Comment fonctionne EC2 Image Builder - EC2 Image Builder
Éléments de l'AMIQuotas par défautAWS Régions et points de terminaisonGestion des composantsRessources crééesDistributionPartage de ressourcesConformité d'

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionne EC2 Image Builder

Lorsque vous utilisez l'assistant de la console de pipeline EC2 Image Builder pour créer une image personnalisée, un assistant vous guide tout au long des étapes suivantes.

  1. Spécifiez les détails du pipeline : entrez les informations relatives à votre pipeline, telles que le nom, la description, les balises et le calendrier d'exécution des builds automatisés. Vous pouvez choisir des versions manuelles, si vous préférez.

  2. Choisir une recette : choisissez entre créer une AMI ou créer une image de conteneur. Pour les deux types d'images de sortie, vous entrez le nom et la version de votre recette, sélectionnez une image de base et choisissez les composants à ajouter pour la création et les tests. Vous pouvez également choisir la gestion automatique des versions, afin de toujours utiliser la dernière version du système d'exploitation (OS) disponible pour votre image de base. Les recettes de conteneur définissent également Dockerfiles et le référentiel Amazon ECR cible pour votre image de conteneur Docker en sortie.

    Note

    Les composants sont les éléments de base utilisés par une recette d'image ou une recette de conteneur. Par exemple, des packages pour l'installation, des étapes de renforcement de la sécurité et des tests. L'image de base et les composants sélectionnés constituent une recette d'image.

  3. Définissez la configuration de l'infrastructure : Image Builder lance des instances EC2 dans votre compte pour personnaliser les images et exécuter des tests de validation. Les paramètres de configuration de l'infrastructure spécifient les détails de l'infrastructure pour les instances qui s'exécuteront dans votre Compte AWS système pendant le processus de génération.

  4. Définissez les paramètres de distribution : choisissez les AWS régions dans lesquelles distribuer votre image une fois la génération terminée et tous les tests réussis. Le pipeline distribue automatiquement votre image dans la région où il exécute la génération, et vous pouvez ajouter une distribution d'image pour d'autres régions.

Les images que vous créez à partir de votre image de base personnalisée se trouvent dans votre Compte AWS. Vous pouvez configurer votre pipeline d'images pour produire des versions mises à jour et corrigées de votre image en saisissant un calendrier de génération. Lorsque le build est terminé, vous pouvez recevoir une notification via Amazon Simple Notification Service (SNS). Outre la production d'une image finale, l'assistant de console Image Builder génère une recette qui peut être utilisée avec les systèmes de contrôle de version existants et les pipelines d'intégration continue/déploiement continu (CI/CD) pour une automatisation reproductible. Vous pouvez partager et créer de nouvelles versions de votre recette.

Éléments de l'AMI

Une Amazon Machine Image (AMI) est une image de machine virtuelle (VM) préconfigurée qui contient le système d'exploitation et le logiciel nécessaires au déploiement des instances EC2.

Une AMI inclut les éléments suivants :

  • Modèle pour le volume racine de la machine virtuelle. Lorsque vous lancez une machine virtuelle Amazon EC2, le volume du périphérique racine contient l'image permettant de démarrer l'instance. Lorsque le stockage d'instance est utilisé, le périphérique racine est un volume de stockage d'instance créé à partir d'un modèle dans Amazon S3. Pour plus d'informations, consultez Amazon EC2 Root Device Volume.

  • Lorsque Amazon EBS est utilisé, le périphérique racine est un volume EBS créé à partir d'un instantané EBS.

  • Autorisations de lancement qui déterminent celles Comptes AWS qui peuvent lancer des machines virtuelles avec l'AMI.

  • Bloquez les données de mappage des périphériques qui spécifient les volumes à associer à l'instance après le lancement.

  • Un identifiant de ressource unique pour chaque région, pour chaque compte.

  • Charges utiles de métadonnées, telles que les balises, et propriétés, telles que la région, le système d'exploitation, l'architecture, le type de périphérique racine, le fournisseur, les autorisations de lancement, le stockage pour le périphérique racine et le statut de signature.

  • Signature AMI pour les images Windows afin de les protéger contre toute altération non autorisée. Pour plus d'informations, consultez la section Documents d'identité de l'instance.

Quotas par défaut

Pour consulter les quotas par défaut pour Image Builder, consultez la section Points de terminaison et quotas d'Image Builder.

AWS Régions et points de terminaison

Pour consulter les points de terminaison de service pour Image Builder, consultez la section Points de terminaison et quotas d'Image Builder.

Gestion des composants

EC2 Image Builder utilise une AWS Task Orchestrator and Executor application de gestion des composants AWSTOE() qui vous aide à orchestrer des flux de travail complexes, à modifier les configurations des systèmes et à tester vos systèmes à l'aide de composants de script basés sur YAML. Comme AWSTOE il s'agit d'une application autonome, elle ne nécessite aucune configuration supplémentaire. Il peut fonctionner sur n'importe quelle infrastructure cloud et sur site. Pour commencer à l'utiliser en AWSTOE tant qu'application autonome, voirConfiguration manuelle pour développer des composants personnalisés avec AWSTOE.

Image Builder permet AWSTOE d'effectuer toutes les activités sur instance. Il s'agit notamment de créer et de valider votre image avant de prendre un instantané, et de tester l'instantané pour vous assurer qu'il fonctionne comme prévu avant de créer l'image finale. Pour plus d'informations sur la façon dont Image AWSTOE Builder gère ses composants, consultezUtilisez des composants pour personnaliser votre image Image Builder. Pour plus d'informations sur la création de composants avec AWSTOE, consultezComment Image Builder utilise l' AWS Task Orchestrator and Executor application pour gérer les composants.

Test d'image

Vous pouvez utiliser des composants de AWSTOE test pour valider votre image et vous assurer qu'elle fonctionne comme prévu avant de créer l'image finale.

En général, chaque composant de test consiste en un document YAML contenant un script de test, un binaire de test et des métadonnées de test. Le script de test contient les commandes d'orchestration permettant de démarrer le binaire de test, qui peut être écrit dans n'importe quel langage pris en charge par le système d'exploitation. Les codes d'état de sortie indiquent le résultat du test. Les métadonnées du test décrivent le test et son comportement ; par exemple, le nom, la description, les chemins vers le binaire de test et la durée prévue.

Ressources créées

Lorsque vous créez un pipeline, aucune ressource externe à Image Builder n'est créée, sauf si ce qui suit est vrai :

  • Lorsqu'une image est créée dans le cadre du planning du pipeline

  • Lorsque vous choisissez Run Pipeline dans le menu Actions de la console Image Builder

  • Lorsque vous exécutez l'une de ces commandes depuis l'API ou AWS CLI : StartImagePipelineExecution ou CreateImage

Les ressources suivantes sont créées au cours du processus de création de l'image :

Pipelines d'images AMI

  • Instance EC2 (temporaire)

  • Association d'inventaire de Systems Manager (via le gestionnaire d'état de Systems Manager s'EnhancedImageMetadatail est activé) sur l'instance EC2

  • AMI Amazon EC2

  • Le snapshot Amazon EBS associé à l'AMI Amazon EC2

Pipelines d'images de conteneurs

  • Conteneur Docker exécuté sur une instance EC2 (temporaire)

  • L'association d'inventaire de Systems Manager (via Systems Manager State Manager) EnhancedImageMetadata est activée) sur l'instance EC2

  • Image de conteneur Docker

  • Dockerfile

Une fois l'image créée, toutes les ressources temporaires sont supprimées.

Distribution

EC2 Image Builder peut distribuer des AMI ou des images de conteneur dans AWS n'importe quelle région. L'image est copiée dans chaque région que vous spécifiez dans le compte utilisé pour créer l'image.

Pour les images de sortie d'AMI, vous pouvez définir des autorisations de lancement d'AMI afin de contrôler Comptes AWS les personnes autorisées à lancer des instances EC2 avec l'AMI créée. Par exemple, vous pouvez rendre l'image privée, publique ou partager avec des comptes spécifiques. Si vous distribuez l'AMI à d'autres régions et que vous définissez des autorisations de lancement pour d'autres comptes, les autorisations de lancement sont propagées aux AMI de toutes les régions dans lesquelles l'AMI est distribuée.

Vous pouvez également utiliser votre AWS Organizations compte pour imposer des restrictions aux comptes membres afin de lancer des instances uniquement avec des AMI approuvées et conformes. Pour plus d'informations, consultez la section Gérer le Comptes AWS au sein de votre organisation.

Pour mettre à jour vos paramètres de distribution à l'aide de la console Image Builder, suivez les étapes de Création d'une nouvelle version de recette imagée à partir de la console ouCréez une nouvelle version de recette de conteneur avec la console.

Partage de ressources

Pour partager des composants, des recettes ou des images avec d'autres comptes ou au sein d'autres comptes AWS Organizations, consultezPartagez les ressources d'EC2 Image Builder.

Conformité d'

Pour les tests du Center for Internet Security (CIS), EC2 Image Builder utilise Amazon Inspector pour évaluer l'exposition, les vulnérabilités et les écarts par rapport aux meilleures pratiques et aux normes de conformité. Par exemple, Image Builder évalue l'accessibilité involontaire au réseau, les CVE non corrigés, la connectivité Internet publique et l'activation de la connexion root à distance. Amazon Inspector est proposé en tant que composant de test que vous pouvez choisir d'ajouter à votre recette d'images. Pour plus d'informations sur Amazon Inspector, consultez le guide de l'utilisateur d'Amazon Inspector. . Pour plus d'informations, consultez le Center for Internet Security (CIS) Benchmarks.

Image Builder fournit des composants de renforcement STIG pour vous aider à créer plus efficacement des images conformes aux normes STIG de base. Ces composants STIG détectent les erreurs de configuration et exécutent un script de correction. L'utilisation de composants conformes aux normes STIG est gratuite. Pour une liste complète des composants STIG disponibles via Image Builder, consultezAmazon a géré les composants de renforcement STIG pour EC2 Image Builder.