使用 Image Builder IAM的服務連結角色

EC2 Image Builder 使用 AWS Identity and Access Management （IAM） 服務連結角色 。服務連結角色是直接連結至 Image Builder 的唯一IAM角色類型。服務連結角色由 Image Builder 預先定義，並包含服務 AWS 服務 代表您呼叫其他 所需的所有許可。

服務連結角色可讓設定 Image Builder 更有效率，因為您不必手動新增必要的許可。Image Builder 會定義其服務連結角色的許可，除非另有定義，否則只有 Image Builder 可以擔任其角色。已定義的許可包括信任政策和許可政策。許可政策無法連接至任何其他IAM實體。

如需有關支援服務連結角色的其他 服務的資訊，請參閱服務連結角色欄中AWS 服務 的 與 搭配使用IAM，並尋找具有是 的服務。選擇具有連結的是，以檢視該服務的服務連結角色文件。

Image Builder 的服務連結角色許可

Image Builder 使用 AWSServiceRoleForImageBuilder 服務連結角色，以允許 EC2 Image Builder 代表您存取 AWS 資源。服務連結角色信任 imagebuilder.amazonaws.com 服務擔任該角色。

您不需要手動建立這個服務連結角色。當您在 AWS 管理主控台、 AWS CLI或 中建立第一個 Image Builder 映像時 AWS API，Image Builder 會為您建立服務連結角色。

下列動作會建立新的映像：

• 在 Image Builder 主控台中執行管道精靈，以建立自訂映像。

• 使用下列其中一個API動作，或其對應的 AWS CLI 命令：

  • CreateImage API 動作 （create-image 中的） AWS CLI。

  • ImportVmImage API 動作 （import-vm-image 中的） AWS CLI。

  • StartImagePipelineExecution API 動作 （start-image-pipeline-execution 中的） AWS CLI。

重要

如果從您的帳戶刪除服務連結角色，您可以使用相同的程序再次建立該角色。當您建立第一個 EC2 Image Builder 資源時，Image Builder 會再次為您建立服務連結角色。

檢視 的許可 AWSServiceRoleForImageBuilder，請參閱 AWSServiceRoleForImageBuilder 政策頁面。若要進一步了解如何設定服務連結角色的許可，請參閱 IAM 使用者指南 中的服務連結角色許可。

從您的帳戶移除 Image Builder 服務連結角色

您可以使用 IAM 主控台 AWS CLI、 或 AWS API，從您的帳戶手動移除 Image Builder 的服務連結角色。不過，在執行此操作之前，您必須確保未啟用任何與其相關的 Image Builder 資源。

注意

如果 Image Builder 服務在您嘗試刪除資源時正在使用 角色，則刪除可能會失敗。若此情況發生，請等待數分鐘後並再次嘗試操作。

清除AWSServiceRoleForImageBuilder角色所使用的 Image Builder 資源

1. 在開始之前，請確認沒有任何管道建置正在執行。若要取消執行中的建置，請使用 中的 cancel-image-creation命令 AWS CLI。

   aws imagebuilder cancel-image-creation --image-build-version-arn arn:aws:imagebuilder:us-east-1:123456789012:image-pipeline/sample-pipeline

2. 變更所有管道排程以使用手動建置程序，如果您不再使用它們，請刪除它們。如需刪除資源的詳細資訊，請參閱 刪除過期或未使用的 Image Builder 資源。

使用 刪除服務連結角色 IAM

您可以使用IAM主控台、 AWS CLI或 AWS API，從您的帳戶刪除AWSServiceRoleForImageBuilder角色。如需詳細資訊，請參閱 IAM 使用者指南 中的刪除服務連結角色。

Image Builder 服務連結角色的支援區域

Image Builder 支援在所有提供服務的 AWS 區域中使用服務連結角色。如需支援的 AWS 區域清單，請參閱 AWS 區域和端點。