Systèmes d'exploitation pris en charge pour l'importation d'images de disque ISO Conditions préalables Paramètres d'importation facultatifs Importer une image de disque ISO dans Image Builder Lancer une instance à partir de l'AMI de sortie Configuration réseau minimale requise pour les VPC privés Étapes suivantes Résoudre les problèmes d'importation d'images de disque ISO

Importez des images de disque ISO Windows vérifiées avec Image Builder

Un fichier ISO du système d'exploitation Windows est un fichier image disque qui contient le package d'installation complet pour une version spécifique du système d'exploitation Windows. Microsoft fournit des fichiers ISO officiels du système d'exploitation Windows à télécharger, soit directement depuis son site Web, soit par l'intermédiaire de revendeurs agréés. Pour éviter les logiciels malveillants potentiels ou les versions non autorisées, procurez-vous les fichiers ISO auprès d'une source fiable et légitime.

EC2 Image Builder utilise build-image-from-iso le flux de travail d'importation pour importer le fichier disque ISO et créer un volume secondaire à partir de celui-ci. Une fois la configuration terminée, Image Builder prend un instantané du volume créé lors de l'importation et l'utilise pour créer une Amazon Machine Image (AMI).

Systèmes d'exploitation pris en charge pour l'importation d'images de disque ISO

Image Builder prend en charge les images de disque ISO suivantes du système d'exploitation Windows :

Windows 11 Entreprise version 25H2 (x64)
Windows 11 Entreprise version 24H2 (x64)
Windows 11 Entreprise version 23H2 (x64)

Image Builder ne prend pas en charge les images de disque ISO suivantes du système d'exploitation Windows :

Long-Term Images du canal de maintenance (LTSC)
Images de disque ISO créées à partir de l'outil de création Windows Media
Images d'évaluation

Conditions préalables à l'importation d'une image disque ISO

Note

Au cours du processus d'importation, l'instance de build télécharge AWS les pilotes, EC2Launch v2 et l'agent Systems Manager depuis Amazon S3, et Microsoft Defender depuis l'Internet public. Ces composants sont préinstallés sur l'AMI de sortie. L'instance de build communique également avec Amazon EC2, Amazon CloudWatch Logs et les API SSM.

Si votre VPC n'y figure pasus-east-1, l'instance de build nécessite un accès Internet public (par exemple, via une passerelle NAT) pour télécharger AWS les pilotes depuis le point de terminaison Amazon S3 mondial (ec2-windows-drivers-downloads.s3.amazonaws.com). Sans accès public à Internet, ces téléchargements échouent et le processus d'importation échoue.

Si votre VPC est connectéus-east-1, le point de terminaison Amazon S3 Gateway est suffisant pour télécharger les pilotes. Aucune passerelle NAT n'est nécessaire pour télécharger les pilotes.

Microsoft Defender nécessite toutefois un accès public à Internet pour le téléchargement, quelle que soit la région. Si l'instance de build n'a pas accès à Internet, l'importation réussit tout de même, mais Microsoft Defender n'est pas installé sur l'AMI de sortie.

Pour obtenir la liste des points de terminaison VPC et des URL S3 minimaux requis, consultez. Configuration réseau minimale requise pour les VPC privés

Pour importer une image disque ISO, vous devez remplir les conditions préalables suivantes :

Le système d'exploitation de l'image disque doit être compatible avec Image Builder. Pour obtenir la liste des systèmes d'exploitation pris en charge, consultezSystèmes d'exploitation pris en charge pour l'importation d'images de disque ISO.
Pour être sûr de pouvoir importer votre image ISO, téléchargez-la depuis le centre d'administration Microsoft 365.
Vous devez télécharger votre fichier de disque ISO sur Amazon S3 au même Compte AWS Région AWS endroit où l'importation s'exécute avant de pouvoir exécuter le processus d'importation.
L'extension de fichier distingue les majuscules et minuscules pour le processus d'importation et doit l'être.ISO. Si l'extension de votre fichier est en minuscules, exécutez l'une des commandes suivantes pour le renommer :
Command
```
aws s3 cp s3://amzn-s3-demo-bucket/Win11_24H2_English.iso s3://amzn-s3-demo-bucket/Win11_24H2_English.ISO
```
PowerShell
```
Copy-S3Object -BucketName amzn-s3-demo-bucket -Key Win11_24H2_English.iso -DestinationKey Win11_24H2_English.ISO
```
Les licences Microsoft ne sont pas automatiquement incluses dans l'importation. Vous devez apporter votre propre licence (BYOL). Pour plus d'informations sur les licences pour les logiciels Microsoft, consultez la section Licences sur la page Amazon Web Services et les questions fréquemment posées par Microsoft.
Le processus d'importation utilise deux rôles IAM distincts :
Rôle d'exécution

Ce rôle autorise Image Builder à appeler Services AWS en votre nom. Vous pouvez spécifier le rôle AWSServiceRoleForImageBuilderlié au service, qui inclut les autorisations nécessaires pour le rôle d'exécution, ou vous pouvez créer votre propre rôle.

Rôle du profil d'instance
Ce rôle autorise les actions que le service effectue sur l'instance EC2. Vous pouvez spécifier un rôle de profil d'instance dans votre ressource de configuration d'infrastructure. Associez les politiques gérées suivantes à votre rôle de profil d'instance pour vous assurer que vous disposez de toutes les autorisations nécessaires au processus d'importation :
EC2InstanceProfileForImageBuilder

AmazonSSMManagedInstanceCore
Pour de plus amples informations, veuillez consulter Gérer la configuration de l'infrastructure Image Builder.

Paramètres d'importation facultatifs

Vous pouvez éventuellement configurer les paramètres suivants lorsque vous importez une image disque ISO. Ces paramètres contrôlent le démarrage sécurisé, les données UEFI et la sélection de l'index d'image pour l'image importée.

Démarrage sécurisé

Le démarrage sécurisé est une fonctionnalité de sécurité UEFI qui garantit que seuls les logiciels fiables s'exécutent pendant le processus de démarrage. Par défaut, le démarrage sécurisé est activé pour les importations d'images de disque ISO. Vous pouvez désactiver le démarrage sécurisé si vous devez utiliser des pilotes personnalisés non signés à des fins de test ou de compatibilité avec les applications existantes.

Données UEFI personnalisées

Vous pouvez fournir un blob de données UEFI personnalisé sous forme de Base64-encoded chaîne à utiliser pendant le processus de démarrage au lieu des données UEFI par défaut générées par Image Builder. Vous ne pouvez spécifier des données UEFI personnalisées que lorsque le démarrage sécurisé est activé (par défaut). Les données ne peuvent pas dépasser 64 Ko.

Vous pouvez inspecter et modifier les données UEFI à l'aide de l'outil python-uefivars sur le site Web. GitHub Pour plus d'informations, consultez la section Variables UEFI pour les instances Amazon EC2.

Index des images

Un fichier ISO Windows peut contenir un .wim fichier contenant plusieurs index d'image, chaque index représentant une édition Windows différente (par exemple, Home ou Pro). Par défaut, Image Builder utilise le premier index d'image valide du fichier ISO. Vous pouvez spécifier un index d'image basé sur un seul pour sélectionner une édition spécifique à partir d'un fichier ISO multi-éditions.

Importer une image de disque ISO dans Image Builder

Avant de commencer le processus d'importation, assurez-vous que vous avez satisfait à tous lesConditions préalables.

Le processus d'importation installe les logiciels et pilotes suivants sur votre image :

EC2Launch v2
AWS Systems Manager agent
AWS pilote NVMe
AWS pilote réseau ENA
AWS Pilote série PCI
Pilote utilitaire Windows EC2
Kit de mise à jour Microsoft Defender

Le processus d'importation effectue les mises à jour de configuration suivantes sur votre image :

Configure le système pour qu'il utilise le serveur Amazon Time.

Choisissez un onglet pour afficher les étapes d'importation correspondant à votre méthode préférée :

Console

Pour importer une image disque ISO à l'aide de la console Image Builder, procédez comme suit :

Ouvrez la console https://console.aws.amazon.com/imagebuilder/EC2 Image Builder à l'adresse.
Choisissez Images dans le volet de navigation.
Pour ouvrir la boîte de dialogue d'importation, choisissez Importer une image.
Entrez les informations générales suivantes :
- Spécifiez un nom unique pour votre image.
- Spécifiez une version pour l'image de base. Utilisez le format suivant : major.minor.patch.
Choisissez le type d'importation : importation ISO.
Entrez les détails de configuration d'importation ISO suivants. Choisissez ensuite Importer une image lorsque vous avez terminé.
- URI S3 — Entrez l'emplacement où votre fichier de disque ISO est stocké. Pour rechercher le fichier, choisissez Browse S3.
- Rôle IAM : pour associer un rôle IAM à votre configuration d'importation, sélectionnez le rôle dans la liste déroulante des rôles IAM ou choisissez Créer un nouveau rôle pour en créer un nouveau. Si vous créez un nouveau rôle, la page de console IAM Roles s'ouvre dans un onglet distinct.
  
  Vous pouvez spécifier le rôle AWSServiceRoleForImageBuilderlié au service ou vous pouvez définir votre propre rôle personnalisé pour l'accès au service.
Vous pouvez éventuellement configurer les paramètres avancés suivants pour l'importation. Pour plus d’informations sur ces paramètres, consultez la page Paramètres d'importation facultatifs.
- Démarrage sécurisé : le démarrage sécurisé est activé par défaut. Pour désactiver le démarrage sécurisé pour l'image importée, décochez la case Démarrage sécurisé.
- Données UEFI personnalisées : pour fournir un blob de données UEFI personnalisé, entrez la chaîne. Base64-encoded Cette option n'est disponible que lorsque le démarrage sécurisé est activé.
- Index d'image : pour sélectionner une édition Windows spécifique à partir d'un fichier ISO multi-éditions, entrez l'index d'image basé sur une seule édition.
Vous pouvez éventuellement ajouter des balises à votre ressource d'image Image Builder. L'ajout de balises ici n'ajoute pas les balises à votre AMI.
La configuration de l'infrastructure ISO définit les paramètres de l'instance qu'Image Builder lance pour héberger le processus d'importation. Vous pouvez utiliser une configuration d'infrastructure créée par Image Builder en fonction des valeurs par défaut du service, ou vous pouvez utiliser une configuration d'infrastructure existante. Pour de plus amples informations, veuillez consulter Gérer la configuration de l'infrastructure Image Builder.

Pour créer une nouvelle configuration d'infrastructure, choisissez Créer une configuration d'infrastructure. Cela s'ouvre dans un onglet séparé. Une fois la création de la nouvelle ressource terminée, vous pouvez revenir à la configuration d'importation et choisir Utiliser la configuration d'infrastructure existante.
Pour démarrer le processus d'importation, choisissez Importer une image.

Une fois l'importation terminée, votre image apparaît dans la liste des images que vous possédez. Pour en savoir plus, consultez Liste des images.

AWS CLI

L'exemple suivant montre comment importer une image à partir d'un fichier disque ISO et créer une AMI à partir de celui-ci avec le AWS CLI.

Voici un résumé des paramètres que nous indiquons dans cet exemple :

name (chaîne, obligatoire) : nom de la ressource d'image Image Builder à créer en sortie de l'importation.
SemanticVersion <major>(chaîne, obligatoire) — Version sémantique de l'image de sortie qui spécifie la version au format suivant, avec des valeurs numériques à chaque position pour indiquer une version spécifique :. <minor>. <patch>. Par exemple, 1.0.0. Pour en savoir plus sur le versionnement sémantique des ressources Image Builder, consultez. Versionnage sémantique dans Image Builder
description (chaîne) — Description de la recette d'image.
ExecutionRole (string) : nom ou Amazon Resource Name (ARN) du rôle IAM qui accorde à Image Builder l'accès pour effectuer des actions de flux de travail afin d'importer une image depuis un fichier ISO Microsoft. Vous pouvez spécifier le rôle AWSServiceRoleForImageBuilderlié au service ou vous pouvez définir votre propre rôle personnalisé pour l'accès au service.
platform (string, obligatoire) : plate-forme du système d'exploitation pour l'image disque ISO. Les valeurs valides incluentWindows.
osVersion (chaîne, obligatoire) : version du système d'exploitation pour l'image disque ISO. Les valeurs valides incluentMicrosoft Windows 11.
infrastructure ConfigurationArn (chaîne, obligatoire) : nom de ressource Amazon (ARN) de la ressource de configuration de l'infrastructure utilisée pour lancer l'instance EC2 sur laquelle l'image ISO est construite.
uri (chaîne, obligatoire) — L'URI du fichier disque ISO stocké dans Amazon S3.
register ImageOptions (object) — Configure les paramètres de démarrage sécurisé et UEFI pour l'image importée. Contient les champs suivants :
- secure BootEnabled (booléen) — Spécifie si le démarrage sécurisé est activé pour l'AMI de sortie. La valeur par défaut est true. Pour désactiver le démarrage sécurisé pour les pilotes non signés personnalisés, définissez cette valeur surfalse.
- UEFIData (chaîne) — Base64-encoded Représentation du magasin de variables UEFI non volatil. Vous ne pouvez spécifier ce paramètre que s'il secureBootEnabled est true ou non spécifié.
WindowsConfiguration (objet) : paramètres Windows-specific de configuration pour l'importation ISO. Contient les champs suivants :
- ImageIndex (entier) : index de base 1 qui indique l'édition Windows à installer à partir d'un fichier ISO Windows multi-éditions. Une image ISO Windows peut contenir un .wim fichier contenant plusieurs index d'image, chacun représentant une édition différente.


aws imagebuilder import-disk-image \
    --name "example-iso-disk-import" \
    --semantic-version "1.0.0" \
    --description "Import an ISO disk image" \
    --execution-role "AWSServiceRoleForImageBuilder" \
    --platform "Windows" \
    --os-version "Microsoft Windows 11" \
    --infrastructure-configuration-arn "arn:aws:imagebuilder:us-east-1:111122223333:infrastructure-configuration/example-infrastructure-configuration-123456789abc" \
    --uri "s3://amzn-s3-demo-source-bucket/examplefile.ISO" \
    --register-image-options '{"secureBootEnabled": true, "uefiData": "custom-base64-encoded-uefi-data"}' \
    --windows-configuration '{"imageIndex": 1}'

Une fois l'importation terminée, votre image apparaît dans la liste des images que vous possédez. Pour en savoir plus, consultez Liste des images.

PowerShell

L'exemple suivant montre comment importer une image à partir d'un fichier disque ISO et créer une AMI à partir de ce fichier avec PowerShell.

Voici un résumé des paramètres que nous indiquons dans cet exemple :

name (chaîne, obligatoire) : nom de la ressource d'image Image Builder à créer en sortie de l'importation.
SemanticVersion <major>(chaîne, obligatoire) — Version sémantique de l'image de sortie qui spécifie la version au format suivant, avec des valeurs numériques à chaque position pour indiquer une version spécifique :. <minor>. <patch>. Par exemple, 1.0.0. Pour en savoir plus sur le versionnement sémantique des ressources Image Builder, consultez. Versionnage sémantique dans Image Builder
description (chaîne) — Description de la recette d'image.
ExecutionRole (string) : nom ou Amazon Resource Name (ARN) du rôle IAM qui accorde à Image Builder l'accès pour effectuer des actions de flux de travail afin d'importer une image depuis un fichier ISO Microsoft. Vous pouvez spécifier le rôle AWSServiceRoleForImageBuilderlié au service ou vous pouvez définir votre propre rôle personnalisé pour l'accès au service.
platform (string, obligatoire) : plate-forme du système d'exploitation pour l'image disque ISO. Les valeurs valides incluentWindows.
osVersion (chaîne, obligatoire) — Version du système d'exploitation pour l'image disque ISO. Les valeurs valides incluentMicrosoft Windows 11.
infrastructure ConfigurationArn (chaîne, obligatoire) : nom de ressource Amazon (ARN) de la ressource de configuration de l'infrastructure utilisée pour lancer l'instance EC2 sur laquelle l'image ISO est construite.
uri (chaîne, obligatoire) — L'URI du fichier disque ISO stocké dans Amazon S3.
register ImageOptions (object) — Configure les paramètres de démarrage sécurisé et UEFI pour l'image importée. Contient les champs suivants :
- secure BootEnabled (booléen) — Spécifie si le démarrage sécurisé est activé pour l'AMI de sortie. La valeur par défaut est true. Pour désactiver le démarrage sécurisé pour les pilotes non signés personnalisés, définissez cette valeur surfalse.
- UEFIData (chaîne) — Base64-encoded Représentation du magasin de variables UEFI non volatil. Vous ne pouvez spécifier ce paramètre que s'il secureBootEnabled est true ou non spécifié.
WindowsConfiguration (objet) : paramètres Windows-specific de configuration pour l'importation ISO. Contient les champs suivants :
- ImageIndex (entier) : index de base 1 qui indique l'édition Windows à installer à partir d'un fichier ISO Windows multi-éditions. Une image ISO Windows peut contenir un .wim fichier contenant plusieurs index d'image, chacun représentant une édition différente.


Import-EC2IBDiskImage `
    -Name "example-iso-disk-import" `
    -SemanticVersion "1.0.0" `
    -Description "Import an ISO disk image" `
    -ExecutionRole "AWSServiceRoleForImageBuilder" `
    -Platform "Windows" `
    -OsVersion "Microsoft Windows 11" `
    -InfrastructureConfigurationArn "arn:aws:imagebuilder:us-east-1:111122223333:infrastructure-configuration/example-infrastructure-configuration-123456789abc" `
    -Uri "s3://amzn-s3-demo-source-bucket/examplefile.ISO" `
    -RegisterImageOptions_SecureBootEnabled $true `
    -RegisterImageOptions_UefiData "custom-base64-encoded-uefi-data" `
    -WindowsConfiguration_ImageIndex 1

Une fois l'importation terminée, votre image apparaît dans la liste des images que vous possédez. Pour en savoir plus, consultez Liste des images.

Lancer une instance à partir de l'AMI de sortie

Vous pouvez désormais utiliser l'AMI de sortie comme une AMI normale et lancer des instances à partir de celle-ci. Lorsque vous lancez une instance depuis l'AMI de sortie, le système d'exploitation Windows exécute Sysprep Specialize pour finaliser la configuration de l'instance.

Note

Les exigences réseau décrites sur cette page s'appliquent uniquement au processus de génération d'importation. Une fois l'importation terminée avec succès, le lancement des instances depuis l'AMI de sortie respecte les exigences réseau standard d'Amazon EC2. Une importation réussie ne garantit pas la réussite du lancement de l'instance : votre lancement peut tout de même échouer en fonction de la configuration de votre réseau.

Configuration réseau minimale requise pour les VPC privés

Points de terminaison VPC requis :

Endpoint	Type	Objectif
`com.amazonaws.{region}.s3`	Passerelle	Accédez aux compartiments Amazon S3 (EC2Launch v2, agent SSM, votre ISO ; également les pilotes s'ils sont présents) `us-east-1`
`com.amazonaws.{region}.ec2`	Interface	Créez des instantanés et décrivez les volumes
`com.amazonaws.{region}.logs`	Interface	Écrire les journaux de construction dans les CloudWatch journaux
`com.amazonaws.{region}.ssm`	Interface	Appels d'API SSM (SendCommand, DescribeInstanceInformation)
`com.amazonaws.{region}.ssmmessages`	Interface	Canal de données de l'agent SSM (réception de commandes, envoi de sortie)
`com.amazonaws.{region}.ec2messages`	Interface	Sondage des messages de l'agent SSM

Exigence supplémentaire pour les régions extérieures us-east-1 :

Ressource	Objectif
Passerelle NAT	Fournir un accès Internet pour télécharger les pilotes à partir de`ec2-windows-drivers-downloads.s3.amazonaws.com`. Sans cela, le processus d'importation échouera.

Points de terminaison Amazon S3 auxquels on a accédé lors de l'importation :

https://ec2-windows-drivers-downloads.s3.amazonaws.com/NVMe/Latest/AWSNVMe.zip
https://ec2-windows-drivers-downloads.s3.amazonaws.com/ENA/Latest/AwsEnaNetworkDriver.zip
https://ec2-windows-drivers-downloads.s3.amazonaws.com/AWSPCISerialDriver/Latest/AWSPCISerialDriver.zip
https://ec2-windows-drivers-downloads.s3.amazonaws.com/EC2WinUtil/Latest/EC2WinUtil.zip
https://amazon-ec2launch-v2-{region}.s3.dualstack.{region}.amazonaws.com/windows/amd64/latest/AmazonEC2Launch.msi
https://amazon-ssm-{region}.s3.{region}.amazonaws.com/latest/windows_amd64/AmazonSSMAgentSetup.exe

Cela représente la configuration minimale requise pour que l'importation fonctionne dans un sous-réseau privé. En fonction des paramètres de votre VPC et du résultat souhaité, vous aurez peut-être besoin d'une configuration réseau supplémentaire pour autoriser le trafic entre l'instance de build et les points de terminaison du VPC.

Étapes suivantes

Vous pouvez utiliser l'AMI de sortie comme n'importe quelle autre AMI : lancer des instances directement à partir de celle-ci ou l'utiliser comme image de base dans Image Builder pour créer et personnaliser davantage. Pour de plus amples informations, veuillez consulter Créez des images personnalisées avec Image Builder.

Résoudre les problèmes d'importation d'images de disque ISO

Si l'importation de votre image disque ISO échoue, vous pouvez utiliser Amazon CloudWatch Logs pour identifier les erreurs d'importation. Image Builder diffuse les journaux de build vers CloudWatch Logs une fois la génération terminée. Pour trouver les journaux de votre importation, utilisez le groupe de journaux et le flux suivants, en les ImageName remplaçant par le nom que vous avez donné à votre image :

LogGroup: /aws/imagebuilder/ImageName

LogStream: ImageVersion/ImageBuildVersion

Pour plus d'informations sur Image Builder se connecte à CloudWatch Logs, consultezSurveillez les journaux d'Image Builder avec Amazon CloudWatch Logs. Pour obtenir des conseils de dépannage supplémentaires, consultezRésoudre les problèmes liés à Image Builder.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Importation et exportation d'images de machines virtuelles

Gérez les résultats de sécurité