Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Prerequisiti per la gestione del ciclo di vita per le immagini di Image Builder
Prima di poter definire le politiche e le regole di gestione del ciclo di vita di EC2 Image Builder per le risorse di immagini, devi soddisfare i seguenti prerequisiti.
+ Crea un ruolo IAM che conceda l'autorizzazione a Image Builder di eseguire le policy del ciclo di vita. È possibile creare questo ruolo in uno dei seguenti modi:
+ Utilizzate l'opzione **Crea il ruolo di esecuzione del ciclo di vita utilizzando i valori predefiniti del servizio** nella console Image Builder durante la creazione di una politica del ciclo di vita. Questo crea automaticamente un ruolo con la policy gestita allegata. `EC2ImageBuilderLifecycleExecutionPolicy`
+ Utilizza l'opzione **Crea un nuovo ruolo di esecuzione del ciclo** di vita nella console Image Builder, che apre IAM con impostazioni precompilate per la creazione di ruoli con un clic.
+ Crea manualmente il ruolo nella console IAM. Per step-by-step istruzioni, consulta[Crea un ruolo IAM per la gestione del ciclo di vita di Image Builder](#image-lifecycle-prereq-role).
+ Crea un ruolo IAM nell'account di destinazione per le risorse associate che sono state distribuite tra gli account. Il ruolo concede a Image Builder l'autorizzazione a eseguire azioni del ciclo di vita nell'account di destinazione per le risorse associate. Per creare il ruolo, consulta [Crea un ruolo IAM per la gestione del ciclo di vita tra account di Image Builder](#image-lifecycle-prereq-cross-acct-role).
**Nota**
Questo prerequisito non si applica se hai concesso le autorizzazioni di avvio per un'AMI di output. Con le autorizzazioni di avvio, l'account con cui hai condiviso possiede le istanze avviate dall'AMI condivisa, ma tutte le risorse AMI rimangono nel tuo account.
+ Per le immagini dei contenitori, è necessario aggiungere il seguente tag ai repository ECR per consentire a Image Builder di eseguire azioni del ciclo di vita sulle immagini del contenitore archiviate nel repository:. `LifecycleExecutionAccess: EC2 Image Builder`
## Crea un ruolo IAM per la gestione del ciclo di vita di Image Builder
Per concedere l'autorizzazione a Image Builder di eseguire le politiche del ciclo di vita, devi prima creare il ruolo IAM che utilizza per eseguire le azioni del ciclo di vita. Segui questi passaggi per creare il ruolo di servizio che concede l'autorizzazione.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Selezionare **Roles (Ruoli)** dal riquadro di navigazione.
1. Scegli **Crea ruolo**. Si apre la prima fase del processo **Seleziona l'entità attendibile** per creare il tuo ruolo.
1. Seleziona l'opzione **Politica di fiducia personalizzata** per il **tipo di entità attendibile**.
1. Copia la seguente politica di fiducia JSON e incollala nell'area di testo della **politica di fiducia personalizzata**, sostituendo il testo di esempio. Questa politica di attendibilità consente a Image Builder di assumere il ruolo creato dall'utente per eseguire le azioni del ciclo di vita.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Effect": "Allow",
"Principal": {
"Service": [
"imagebuilder.amazonaws.com"
]
}
}
]
}
```
------
1. **Seleziona la seguente politica gestita dall'elenco: **EC2ImageBuilderLifecycleExecutionPolicy**, quindi scegli Avanti.** Verrà aperta la pagina **Nome, revisione e creazione**.
**Suggerimento**
Filtra `image` per semplificare i risultati.
1. Immettere un nome di ruolo in **Role name (Nome ruolo)**.
1. Dopo aver esaminato le impostazioni, scegli **Crea ruolo**.
## Crea un ruolo IAM per la gestione del ciclo di vita tra account di Image Builder
Per concedere l'autorizzazione a Image Builder di eseguire azioni del ciclo di vita negli account di destinazione per le risorse associate, è necessario innanzitutto creare il ruolo IAM che utilizza per eseguire le azioni del ciclo di vita in tali account. È necessario creare il ruolo nell'account di destinazione.
Segui questi passaggi per creare il ruolo di servizio che concede l'autorizzazione *nell'account di destinazione*.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Selezionare **Roles (Ruoli)** dal riquadro di navigazione.
1. Scegli **Crea ruolo**. Si apre la prima fase del processo **Seleziona l'entità attendibile** per creare il tuo ruolo.
1. Seleziona l'opzione **Politica di fiducia personalizzata** per il **tipo di entità attendibile**.
1. Copia la seguente politica di fiducia JSON e incollala nell'area di testo della **politica di fiducia personalizzata**, sostituendo il testo di esempio. Questa politica di attendibilità consente a Image Builder di assumere il ruolo creato dall'utente per eseguire le azioni del ciclo di vita.
**Nota**
Quando Image Builder utilizza questo ruolo nell'account di destinazione per agire sulle risorse associate distribuite tra gli account, agisce per conto del proprietario dell'account di destinazione. L' Account AWS account configurato come indicato `aws:SourceAccount` nella politica di attendibilità è l'account in cui Image Builder ha distribuito tali risorse.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"imagebuilder.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "444455556666"
},
"StringLike": {
"aws:SourceArn": "arn:*:imagebuilder:*:*:image/*/*/*"
}
}
}
]
}
```
1. Seleziona la seguente politica gestita dall'elenco: **EC2ImageBuilderLifecycleExecutionPolicy**, quindi scegli **Avanti**. Verrà aperta la pagina **Nome, revisione e creazione**.
**Suggerimento**
Filtra `image` per semplificare i risultati.
1. Inserisci `Ec2ImageBuilderCrossAccountLifecycleAccess` come **nome del ruolo**.
**Importante**
`Ec2ImageBuilderCrossAccountLifecycleAccess`deve essere il nome di questo ruolo.
1. Dopo aver esaminato le impostazioni, scegli **Crea ruolo**.