本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 映像建置器映像的生命週期管理先決條件
您必須先符合下列先決條件,才能定義映像資源的 EC2 Image Builder 生命週期管理政策和規則。
+ 建立 IAM 角色,授予 Image Builder 執行生命週期政策的許可。您可以使用下列其中一種方式建立此角色:
+ 建立**生命週期政策時,請使用映像建置器主控台中的使用服務預設值建立生命週期執行角色**選項。這會自動建立已連接 `EC2ImageBuilderLifecycleExecutionPolicy`受管政策的角色。
+ 使用映像建置器主控台中的**建立新的生命週期執行角色**選項,以預先填入的設定開啟 IAM,以建立一鍵式角色。
+ 在 IAM 主控台中手動建立角色。如需逐步說明,請參閱 [為映像建置器生命週期管理建立 IAM 角色](#image-lifecycle-prereq-role)。
+ 在目的地帳戶中為跨帳戶分佈的相關聯資源建立 IAM 角色。此角色會授予許可,讓 Image Builder 在目的地帳戶中為相關聯的資源執行生命週期動作。若要建立角色,請參閱[為 Image Builder 跨帳戶生命週期管理建立 IAM 角色](#image-lifecycle-prereq-cross-acct-role)。
**注意**
如果您已授予輸出 AMI 的啟動許可,則此先決條件不適用。透過啟動許可,您共用的帳戶擁有從共用 AMI 啟動的執行個體,但所有 AMI 資源都會保留在您的帳戶中。
+ 對於容器映像,您必須將下列標籤新增至 ECR 儲存庫,以授予 Image Builder 在儲存庫中存放的容器映像上執行生命週期動作的存取權:`LifecycleExecutionAccess: EC2 Image Builder`。
## 為映像建置器生命週期管理建立 IAM 角色
若要授予 Image Builder 執行生命週期政策的許可,您必須先建立用於執行生命週期動作的 IAM 角色。請依照下列步驟建立授予許可的服務角色。
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 從導覽窗格選擇 **Roles** (角色)。
1. 選擇建**立角色**。這會開啟 程序的第一個步驟 **選取信任的實體**以建立您的角色。
1. 選取**信任實體類型的****自訂信任政策**選項。
1. 複製下列 JSON 信任政策並貼到**自訂信任政策**文字區域,取代範例文字。此信任政策可讓 Image Builder 擔任您建立的角色,以執行生命週期動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Effect": "Allow",
"Principal": {
"Service": [
"imagebuilder.amazonaws.com"
]
}
}
]
}
```
------
1. 從清單中選擇下列受管政策:**EC2ImageBuilderLifecycleExecutionPolicy**,然後選擇**下一步**。這會開啟**名稱、檢閱和建立**頁面。
**提示**
篩選 `image`以簡化結果。
1. 輸入 **Role name (角色名稱)**。
1. 檢閱設定之後,請選擇**建立角色**。
## 為 Image Builder 跨帳戶生命週期管理建立 IAM 角色
若要授予許可,讓 Image Builder 在目的地帳戶中為相關聯的資源執行生命週期動作,您必須先建立 IAM 角色,以用於在這些帳戶中執行生命週期動作。您必須在目的地帳戶中建立角色。
請依照下列步驟建立在*目的地帳戶中*授予許可的服務角色。
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 從導覽窗格選擇 **Roles** (角色)。
1. 選擇建**立角色**。這會開啟 程序的第一個步驟 **選擇信任的實體**以建立您的角色。
1. 選取**信任實體類型的****自訂信任政策**選項。
1. 複製下列 JSON 信任政策並貼到**自訂信任政策**文字區域,取代範例文字。此信任政策可讓 Image Builder 擔任您建立的角色,以執行生命週期動作。
**注意**
當 Image Builder 在目的地帳戶中使用此角色來對分散在帳戶中的相關聯資源採取行動時,它會代表目的地帳戶擁有者採取行動。您在信任政策`aws:SourceAccount`中設定為 AWS 帳戶 的 是 Image Builder 分發這些資源的帳戶。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"imagebuilder.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "444455556666"
},
"StringLike": {
"aws:SourceArn": "arn:*:imagebuilder:*:*:image/*/*/*"
}
}
}
]
}
```
1. 從清單中選擇下列受管政策:**EC2ImageBuilderLifecycleExecutionPolicy**,然後選擇**下一步**。這會開啟**名稱、檢閱和建立**頁面。
**提示**
篩選 `image`以簡化結果。
1. 輸入 `Ec2ImageBuilderCrossAccountLifecycleAccess`做為**角色名稱**。
**重要**
`Ec2ImageBuilderCrossAccountLifecycleAccess` 必須是此角色的名稱。
1. 檢閱設定之後,請選擇**建立角色**。