Préparez-vous à créer des images personnalisées avec Image Builder - EC2 Image Builder
Rôle lié au service Image BuilderExigences de configurationRéférentiel de conteneurs pour les pipelines d'images de conteneursHôte dédié pour les images macOSConditions préalables à l'IAMConditions préalables requises pour l'agent Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Préparez-vous à créer des images personnalisées avec Image Builder

Avant de créer des images avec EC2 Image Builder, vérifiez que vous remplissez les conditions préalables suivantes pour créer un pipeline d'images. Sauf indication contraire, ces conditions préalables sont requises pour tous les types de pipelines.

Une fois que vous avez rempli les conditions requises, vous pouvez gérer EC2 Image Builder à partir de l'une des interfaces suivantes.

Rôle lié au service Image Builder

EC2 Image Builder utilise un rôle lié à un service pour accorder des autorisations à d'autres AWS services en votre nom. Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez votre première ressource Image Builder dans la console AWS de gestion AWS CLI, ou dans l' AWS API, Image Builder crée pour vous le rôle lié au service. Pour plus d'informations sur le rôle lié à un service créé par Image Builder dans votre compte, consultez. Utiliser des rôles liés à un service IAM pour Image Builder

Exigences de configuration

  • Image Builder prend en charge AWS PrivateLink. Pour plus d'informations sur la configuration des points de terminaison VPC pour Image Builder, consultez. Image Builder et points de AWS PrivateLink terminaison VPC d'interface

  • Les instances utilisées par Image Builder pour créer des images de conteneur doivent disposer d'un accès Internet pour les télécharger AWS CLI depuis Amazon S3 et pour télécharger une image de base depuis le référentiel Docker Hub, le cas échéant. Image Builder utilise le AWS CLI pour obtenir le Dockerfile à partir de la recette du conteneur, où il est stocké sous forme de données.

  • Les instances utilisées par Image Builder pour créer des images et exécuter des tests doivent avoir accès au service Systems Manager. Les exigences d'installation dépendent de votre système d'exploitation.

    Pour connaître les exigences d'installation de votre image de base, choisissez l'onglet correspondant au système d'exploitation de votre image de base.

    Linux

    Pour les instances Amazon EC2 Linux, Image Builder installe l'agent Systems Manager sur l'instance de build s'il n'est pas déjà présent, et le supprime avant de créer l'image.

    Windows

    Image Builder n'installe pas l'agent Systems Manager sur les instances de build Amazon EC2 Windows Server. Si votre image de base n'est pas préinstallée avec l'agent Systems Manager, vous devez lancer une instance à partir de votre image source, installer manuellement Systems Manager sur l'instance et créer une nouvelle image de base à partir de votre instance.

    Pour installer manuellement l'agent Systems Manager sur votre instance Amazon EC2 Windows Server, consultez la section Installation manuelle de l'agent Systems Manager sur les EC2 instances de Windows Server dans le Guide de AWS Systems Manager l'utilisateur.

    macOS

    À déterminer - j'ai besoin de quelque chose sur les prérequis

Référentiel de conteneurs pour les pipelines d'images de conteneurs

Pour les pipelines d'images de conteneurs, la recette définit la configuration des images Docker produites et stockées dans le référentiel de conteneurs cible. Vous devez créer le référentiel cible avant de créer la recette de conteneur pour votre image Docker.

Image Builder utilise Amazon ECR comme référentiel cible pour les images de conteneurs. Pour créer un référentiel Amazon ECR, suivez les étapes décrites dans la section Création d'un référentiel dans le guide de l'utilisateur d'Amazon Elastic Container Registry.

Hôte dédié pour les images macOS

Les instances Amazon EC2 Mac nécessitent un hôte dédié exécuté sur un type d'instance métallique. Avant de créer une image macOS personnalisée, vous devez attribuer un hôte dédié à votre compte. Pour plus d'informations sur les instances Mac et une liste des types d'instances compatibles nativement avec le système d'exploitation macOS, consultez la section Instances Amazon EC2 Mac dans le guide de l' EC2 utilisateur Amazon.

Lorsque vous avez créé un hôte dédié, vous pouvez configurer les paramètres dans la ressource de configuration de l'infrastructure pour votre image. La configuration de l'infrastructure inclut des propriétés de placement dans lesquelles vous pouvez spécifier l'hôte, le groupe de placement d'hôtes ou la zone de disponibilité où doivent être placées les instances lancées depuis votre image.

Conditions préalables à l'IAM

Le rôle IAM que vous associez à votre profil d'instance doit être autorisé à exécuter les composants de génération et de test inclus dans votre image. Les politiques de rôle IAM suivantes doivent être associées au rôle IAM associé au profil d'instance :

Si vous configurez la journalisation, le profil d'instance spécifié dans la configuration de votre infrastructure doit disposer d's3:PutObjectautorisations pour le compartiment cible (arn:aws:s3:::BucketName/*). Par exemple :

{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "s3:PutObject"
        ],
        "Resource": "arn:aws:s3:::bucket-name/*"
    }
]
}
Attacher une stratégie

Les étapes suivantes vous guident tout au long du processus d'attachement des politiques IAM à un rôle IAM pour accorder les autorisations précédentes.

  1. Connectez-vous à la console de AWS gestion et ouvrez la console IAM à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le volet de navigation de gauche, choisissez Politiques.

  3. Filtrer la liste des politiques avec EC2InstanceProfileForImageBuilder

  4. Sélectionnez la bullet à côté de la politique, puis dans la liste déroulante des actions de stratégie, sélectionnez Joindre.

  5. Sélectionnez le nom du rôle IAM auquel vous souhaitez associer la politique.

  6. Choisissez Attach policy (Attacher la politique).

  7. Répétez les étapes 3 à 6 pour EC2InstanceProfileForImageBuilderECRContainerBuildset les SSMManaged InstanceCore politiques d'Amazon.

Note

Si vous souhaitez copier une image créée avec Image Builder vers un autre compte, vous devez créer le EC2ImageBuilderDistributionCrossAccountRole rôle dans tous les comptes cibles et associer la politique Ec2ImageBuilderCrossAccountDistributionAccess politique gérée au rôle. Pour de plus amples informations, veuillez consulter Partagez les ressources d'Image Builder avec AWS RAM.

Conditions préalables requises pour l'agent Systems Manager

EC2 Image Builder exécute l'agent AWS Systems Manager (Systems Manager) sur les EC2 instances qu'il lance pour créer et tester votre image. Image Builder collecte des informations supplémentaires sur l'instance utilisée pendant la phase de construction avec Systems Manager Inventory. Ces informations incluent le nom et la version du système d'exploitation (OS), ainsi que la liste des packages et de leurs versions respectives tels qu'indiqués par votre système d'exploitation.

Pour refuser la collecte de ces informations, sélectionnez la méthode qui correspond à votre environnement préféré :

  • Console Image Builder : désélectionnez la case à cocher Activer la collecte améliorée de métadonnées.

  • AWS CLI— Spécifiez l'--no-enhanced-image-metadata-enabledoption

  • API Image Builder ou SDKs — Définissez le enhancedImageMetadataEnabled paramètre surfalse.

Image Builder envoie des actions RunCommand à votre instance de génération et de test dans le cadre du flux de travail de création et de test d'image. Vous ne pouvez pas refuser l'utilisation de RunCommand pour envoyer des actions à votre instance de build et de test.