EC2 Image Builder 常见问题

可将新映像配置为基于触发器生成，例如每当有待处理的更新时（如源 AMI 更新、安全性更新、合规性更新、新测试等），或按规定的时间间隔生成。您可以应用待处理的更改来指定使用最新更改生成新的黄金映像的“构建间隔”。可使用 Image Builder 测试最新映像，在更新的版本上验证您的应用程序。您还可以通过 SNS 队列订阅通知，等待对使用 Image Builder 构建的映像更新。您可以将这些通知用作构建新映像的触发器。

您可以从注册的软件源（如 RPM/Debian 软件包存储库以及 Windows 上的 MSI 和自定义安装程序）自定义软件映像。除了预注册的 AWS 软件源，您还可以注册一个或多个存储库和 Amazon S3 位置（其中包含待安装的软件）。您可以为需要交互式输入的安装工作流提供特定于安装程序的“无人参与”机制（如问答文件）。

与您现在查找当前 EC2 Image Builder 组件的方式类似，您可以从 EC2 Image Builder 控制台或从 AWS Marketplace 网站查找 AWS Marketplace 组件。订阅后，您可以在 EC2 Image Builder 配方中添加这些组件，同时管理您的 EC2 Image Builder 流水线。

这取决于独立软件供应商（ISV）在将其软件版本发布到 AWS Marketplace 时选择的交付选项。ISV 在将软件发布到 AWS Marketplace 时，可以选择 AMI 或 EC2 Image Builder 组件的形式，或者同时选择二者。如果 ISV 将软件作为 AMI 和 EC2 Image Builder 组件发布为同一款商品，则您只需要为该软件购买一项订阅。在这种情况下，您既可以选择将软件部署为 AMI，也可以使用同一订阅将软件作为 EC2 Image Builder 组件使用。如果 ISV 选择在 AWS Marketplace 中将软件发布为两款商品，一款作为 AMI，另一款作为组件，则您需要分别购买订阅，即购买两项订阅。

您可以在 AWS Marketplace 的产品详情页面上找到支持信息。您需要就供应商的具体组件直接与他们的支持人员沟通。 如需反馈或有其他问题，您可以发送电子邮件至 aws-mp-imagebuilder@amazon.com 联系我们。

Image Builder 允许您定义安全性设置的集合，您可以编辑、更新和使用这些设置来强化使用 Image Builder 构建的映像。设置集合旨在满足适用的合规性标准。这些标准可能是由您的组织或您所在行业的监管机构强制执行的。AWS 提供了一系列设置，有助于遵守通用的行业法规。您可以直接或以修改后的格式应用设置集合。 例如，AWS 针对 STIG 提供的设置关闭了非必要的开放端口，并启用了软件防火墙。

不，AWS 的设置集合代表实现合规的建议指南，并不保证合规。您需要与合规团队和审计员合作验证合规性。AWS 提供的设置可以根据您的需要进行修改，并能保存以供在图库中复用。

设置集合可以从头开始创建，也可以从 AWS 提供的模板中获取，并存储在注册的 Amazon S3 位置。您可以构建自己的集合来应用安全设置，例如，确保应用安全补丁、安装防火墙、关闭某些端口、不允许程序之间共享文件、安装反恶意软件、创建强密码、保留备份、尽可能使用加密、禁用弱加密、日志记录/审计控制、删除个人数据等。您可以将自定义设置添加到图库中。

Image Builder 中的测试框架允许您在部署到 AWS 区域之前捕获操作系统更新引起的不兼容性。您可以同时运行 - AWS 提供的测试和您自己的测试，管理测试运行、结果并在测试通过时控制下游操作。AWS 提供的测试示例包括：测试 AMI 是否可以引导至登录提示，测试 AMI 是否可以运行示例应用程序等。您也可以在映像上运行自己的测试。

Image Builder 中的每个测试都包含一个测试脚本、测试二进制文件和测试元数据。 测试脚本包含用于启动测试二进制文件的编排命令，该二进制文件可以用任何语言编写，也可以在操作系统支持的任何测试框架中编写（如 Windows 上的 PowerShell 和 Linux 上的 bash、python、ruby 等），测试结果用退出状态代码表示。测试元数据还包含诸如名称、描述、测试二进制文件路径、预期持续时间等属性。

Image Builder 与 AWS Organizations 相集成，允许使用现有机制跨 AWS 账户共享 AMI。Image Builder 可以修改 AMI 启动权限，以控制除拥有者外，还允许哪些 AWS 账户使用 AMI 启动 EC2 VM（如私有账户、公共账户以及与特定账户的共享账户）。您还可以让 AWS Organization 主账户对成员账户实施约束，仅允许通过批准的和符合要求的 AMI 启动实例。有关与 AWS Organizations 集成的详细信息，请参阅 Image Builder 文档。 如果您的 AMI 拥有来自 AWS Marketplace 的第三方组件，您必须与这些账户共享软件许可证，这样他们才能使用该组件。

符合。作为 AWS Marketplace 客户，您可以使用 AWS Marketplace 提供的托管授权功能，通过 AWS License Manager 向您的组织分发软件许可授权。与您共享授权的账户可以使用第三方软件，也可以启动黄金镜像。如果没有使用该组件的授权，则 EC2 Image Builder 将失败，并显示没有有效订阅的异常。

Image Builder 使用 Amazon ECR（容器注册表托管服务）作为容器映像的输入和输出。您可以通过配置策略来管理每个存储库的权限并限制对 IAM 用户、角色或 AWS 账户的访问。ECR 与 RAM 和 AWS Organizations 集成，允许跨区域和账户共享、分配和复制容器映像。ECR 使用 IAM 策略控制对资源的访问。

Image Builder 可使用现有的 AMI 共享机制将 AMI 复制到选定的 AWS 区域。测试通过时可使用 Image Builder 来控制分配。

Image Builder 可与代码构建和代码管道等 AWS CI/CD 服务集成，以帮助实现用于构建、测试和部署 AMI 的端到端 CI/CD 管道。

Image Builder 会跟踪并显示映像构建过程中每个步骤的进度。此外，还可以使 Image Builder 将日志发送到 CloudWatch。对于高级故障排除，可以使用 SSM runCommand 界面运行任意命令和脚本。

要对导致 AMI 构建脚本在使用第三方组件时失败的问题进行排查，您应该查看构建日志是否存在任何错误。验证与 AMI 中其他组件的依赖关系和兼容性至关重要。您需要查阅该组件的文档以及独立软件供应商（ISV）在组件使用说明中提供的系统要求。如果无法解决问题，您可以联系 ISV 寻求指导。AWS 不会验证第三方组件之间的依赖关系，因此您必须在构建 AMI 之前确保兼容性。