本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
針對 Image Builder 使用IAM服務連結角色
EC2Image Builder 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至 Image Builder 的唯一IAM角色類型。服務連結角色由 Image Builder 預先定義,並包含服務代表您呼叫其他 AWS 服務 人所需的所有權限。
服務連結角色可讓設定 Image Builder 更有效率,因為您不需要手動新增必要的權限。Image Builder 會定義其服務連結角色的權限,除非另有定義,否則只有 Image Builder 可以擔任其角色。已定義的許可包括信任政策和許可政策。權限原則無法附加至任何其他IAM實體。
如需支援服務連結角色之其他服務的相關資訊,請參閱使用AWS 服務 該服務IAM並在服務連結角色欄中尋找具有是的服務。選擇具有連結的是,以檢視該服務的服務連結角色文件。
Image Builder 的服務連結角色權限
Image Builder 使用AWSServiceRoleForImageBuilder服務連結角色來允許 EC2 Image Builder 代表您存取 AWS 資源。服務連結的角色會信任影像建置工具 .amazon aws.com 服務擔任該角色。
您不需要手動建立這個服務連結角色。當您在 AWS 管理主控台中建立第一個映 Image Builder 映像時 AWS CLI,或 Image Builder 會為您建立服務連結角色。 AWS API
下列動作會建立新映像:
-
在 Image Builder 主控台中執行管線精靈,以建立自訂映像。
-
使用下列其中一個API動作或其對應的 AWS CLI 指令:
-
動CreateImageAPI作 (create-image
在中 AWS CLI)。 -
動ImportVmImageAPI作 (import-vm-image
在中 AWS CLI)。 -
動StartImagePipelineExecutionAPI作 (start-image-pipeline-execution
在中 AWS CLI)。
-
重要
如果服務連結角色已從您的帳戶中刪除,您可以使用相同的程序重新建立該角色。當您建立第一個 EC2 Image Builder 資源時,Image Builder 會再次為您建立服務連結角色。
若要查看的權限 AWSServiceRoleForImageBuilder,請參閱AWSServiceRoleForImageBuilder 政策頁面。若要深入瞭解如何設定服務連結角色的權限,請參閱IAM使用者指南中的服務連結角色權限。
從您的帳戶移除 Image Builder 服務連結角色
您可以使用IAM主控台 AWS CLI、或從您的 AWS API帳戶手動移除 Image Builder 的服務連結角色。但是,在執行此操作之前,您必須確保沒有啟用任何參照它的 Image Builder 資源。
注意
當您嘗試刪除資源時,如果 Image Builder 服務正在使用此角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
清理由AWSServiceRoleForImageBuilder角色使用的 Image Builder 資源
-
在開始之前,請確認沒有管線組建正在執行。若要取消執行中的組建,請使用中的
cancel-image-creation命令 AWS CLI。aws imagebuilder cancel-image-creation --image-build-version-arnarn:aws:imagebuilder:us-east-1:123456789012:image-pipeline/sample-pipeline -
變更所有管線排程以使用手動建置程序,如果不再使用,則將其刪除。如需刪除資源的詳細資訊,請參閱刪除過期或未使用的 Image Builder。
使用刪除服務連結角色 IAM
您可以使用IAM主控台 AWS CLI、或從 AWS API您的帳戶刪除AWSServiceRoleForImageBuilder角色。如需詳細資訊,請參閱IAM使用指南中的刪除服務連結角色。
Image Builder 服務連結角色的支援區域
Image Builder 支援在所有提供服務的 AWS 區域中使用服務連結角色。如需支援的 AWS 區域清單,請參閱AWS 區域和端點。
