本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理映像建置器映像的生命週期政策
當您建立自訂映像時,請務必規劃在映像過時之前淘汰這些映像。Image Builder 管道可以自動套用更新和安全性修補程式。不過,每個組建都會建立新的映像版本,以及其分發的所有相關資源。舊版會保留在您的帳戶中,直到您手動刪除它們,或建立指令碼來執行任務。
透過映像建置器生命週期管理政策,您可以自動化棄用、停用和刪除過期映像及其相關資源的程序。關聯的資源可以包含您已分發給其他 AWS 帳戶、組織和組織單位 (OUs輸出映像 AWS 區域。您可以定義生命週期程序中每個步驟的執行方式和時間,以及政策中要包含哪些步驟的規則。
**自動化生命週期管理的優點**
自動化生命週期管理的整體優點包括下列項目:
+ 透過自動淘汰映像和相關資源的方式,簡化自訂映像的生命週期管理。
+ 有助於防止使用過時映像來啟動新執行個體所造成的合規風險。
+ 移除過時的映像,讓映像庫存保持最新狀態。
+ 可以選擇性地移除已刪除之映像的相關聯資源,以降低儲存和資料傳輸成本。
**實現節省成本**
使用 EC2 Image Builder 建立自訂 AMI 或容器映像無需費用。不過,標準定價適用於程序中所使用的其他服務。當您從 中移除未使用或過時的映像及其相關資源時 AWS 帳戶,您可以透過下列方式節省時間和成本:
+ 當您也未修補未使用的或過時的映像時,減少修補現有映像所需的時間。
+ 對於您刪除的 AMI 映像資源,您也可以選擇移除分散式 AMIs 及其相關聯的快照。這種方法可以節省儲存快照的成本。
+ 對於您刪除的容器映像資源,您可以選擇刪除基礎資源。此方法可以節省儲存在 ECR 儲存庫中Docker映像的 Amazon ECR 儲存成本和資料傳輸率。
**注意**
Image Builder 無法評估所有可能的下游相依性的潛在影響,例如 Auto Scaling 群組或啟動範本。設定政策動作時,您必須考慮映像的下游相依性。
**Topics**
+ [
# 映像建置器映像的生命週期管理先決條件
](image-lifecycle-prerequisites.md)
+ [
# 列出映像建置器映像資源的生命週期管理政策
](list-lifecycle-policies.md)
+ [
# 檢視生命週期政策詳細資訊
](view-lifecycle-policy.md)
+ [
# 建立生命週期政策
](create-lifecycle-policies.md)
+ [
# Image Builder 映像資源的生命週期管理規則運作方式
](image-lifecycle-rules.md)
# 映像建置器映像的生命週期管理先決條件
您必須先符合下列先決條件,才能定義映像資源的 EC2 Image Builder 生命週期管理政策和規則。
+ 建立 IAM 角色,授予 Image Builder 執行生命週期政策的許可。您可以使用下列其中一種方式建立此角色:
+ 建立**生命週期政策時,請使用映像建置器主控台中的使用服務預設值建立生命週期執行角色**選項。這會自動建立已連接 `EC2ImageBuilderLifecycleExecutionPolicy`受管政策的角色。
+ 使用映像建置器主控台中的**建立新的生命週期執行角色**選項,以預先填入的設定開啟 IAM,以建立一鍵式角色。
+ 在 IAM 主控台中手動建立角色。如需逐步說明,請參閱 [為映像建置器生命週期管理建立 IAM 角色](#image-lifecycle-prereq-role)。
+ 在目的地帳戶中為跨帳戶分佈的相關聯資源建立 IAM 角色。此角色會授予許可,讓 Image Builder 在目的地帳戶中為相關聯的資源執行生命週期動作。若要建立角色,請參閱[為 Image Builder 跨帳戶生命週期管理建立 IAM 角色](#image-lifecycle-prereq-cross-acct-role)。
**注意**
如果您已授予輸出 AMI 的啟動許可,則此先決條件不適用。透過啟動許可,您共用的帳戶擁有從共用 AMI 啟動的執行個體,但所有 AMI 資源都會保留在您的帳戶中。
+ 對於容器映像,您必須將下列標籤新增至 ECR 儲存庫,以授予 Image Builder 在儲存庫中存放的容器映像上執行生命週期動作的存取權:`LifecycleExecutionAccess: EC2 Image Builder`。
## 為映像建置器生命週期管理建立 IAM 角色
若要授予 Image Builder 執行生命週期政策的許可,您必須先建立用於執行生命週期動作的 IAM 角色。請依照下列步驟建立授予許可的服務角色。
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 從導覽窗格選擇 **Roles** (角色)。
1. 選擇建**立角色**。這會開啟 程序的第一個步驟 **選取信任的實體**以建立您的角色。
1. 選取**信任實體類型的****自訂信任政策**選項。
1. 複製下列 JSON 信任政策並貼到**自訂信任政策**文字區域,取代範例文字。此信任政策可讓 Image Builder 擔任您建立的角色,以執行生命週期動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Effect": "Allow",
"Principal": {
"Service": [
"imagebuilder.amazonaws.com"
]
}
}
]
}
```
------
1. 從清單中選擇下列受管政策:**EC2ImageBuilderLifecycleExecutionPolicy**,然後選擇**下一步**。這會開啟**名稱、檢閱和建立**頁面。
**提示**
篩選 `image`以簡化結果。
1. 輸入 **Role name (角色名稱)**。
1. 檢閱設定之後,請選擇**建立角色**。
## 為 Image Builder 跨帳戶生命週期管理建立 IAM 角色
若要授予許可,讓 Image Builder 在目的地帳戶中為相關聯的資源執行生命週期動作,您必須先建立 IAM 角色,以用於在這些帳戶中執行生命週期動作。您必須在目的地帳戶中建立角色。
請依照下列步驟建立在*目的地帳戶中*授予許可的服務角色。
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 從導覽窗格選擇 **Roles** (角色)。
1. 選擇建**立角色**。這會開啟 程序的第一個步驟 **選擇信任的實體**以建立您的角色。
1. 選取**信任實體類型的****自訂信任政策**選項。
1. 複製下列 JSON 信任政策並貼到**自訂信任政策**文字區域,取代範例文字。此信任政策可讓 Image Builder 擔任您建立的角色,以執行生命週期動作。
**注意**
當 Image Builder 在目的地帳戶中使用此角色來對分散在帳戶中的相關聯資源採取行動時,它會代表目的地帳戶擁有者採取行動。您在信任政策`aws:SourceAccount`中設定為 AWS 帳戶 的 是 Image Builder 分發這些資源的帳戶。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"imagebuilder.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "444455556666"
},
"StringLike": {
"aws:SourceArn": "arn:*:imagebuilder:*:*:image/*/*/*"
}
}
}
]
}
```
1. 從清單中選擇下列受管政策:**EC2ImageBuilderLifecycleExecutionPolicy**,然後選擇**下一步**。這會開啟**名稱、檢閱和建立**頁面。
**提示**
篩選 `image`以簡化結果。
1. 輸入 `Ec2ImageBuilderCrossAccountLifecycleAccess`做為**角色名稱**。
**重要**
`Ec2ImageBuilderCrossAccountLifecycleAccess` 必須是此角色的名稱。
1. 檢閱設定之後,請選擇**建立角色**。
# 列出映像建置器映像資源的生命週期管理政策
您可以取得映像生命週期管理政策的清單,其中包含 中**生命週期政策**清單頁面上的索引鍵詳細資訊欄 AWS 管理主控台,或映像建置器 API、 SDKs或 中的命令或動作 AWS CLI。
您可以使用下列其中一種方法來列出 中的映像建置器映像生命週期政策資源 AWS 帳戶。如需 API 動作,請參閱 *EC2 Image Builder API 參考*中的 [ListLifecyclePolicies](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_ListLifecyclePolicies.html)。如需相關聯的 SDK 請求,請參閱相同頁面上的 [See Also](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_ListLifecyclePolicies.html#API_ListLifecyclePolicies_SeeAlso) 連結。
------
#### [ AWS 管理主控台 ]
下列詳細資訊會顯示在您現有政策的 主控台中。您可以選取任何資料欄來變更結果的排序順序。政策清單一開始會依**政策名稱**排序。目前排序順序的資料欄名稱為粗體。
如果您有多個結果頁面,面板右上角的分頁箭頭會變成作用中。您可以使用搜尋列,依政策名稱、政策狀態、輸出影像類型和影像資源 ARN 篩選結果。
+ **政策名稱** – 政策的名稱。
+ **政策狀態** – 政策是作用中還是非作用中。
+ **類型** – 映像建置器在建立新映像版本 (AMI 或容器映像) 時分發的輸出映像類型。
+ **上次執行日期** – 上次生命週期政策執行的時間。
+ **建立日期** – 建立生命週期政策的時間戳記。
+ **ARN** – 生命週期政策資源的 Amazon Resource Name (ARN)。
若要在 中列出生命週期政策 AWS 管理主控台,請遵循下列步驟:
1. 開啟 EC2 Image Builder 主控台,位於 [https://console.aws.amazon.com/imagebuilder/](https://console.aws.amazon.com/imagebuilder/)。
1. 從導覽窗格中選取**生命週期政策**。這會顯示您帳戶中的影像生命週期政策清單。
**可用動作**
您也可以從生命週期政策清單頁面執行**生命週期政策**的下列動作。
若要建立新的映像生命週期政策,請選擇**建立生命週期政策**。如需如何建立政策的詳細資訊,請參閱 [建立生命週期政策](create-lifecycle-policies.md)。
對於下列所有動作,您必須先選取政策。若要選取政策,您可以選取**政策名稱**旁的核取方塊。
+ 若要關閉或開啟政策,請從**動作**功能表中選取**停用政策**或**啟用政策**。
+ 若要變更政策,請從**動作**功能表中選取**編輯政策**。
+ 若要刪除政策,請從**動作**功能表中選取**刪除政策**。
+ 若要建立使用所選政策進行基準設定的新政策,請從**動作**功能表中選取**複製政策**。
------
#### [ AWS CLI ]
下列命令範例示範如何使用 AWS CLI 列出特定 的影像生命週期政策 AWS 區域。如需可搭配此命令使用的參數和選項的詳細資訊,請參閱《 命令參考》中的 [list-lifecycle-policies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/list-lifecycle-policies.html) AWS CLI 命令。
**範例**:
```
aws imagebuilder list-lifecycle-policies \
--region us-west-1
```
**輸出:**
```
{
"lifecyclePolicySummaryList": [
{
"arn": "arn:aws:imagebuilder:us-west-2:111122223333:lifecycle-policy/sample-lifecycle-policy1",
"name": "sample-lifecycle-policy1",
"status": "DISABLED",
"executionRole": "arn:aws:iam::111122223333:role/sample-lifecycle-role",
"resourceType": "AMI_IMAGE",
"dateCreated": "2023-11-07T14:57:01.603000-08:00",
"tags": {}
},
{
"arn": "arn:aws:imagebuilder:us-west-2:111122223333:lifecycle-policy/sample-lifecycle-policy2",
"name": "sample-lifecycle-policy2",
"status": "ENABLED",
"executionRole": "arn:aws:iam::111122223333:role/sample-lifecycle-role",
"resourceType": "AMI_IMAGE",
"dateCreated": "2023-09-06T10:43:21.436000-07:00",
"dateLastRun": "2023-11-13T04:43:46.106000-08:00",
"tags": {}
},
{
"arn": "arn:aws:imagebuilder:us-west-2:111122223333:lifecycle-policy/sample-lifecycle-policy3",
"name": "sample-lifecycle-policy3",
"status": "ENABLED",
"executionRole": "arn:aws:iam::111122223333:role/sample-lifecycle-role",
"resourceType": "AMI_IMAGE",
"dateCreated": "2023-10-19T15:16:40.046000-07:00",
"dateUpdated": "2023-10-21T20:07:15.958000-07:00",
"dateLastRun": "2023-11-12T09:27:45.830000-08:00"
}]}
```
**注意**
若要使用您的預設值 AWS 區域,請在沒有 `--region` 參數的情況下執行此命令。
------
# 檢視生命週期政策詳細資訊
Image Builder 主控台中的生命週期政策詳細資訊頁面包含摘要區段,並將其他資訊分組為索引標籤。頁面標題是政策的名稱。
在映像建置器主控台的生命週期政策詳細資訊頁面上,您可以檢視特定生命週期政策的詳細資訊。您也可以搭配 Image Builder API、 SDKs 或 使用命令或動作 AWS CLI ,以取得政策詳細資訊。
**Topics**
+ [
## 在映像建置器主控台中檢視生命週期政策詳細資訊
](#view-lifecycle-policy-details-console)
## 在映像建置器主控台中檢視生命週期政策詳細資訊
Image Builder 主控台中的映像詳細資訊頁面包含摘要區段,其他資訊會分組為索引標籤。頁面標題是建立映像之配方的名稱和建置版本。
**Topics**
+ [
### 摘要章節
](#view-lifecycle-policy-console-summary)
+ [
### 規則索引標籤
](#view-lifecycle-policy-console-rules-tab)
+ [
### 範圍索引標籤
](#view-lifecycle-policy-console-scope-tab)
+ [
### RunLog 標籤
](#view-lifecycle-policy-console-runlog-tab)
### 摘要章節
摘要區段跨越頁面的寬度,並包含下列詳細資訊。這些詳細資訊一律會顯示。
**政策狀態**
政策是作用中還是非作用中。
**類型**
映像建置器在建立新映像版本 (AMI 或容器映像) 時分發的輸出映像類型。
**Date created (建立日期)**
建立生命週期政策的時間戳記。
**修改日期**
上次更新生命週期政策的時間。
**上次執行日期**
生命週期政策上次執行的時間。
**IAM 角色**
Image Builder 用來執行生命週期動作的 IAM 角色。
**ARN**
生命週期政策資源的 Amazon Resource Name (ARN)。
**Description**
如果輸入,生命週期政策的描述。
### 規則索引標籤
**規則**索引標籤會顯示您為正在檢視的政策設定的生命週期規則。標籤包含下列詳細資訊:
+ **名稱** – 規則的名稱。根據您可以設定的政策動作,這些名稱是靜態的。
+ `Deprecation rule`
+ `Disable rule`
+ `Deletion rule`
+ **規則** – 為規則設定之動作的簡短描述。
+ **規則條件** – 列出相關資源處理的組態、規則的例外狀況,以及適用的保留設定。
如需規則組態的詳細資訊,請參閱 [生命週期規則的運作方式](image-lifecycle-rules.md)。
### 範圍索引標籤
**範圍**索引標籤會顯示針對您正在檢視的政策所設定的資源選擇條件。標籤包含下列詳細資訊:
+ **篩選條件:*篩選條件類型*** – 您用來定義範圍的篩選條件類型。篩選條件類型可以是下列其中一項:
+ `recipes` – 用於建立生命週期政策套用之映像的配方。
+ `tags` – Image Builder 用來選取生命週期政策套用之映像資源的一組標籤。
+ 搜尋列 – 您可以依**名稱**篩選清單,以簡化在索引標籤中顯示的結果。
+ **名稱** – 每一列都包含您已為篩選條件設定的名稱或標籤。
+ **版本** – 如果您已設定配方篩選條件,映像建置器會顯示配方版本。
### RunLog 標籤
每次您為設定的資源執行政策時,Image Builder 都會儲存執行時間詳細資訊。資料表中的每一列代表單一執行時間執行個體。標籤包含下列詳細資訊:
+ **執行 ID** – 識別生命週期政策執行期執行個體。
+ **執行狀態** – 報告政策動作目前是否正在執行、成功執行、失敗或取消的執行期狀態。
+ **資源受影響** – 指出執行時間執行個體是否已識別生命週期動作的任何映像資源。
+ **開始日期** – 執行時間執行個體啟動時的時間戳記。
+ **結束日期** – 執行時間執行個體結束時的時間戳記。
# 建立生命週期政策
當您建立新的 EC2 Image Builder 生命週期政策時,組態取決於政策的目標映像類型。為 AMI 映像資源和容器映像資源建立生命週期政策的 API 動作相同 ([CreateLifecyclePolicy](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_CreateLifecyclePolicy.html))。不過,映像資源和相關聯資源的組態不同。本節說明如何為兩者建立生命週期管理政策。
**注意**
建立生命週期政策之前,請確定您已符合所有 [先決條件](image-lifecycle-prerequisites.md)。
## 建立映像建置器 AMI 映像資源的生命週期管理政策
您可以使用下列其中一種方法來使用 AWS 管理主控台 或 建立 AMI 映像生命週期政策 AWS CLI。您也可以使用 [CreateLifecyclePolicy](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_CreateLifecyclePolicy.html) API 動作。如需相關聯的 SDK 請求,請參閱 *EC2 Image Builder API 參考*中該命令的 [See Also](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_CreateLifecyclePolicy.html#API_CreateLifecyclePolicy_SeeAlso) 連結。
------
#### [ AWS 管理主控台 ]
若要在 中為 AMI 映像資源建立生命週期政策 AWS 管理主控台,請遵循下列步驟:
1. 開啟 EC2 Image Builder 主控台,位於 [https://console.aws.amazon.com/imagebuilder/](https://console.aws.amazon.com/imagebuilder/)。
1. 從導覽窗格中選擇**生命週期政策**。
1. 選擇**建立生命週期政策**。
1. 設定下列程序所述的政策設定。
1. 若要在設定好設定後建立生命週期政策,請選擇**建立政策**。
為您的政策設定**一般**設定。
1. 從**政策類型**中選取 **AMI** 選項。
1. 輸入**政策名稱**。
1. 選擇性地輸入生命週期政策的**描述**。
1. 啟用****預設為開啟。預設設定會啟用生命週期政策,並立即將其新增至排程。若要建立最初停用的政策,您可以關閉**啟用**。
1. 針對 **IAM 角色**,選取下列其中一個選項:
+ **使用服務預設值建立生命週期執行角色** – 產生已連接 `EC2ImageBuilderLifecycleExecutionPolicy`受管政策的預先設定角色。如果您沒有特定的自訂許可要求,建議使用此選項。
+ **選擇現有角色** – 從下拉式清單中選取現有 IAM 角色。清單會篩選掉與生命週期政策執行不相容的服務連結角色 (SLRs)。
+ **建立新的生命週期執行角色** – 使用預先填入的信任政策和生命週期執行政策設定開啟 IAM 主控台,以建立一鍵式角色。如需逐步說明,請參閱 [為映像建置器生命週期管理建立 IAM 角色](image-lifecycle-prerequisites.md#image-lifecycle-prereq-role)。
**注意**
服務連結角色與生命週期政策執行不相容,且會自動從角色選擇中篩選。如果您先前已使用服務連結角色建立生命週期政策,您可以更新政策以使用相容的執行角色。
設定政策的**規則範圍**。
本節會根據您使用的篩選條件類型,設定生命週期政策的資源選擇。
1. **篩選條件類型:配方** – 若要根據建立資源的配方將生命週期規則套用至映像資源,請為政策選取最多 50 個配方版本。您可以使用分割面板瀏覽器來搜尋配方並選取特定版本。
您也可以針對語意版本使用萬用字元模式,以單一政策鎖定配方的多個版本。支援下列萬用字元模式:
+ `x.x.x` – 符合配方的所有版本。
+ `1.x.x` – 符合主要版本 1 中的所有次要和修補程式版本。
+ `1.0.x` – 符合 1.0 版中的所有修補程式版本。
萬用字元模式會在執行時解析為所有相符的配方版本。這表示在您設定政策之後建立的新配方版本會自動包含在下一個排定的執行中。
**注意**
在政策執行開始後建立或刪除的配方版本,在下一次排程執行之前不會包含在內。
1. **篩選條件類型:標籤** – 若要根據資源標籤將生命週期規則套用至影像資源,請輸入最多 50 個索引鍵值對的清單,讓政策相符。Image Builder 透過標籤掃描探索資源,並將生命週期規則套用至相符的資源。
**注意**
在政策執行開始之後標記或未標記的資源,在下一次排程執行之前都不會包含在內。
為您的政策設定**排除規則** (選用)。
排除規則定義生命週期規則的例外狀況。符合排除規則指定條件的資源會從生命週期動作中排除。
1. 對於 AMI 映像政策,您可以設定下列 AMI 排除規則:
+ **排除公AMIs** – 選取此選項可將公有 AMIs 從生命週期動作中排除。
+ **依區域排除 AMIs ** – 指定 AWS 區域 以從生命週期動作中排除。
+ **排除與帳戶共用AMIs ** – 指定 AWS 帳戶 其共用 AMIs 應從生命週期動作中排除。
+ **排除最近啟動AMIs** – 指定排除最近用來啟動執行個體AMIs 的期間。
+ **依標籤排除 AMIs ** – 指定應從生命週期動作排除的 AMIs 標籤。
1. 對於標籤型映像建置器映像政策,您可以指定映像建置器映像資源的標籤,這些資源應從生命週期動作中排除。
開啟下列一或多個**生命週期規則**,以套用至生命週期政策選取的資源。如果資源在政策執行時符合多個生命週期規則,Image Builder 會依照下列順序執行規則動作:1) 棄用、2) 停用、3) 刪除。
**棄用規則**
將映像建置器映像資源狀態設定為 `Deprecated`。映像建置器管道仍會針對已棄用映像執行。您可以選擇性地為相關聯的 AMIs 設定棄用時間,而不會影響您啟動新執行個體的能力。
+ **單位計數** – 指定在建立映像資源之後,必須經過一段時間的整數值,然後再將其標記為 `Deprecated`。
+ **單位** – 選取要使用的時間範圍。範圍可以是 `Days`、`Months`、 `Weeks`或 `Years`。
+ **棄用 AMIs** – 選取核取方塊,將相關聯的 Amazon EC2 AMIs 標示為棄用日期。AMIs 仍然可用,您仍然可以從它們啟動新的執行個體。
**停用規則**
將映像建置器映像資源狀態設定為 `Disabled`。這可防止映像建置器管道針對此映像執行 。您可以選擇性地停用相關聯的 AMI,以防止新的執行個體啟動。
+ **單位計數** – 指定在建立映像資源之後,必須經過一段時間的整數值,然後再將其標記為 `Disabled`。
+ **單位** – 選取要使用的時間範圍。範圍可以是 `Days`、`Months`、 `Weeks`或 `Years`。
+ **停用 AMIs** – 選取核取方塊以停用相關聯的 Amazon EC2 AMIs。您無法再使用 AMIs或從中啟動新的執行個體。
**刪除規則**
依存留期或計數刪除映像資源。您可以定義符合您需求的閾值。當映像建置器映像資源通過閾值時,就會將其移除。您可以選擇性地取消註冊關聯的 AMIs,或刪除這些 AMIs快照。您也可以為要保留的資源指定超過閾值的標籤。
當您依存留期設定**刪除規則**時,映像建置器會在您設定的一段時間後刪除映像資源。例如,在 6 個月後刪除映像資源。當您依計數設定 時,Image Builder 會保留您指定的最近影像數量,或盡可能接近該數量,並刪除較早的版本。
+
**依年齡**
+ **單位計數** – 指定在建立映像資源之後,在刪除之前必須經過的期間整數值。
+ **單位** – 選取要使用的時間範圍。範圍可以是 `Days`、`Months`、 `Weeks`或 `Years`。
+ **每個配方至少保留一個映像** – 選取核取方塊,以保留此規則影響的每個配方版本的最新可用映像資源。
**依計數**
+ **映像計數** – 為每個配方版本要保留的最近映像資源數量指定整數值。
+ **取消註冊 AMIs** – 選取核取方塊以取消註冊相關聯的 Amazon EC2 AMIs。您無法再使用 AMIs或從中啟動新的執行個體。
+ **使用關聯的標籤保留映像、AMIs 和快照** – 選取核取方塊,以輸入您要保留之映像資源的標籤清單。標籤適用於映像資源和 Amazon EC2 AMIs。您最多可以輸入 50 個鍵值對。
**標籤 (選用)**
將標籤新增至您的生命週期政策。
------
#### [ AWS CLI ]
若要建立新的映像建置器生命週期政策,您可以在 中使用 **[create-lifecycle-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/create-lifecycle-policy.html)**命令 AWS CLI。
------
## 為映像建置器容器映像資源建立生命週期管理政策
您可以使用下列其中一種方法來使用 AWS 管理主控台 或 建立容器映像生命週期政策 AWS CLI。您也可以使用 [CreateLifecyclePolicy](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_CreateLifecyclePolicy.html) API 動作。如需相關聯的 SDK 請求,請參閱 *EC2 Image Builder API 參考*中該命令的 [See Also](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_CreateImage.html#API_CreateLifecyclePolicy_SeeAlso) 連結。
------
#### [ AWS 管理主控台 ]
若要在 中建立容器映像資源的生命週期政策 AWS 管理主控台,請遵循下列步驟:
1. 開啟 EC2 Image Builder 主控台,位於 [https://console.aws.amazon.com/imagebuilder/](https://console.aws.amazon.com/imagebuilder/)。
1. 從導覽窗格中選擇**生命週期政策**。
1. 選擇**建立生命週期政策**。
1. 設定下列程序所述的政策設定。
1. 若要在設定好設定後建立生命週期政策,請選擇**建立政策**。
**政策組態:一般設定**
為您的政策設定**一般**設定。
1. 從**政策類型**中選取**容器映像**選項。
1. 輸入**政策名稱**。
1. 選擇性地輸入生命週期政策的**描述**。
1. 啟用****預設為開啟。預設設定會啟用生命週期政策,並立即將其新增至排程。若要建立最初停用的政策,您可以關閉**啟用**。
1. 針對 **IAM 角色**,選取下列其中一個選項:
+ **使用服務預設值建立生命週期執行角色** – 產生已連接 `EC2ImageBuilderLifecycleExecutionPolicy`受管政策的預先設定角色。如果您沒有特定的自訂許可要求,建議使用此選項。
+ **選擇現有角色** – 從下拉式清單中選取現有的 IAM 角色。清單會篩選出與生命週期政策執行不相容的服務連結角色 (SLRs)。
+ **建立新的生命週期執行角色** – 使用預先填入的信任政策和生命週期執行政策設定開啟 IAM 主控台,以建立一鍵式角色。如需逐步說明,請參閱 [為映像建置器生命週期管理建立 IAM 角色](image-lifecycle-prerequisites.md#image-lifecycle-prereq-role)。
**注意**
服務連結角色與生命週期政策執行不相容,且會自動從角色選擇中篩選。如果您先前已使用服務連結角色建立生命週期政策,您可以更新政策以使用相容的執行角色。
設定政策的**規則範圍**。
本節會根據您使用的篩選條件類型,設定生命週期政策的資源選擇。
1. **篩選條件類型:配方** – 若要根據建立資源的配方將生命週期規則套用至映像資源,請為政策選取最多 50 個配方版本。您可以使用分割面板瀏覽器來搜尋配方並選取特定版本。
您也可以針對語意版本使用萬用字元模式,以單一政策鎖定配方的多個版本。支援下列萬用字元模式:
+ `x.x.x` – 符合配方的所有版本。
+ `1.x.x` – 符合主要版本 1 中的所有次要和修補程式版本。
+ `1.0.x` – 符合 1.0 版中的所有修補程式版本。
萬用字元模式會在執行時解析為所有相符的配方版本。這表示在您設定政策之後建立的新配方版本會自動包含在下一個排定的執行中。
**注意**
在政策執行開始後建立或刪除的配方版本,在下一次排程執行之前不會包含在內。
1. **篩選條件類型:標籤** – 若要根據資源標籤將生命週期規則套用至影像資源,請輸入最多 50 個索引鍵值對的清單,讓政策相符。Image Builder 透過標籤掃描探索資源,並將生命週期規則套用至相符的資源。
**注意**
在政策執行開始之後標記或未標記的資源,在下一次排程執行之前都不會包含在內。
為您的政策設定**排除規則** (選用)。
排除規則定義生命週期規則的例外狀況。符合排除規則指定條件的資源會從生命週期動作中排除。
1. 對於 AMI 映像政策,您可以設定下列 AMI 排除規則:
+ **排除公AMIs** – 選取此選項可將公有 AMIs 從生命週期動作中排除。
+ **依區域排除 AMIs ** – 指定 AWS 區域 以從生命週期動作中排除。
+ **排除與帳戶共用AMIs ** – 指定 AWS 帳戶 其共用 AMIs 應從生命週期動作中排除。
+ **排除最近啟動AMIs** – 指定排除最近用來啟動執行個體AMIs 的期間。
+ **依標籤排除 AMIs ** – 指定應從生命週期動作排除的 AMIs 標籤。
1. 對於標籤型映像建置器映像政策,您可以指定映像建置器映像資源的標籤,這些資源應從生命週期動作中排除。
**刪除規則**
對於容器映像,此規則會刪除映像建置器容器映像資源。您可以選擇性地移除分發給 ECR 儲存庫的 Docker 映像,以防止它們用於執行新的容器。
當您依存留期設定**刪除規則**時,映像建置器會在您設定的一段時間後刪除映像資源。例如,在 6 個月後刪除映像資源。當您依計數設定 時,Image Builder 會保留您指定的最近影像數量,或盡可能接近該數量,並刪除較早的版本。
+
**依年齡**
+ **單位計數** – 指定在建立映像資源之後,在刪除之前必須經過的期間整數值。
+ **單位** – 選取要使用的時間範圍。範圍可以是 `Days`、`Months`、 `Weeks`或 `Years`。
+ **保留至少一個映像** – 選取核取方塊,僅保留此規則影響的每個配方版本的最新可用映像資源。
**依計數**
+ **映像計數** – 為每個配方版本要保留的最近映像資源數量指定整數值。
+ **刪除 ECR 容器映像** – 選取核取方塊,以刪除存放在 ECR 儲存庫中的相關聯容器映像。您無法再使用容器映像做為建立新映像或執行新容器的基礎。
+ **使用關聯的標籤保留映像** – 選取核取方塊,以輸入您要保留之映像資源的標籤清單。
**標籤 (選用)**
將標籤新增至您的生命週期政策。
------
#### [ AWS CLI ]
若要建立新的映像建置器生命週期政策,您可以在 中使用 **[create-lifecycle-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/create-lifecycle-policy.html)**命令 AWS CLI。
------
# Image Builder 映像資源的生命週期管理規則運作方式
映像生命週期政策會使用您定義的生命週期規則來實作整體資源管理策略。您定義的規則有助於確保可用映像的新鮮度,並將基礎基礎設施的成本降至最低,例如輸出 AMIs的快照儲存體,或容器映像的 ECR 儲存庫儲存體和資料傳輸率。
您可以為政策設定下列類型的規則。
**棄用規則**
將映像建置器映像資源狀態設定為 `Deprecated`。映像建置器管道仍會針對已棄用映像執行。您可以選擇性地為相關聯的 AMIs 設定棄用時間,而不會影響您啟動新執行個體的能力。
棄用 AMI 時,一般搜尋會予以忽略。例如,如果您在 中執行 Amazon EC2 **describe-images**命令 AWS CLI,則不會在結果集中傳回已取代的 AMIs。不過,您仍然可以找到具有其 AMIs ID 的已棄用 AMI。
*此規則不適用於容器映像。*
**停用規則**
將映像建置器映像資源狀態設定為 `Disabled`。這可防止映像建置器管道針對此映像執行 。您可以選擇性地停用相關聯的 AMI,以防止新的執行個體啟動。
停用 AMI 時,它會變成私有,無法用來啟動新的執行個體。如果您與任何帳戶、組織或組織單位共用 AMI,它們會在私有時失去對 AMI 的存取權。
*此規則不適用於容器映像。*
**刪除規則**
依存留期或計數刪除映像資源。您可以定義符合您需求的閾值。當映像建置器映像資源通過閾值時,就會將其移除。您可以選擇性地取消註冊關聯的 AMIs,或刪除這些 AMIs快照。您也可以為要保留的資源指定超過閾值的標籤。
對於容器映像,此規則會刪除映像建置器容器映像資源。您可以選擇性地移除分佈至 ECR 儲存庫的容器映像,以防止它們用於執行新的容器。
**Topics**
+ [
## AMI 生命週期排除規則
](#image-lifecle-rules-exclusions)
+ [
## 檢視政策的生命週期管理規則詳細資訊
](#image-lifecycle-rule-view)
## AMI 生命週期排除規則
下列排除規則定義 AMIs 生命週期規則的例外狀況。符合排除規則指定條件的 AMIs 會從生命週期動作中排除。您可以在 AWS 管理主控台 中或使用 API 和 來設定排除規則 AWS CLI。
下列術語使用來自 `[LifecyclePolicyDetailExclusionRules](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_LifecyclePolicyDetailExclusionRules.html)`資料類型的 API 表示法。排除規則
amis
包含以下清單中`LifecyclePolicyDetailExclusionRulesAmis`顯示的 中的設定。
tagMap
您可以提供最多 50 個標籤的清單,這些標籤會略過任何類型的資源的生命週期動作。
下列術語使用來自 `[LifecyclePolicyDetailExclusionRulesAmis](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_LifecyclePolicyDetailExclusionRulesAmis.html)`資料類型的 API 表示法。AMI 排除規則
isPublic
設定是否從生命週期動作中排除公有 AMIs。
lastLaunched
指定 Image Builder 的組態詳細資訊,以從生命週期動作中排除最新的資源。
區域
從生命週期動作中 AWS 區域 排除的設定。
sharedAccounts
指定從生命週期動作中排除 AWS 帳戶 哪些資源。
tagMap
列出應該從具有標籤的 AMIs的標籤。
## 檢視政策的生命週期管理規則詳細資訊
規則會在您為映像建置器映像資源建立的生命週期管理政策中定義。在 主控台中,生命週期政策詳細資訊頁面具有[規則索引標籤](view-lifecycle-policy.md#view-lifecycle-policy-console-rules-tab)顯示您為政策設定之規則詳細資訊的 。
若要在 中取得政策詳細資訊 AWS CLI,您可以執行 [get-lifecycle-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/get-lifecycle-policy.html) 命令。回應中的政策詳細資訊包含您為政策定義的動作 (規則) 清單,其中包含所有設定的設定。