 或 AWS API,從您的帳戶刪除`AWSServiceRoleForImageBuilder`角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Image Builder 服務連結角色支援的區域
Image Builder 支援在所有提供服務的 AWS 區域中使用服務連結角色。如需支援的 AWS 區域清單,請參閱 [AWS 區域和端點](what-is-image-builder.md#image-builder-regions)。