Criar um perfil do IAM para o gerenciamento do ciclo de vida do Image Builder Criar um perfil do IAM para o gerenciamento do ciclo de vida entre contas do Image Builder

Pré-requisitos do gerenciamento do ciclo de vida de imagens do Image Builder

Antes que possa definir as políticas e regras de gerenciamento do ciclo de vida do EC2 Image Builder para seus recursos de imagem, você deve atender aos seguintes pré-requisitos.

Crie um perfil do IAM que conceda permissão para o Image Builder executar políticas de ciclo de vida. Você pode criar essa função de uma das seguintes formas:
- Use a opção Criar função de execução do ciclo de vida usando padrões de serviço no console do Image Builder ao criar uma política de ciclo de vida. Isso cria automaticamente uma função com a política EC2ImageBuilderLifecycleExecutionPolicy gerenciada anexada.
- Use a opção Criar uma nova função de execução do ciclo de vida no console do Image Builder, que abre o IAM com configurações pré-preenchidas para a criação de funções com um clique.
- Crie manualmente a função no console do IAM. Para step-by-step obter instruções, consulteCriar um perfil do IAM para o gerenciamento do ciclo de vida do Image Builder.
Crie um perfil do IAM na conta de destino para recursos associados que foram distribuídos entre contas. O perfil concederá permissão para o Image Builder realizar ações de ciclo de vida na conta de destino para os recursos associados. Para criar o perfil, consulte Criar um perfil do IAM para o gerenciamento do ciclo de vida entre contas do Image Builder.

nota
Esse pré-requisito não se aplicará se você tiver concedido permissões de execução para uma AMI de saída. Com as permissões de execução, a conta com a qual você compartilhou o recurso será proprietária das instâncias que forem executadas diretamente da AMI compartilhada, mas todos os recursos da AMI permanecerão na sua conta.
Para imagens de contêiner, você deverá adicionar a seguinte tag aos seus repositórios do ECR para permitir que o Image Builder tenha acesso para executar ações de ciclo de vida nas imagens de contêiner armazenadas no repositório: LifecycleExecutionAccess: EC2 Image Builder.

Criar um perfil do IAM para o gerenciamento do ciclo de vida do Image Builder

Para conceder permissão ao Image Builder para executar políticas de ciclo de vida, primeiro você deve criar o perfil do IAM que ele usa para realizar ações de ciclo de vida. Siga estas etapas para criar o perfil de serviço que concede permissão.

Abra o console do IAM em https://console.aws.amazon.com/iam/.
Escolha Funções no painel de navegação.
Selecione Criar perfil. Isso abre a primeira etapa do processo, Selecionar uma entidade confiável para criar seu perfil.
Selecione a opção Política de confiança personalizada em Tipo de entidade confiável.

Copie a política de confiança JSON a seguir e cole na área do texto de Política de confiança personalizada, substituindo o texto de exemplo. Essa política de confiança permite que o Image Builder assuma o perfil que você cria para executar ações do ciclo de vida.

Selecione a seguinte política gerenciada na lista: EC2ImageBuilderLifecycleExecutionPolicy e escolha Avançar. Isso exibirá a página Nomear, revisar e criar.

dica
Filtre por image para otimizar os resultados.
Insira um nome em Nome da função.
Após revisar suas configurações, escolha Criar perfil.

Criar um perfil do IAM para o gerenciamento do ciclo de vida entre contas do Image Builder

Para permitir que o Image Builder realize ações de ciclo de vida em contas de destino para recursos associados, primeiro você deve criar o perfil do IAM que ele usará para realizar ações de ciclo de vida nessas contas. É necessário criar o perfil na conta de destino.

Siga estas etapas para criar o perfil de serviço que concede permissão na conta de destino.

Abra o console do IAM em https://console.aws.amazon.com/iam/.
Escolha Funções no painel de navegação.
Selecione Criar perfil. Isso abre a primeira etapa do processo, Selecionar uma entidade confiável para criar seu perfil.
Selecione a opção Política de confiança personalizada em Tipo de entidade confiável.

nota

Quando o Image Builder usa esse perfil na conta de destino para atuar nos recursos associados que foram distribuídos entre contas, ele estará agindo em nome do proprietário da conta de destino. O Conta da AWS que você configura como aws:SourceAccount na política de confiança é a conta em que o Image Builder distribuiu esses recursos.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "imagebuilder.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "444455556666"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:*:imagebuilder:*:*:image/*/*/*"
                }
            }
        }
    ]
}

Selecione a seguinte política gerenciada na lista: EC2ImageBuilderLifecycleExecutionPolicy e escolha Avançar. Isso exibirá a página Nomear, revisar e criar.

dica
Filtre por image para otimizar os resultados.
Insira Ec2ImageBuilderCrossAccountLifecycleAccess como o Nome do perfil.

Importante
O nome dessa função deve ser Ec2ImageBuilderCrossAccountLifecycleAccess.
Após revisar suas configurações, escolha Criar perfil.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciar o ciclo de vida de imagem

Listar políticas de ciclo de vida

Pré-requisitos do gerenciamento do ciclo de vida de imagens do Image Builder

nota

Criar um perfil do IAM para o gerenciamento do ciclo de vida do Image Builder

dica

Criar um perfil do IAM para o gerenciamento do ciclo de vida entre contas do Image Builder

nota

dica

Importante