Requisitos previos de administración del ciclo de vida de las imágenes de Image Builder - EC2Image Builder
Crear un IAM rol para la gestión del ciclo de vida de Image BuilderCree un IAM rol para la gestión del ciclo de vida multicuenta de Image Builder

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos de administración del ciclo de vida de las imágenes de Image Builder

Antes de poder definir las políticas y reglas de administración del ciclo de vida de EC2 Image Builder para sus recursos de imágenes, debe cumplir los siguientes requisitos previos.

  • Cree un IAM rol que conceda permiso a Image Builder para ejecutar políticas de ciclo de vida. Para crear la función, consulte Crear un IAM rol para la gestión del ciclo de vida de Image Builder.

  • Cree un IAM rol en la cuenta de destino para los recursos asociados que se distribuyeron entre las cuentas. El rol otorga permiso para que el Generador de imágenes realice acciones del ciclo de vida con los recursos asociados en la cuenta de destino. Para crear la función, consulte Cree un IAM rol para la gestión del ciclo de vida multicuenta de Image Builder.

    nota

    Este requisito previo no se aplica si ha concedido permisos de lanzamiento para una salidaAMI. Con los permisos de lanzamiento, la cuenta con la que has compartido es la propietaria de las instancias que se lanzan desde la cuenta compartidaAMI, pero todos los AMI recursos permanecen en tu cuenta.

  • Para las imágenes de contenedores, debe agregar la siguiente etiqueta a sus ECR repositorios para permitir que Image Builder ejecute acciones del ciclo de vida en las imágenes de contenedor almacenadas en el repositorio:LifecycleExecutionAccess: EC2 Image Builder.

Crear un IAM rol para la gestión del ciclo de vida de Image Builder

Para conceder permiso a Image Builder para ejecutar políticas de ciclo de vida, primero debe crear el IAM rol que utiliza para realizar las acciones del ciclo de vida. Siga estos pasos para crear el rol de servicio que otorga el permiso.

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija la opción Roles en el panel de navegación.

  3. Elija Crear rol. Así se abre el primer paso del proceso Seleccionar entidad de confianza para crear el rol.

  4. Seleccione la opción Política de confianza personalizada en Tipo de entidad de confianza.

  5. Copie la siguiente política de JSON confianza y péguela en el área de texto de la política de confianza personalizada, sustituyendo el texto de ejemplo. Esta política de confianza permite al Generador de imágenes asumir el rol que se creó para ejecutar las acciones del ciclo de vida.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "imagebuilder.amazonaws.com"
                ]
            }
        }
    ]
}

  6. Seleccione la siguiente política administrada de la lista: EC2ImageBuilderLifecycleExecutionPolicy y, a continuación, elija Siguiente. Se abre la página Nombrar, revisar y crear.

    sugerencia

    Filtre por image para optimizar los resultados.

  7. Escriba un Role name.

  8. Después de revisar la configuración, elija Crear rol.

Cree un IAM rol para la gestión del ciclo de vida multicuenta de Image Builder

Para conceder permiso a Image Builder para realizar acciones del ciclo de vida en las cuentas de destino de los recursos asociados, primero debe crear el IAM rol que utiliza para realizar las acciones del ciclo de vida en esas cuentas. Debe crear el rol en la cuenta de destino.

Siga estos pasos para crear el rol de servicio que otorga el permiso en la cuenta de destino.

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija la opción Roles en el panel de navegación.

  3. Elija Crear rol. Así se abre el primer paso del proceso Seleccionar entidad de confianza para crear el rol.

  4. Seleccione la opción Política de confianza personalizada en Tipo de entidad de confianza.

  5. Copie la siguiente política de JSON confianza y péguela en el área de texto de la política de confianza personalizada, sustituyendo el texto de ejemplo. Esta política de confianza permite al Generador de imágenes asumir el rol que se creó para ejecutar las acciones del ciclo de vida.

    nota

    Cuando el Generador de imágenes utiliza este rol en la cuenta de destino para actuar sobre los recursos asociados que se distribuyeron entre las cuentas, actúa en nombre del propietario de la cuenta de destino. La Cuenta de AWS que configure como parte de la política de confianza es la cuenta aws:SourceAccount en la que Image Builder distribuyó esos recursos.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "imagebuilder.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "444455556666"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:*:imagebuilder:*:*:image/*/*/*"
                }
            }
        }
    ]
}

  6. Seleccione la siguiente política administrada de la lista: EC2ImageBuilderLifecycleExecutionPolicy y, a continuación, elija Siguiente. Se abre la página Nombrar, revisar y crear.

    sugerencia

    Filtre por image para optimizar los resultados.

  7. Ingrese Ec2ImageBuilderCrossAccountLifecycleAccess como Nombre del rol.

    importante

    Ec2ImageBuilderCrossAccountLifecycleAccess debe ser el nombre de este rol.

  8. Después de revisar la configuración, elija Crear rol.