EC2 Image Builder 常見問答集

新映像可設定為根據觸發產生，例如每次有待處理更新時 (例如來源 AMI 更新、安全性更新、合規性更新、新測試等)，或在規定的時間週期產生。您可以指定「建立週期」，透過套用待處理變更來產生具有最新變更的新黃金映像。可以使用 Image Builder 測試最新映像，以驗證您在更新版本上的應用程式。此外，您還可以針對使用 Image Builder 所建立映像的待處理更新，透過 SNS 佇列訂閱通知。您可以將這些通知用作建立新映像的觸發器。

您可以從註冊的軟體來源 (例如 RPM/Debian 套件儲存庫) 以及 Windows 上的 MSI 和自訂安裝程式，自訂軟體映像。除了預先註冊的 AWS 軟體來源之外，您還可以註冊一或多個包含要安裝軟體的儲存庫和 Amazon S3 位置。您可以針對需要互動式輸入的安裝工作流程，提供安裝程式特定的「無人參與」機制 (例如答案檔案)。

與現在尋找目前 EC2 Image Builder 元件的方式類似，您可以從 EC2 Image Builder 主控台或 AWS Marketplace 網站尋找 AWS Marketplace 元件。一旦訂閱之後，您可以在管理 EC2 Image Builder 管道時，將這些元件新增至 EC2 Image Builder 配方中。

這取決於獨立軟體開發廠商 (ISV) 在 AWS Marketplace 發布其軟體版本時選取的交付選項。ISV 可以在 AWS Marketplace 中發布其軟體，以用作 AMI、EC2 Image Builder 元件，或兩者皆用。如果 ISV 在同一清單中發布了其軟體以用作 AMI 和 EC2 Image Builder 元件，則您只需要對該軟體訂閱一次即可。在這種情況下，您可以選擇部署為 AMI，也可使用相同的訂閱來將軟體用作 EC2 Image Builder 元件。如果 ISV 選擇在 AWS Marketplace 發布 2 個清單，一個作為 AMI，另一個作為元件，則需要 2 個單獨的訂閱。

您可以在 AWS Marketplace 中的產品詳細資訊頁面找到支援資訊。您需要就廠商的特定元件直接與其支援人員聯絡。 如有意見回饋或更多問題，您可以傳送電子郵件給我們：aws-mp-imagebuilder@amazon.com。

Image Builder 允許您定義安全性設定的集合，您可以編輯、更新和使用這些設定，來強化使用 Image Builder 建立的映像。您可以套用這些設定的集合，以滿足適用的合規性標準。您的組織或您所在行業的監管機構可能會強制執行這些標準。AWS 提供了一系列設定，有助於滿足常見的行業法規。您可以直接套用，或以修改的形式套用這些設定的集合。 例如，AWS 針對 STIG 提供的設定，可關閉不必要的開放連接埠，並啟用軟體防火牆。

不可以，AWS 的設定集合代表實現合規性的建議指南，並未對合規性做出保證。您需要協同合規團隊和稽核人員來驗證合規性。您可以根據需求修改 AWS 提供的設定，並儲存以便在庫中重複使用。

設定集合既可從頭開始創作，也可從 AWS 提供的範本中擷取，並將其儲存在註冊的 Amazon S3 位置。您可以建立自己的集合，以套用安全性設定，例如，確保已套用安全修補檔；安裝防火牆；關閉某些連接埠；不允許程式之間共用檔案；安裝防惡意軟體；建立強密碼；保留備份；在可能的情況下使用加密；停用弱加密；日誌記錄/稽核控制；個人資料移除等。您可以將自訂設定新增至庫。

您可透過 Image Builder 中的測試框架，在部署至 AWS 區域之前發現作業系統更新引起的不相容性。您可以同時執行 AWS 提供的測試和您自己的測試，管理測試執行、結果，並在測試通過時控制下游操作。AWS 提供的測試範例包括：測試 AMI 能否啟動登入提示；測試 AMI 能否執行範例應用程式等。此外，您也可以在映像上執行自己的測試。

Image Builder 中的每項測試都包含測試指令碼、測試二進位檔案，以及測試中繼資料。 測試指令碼包含用於啟動測試二進位檔案的協調命令，可用任何語言對其進行編寫，也可以在作業系統支援的任何測試框架中編寫 (例如 Windows 上的 PowerShell，以及 Linux 上的 bash、python、ruby 等)，退出狀態代碼表示測試結果。測試中繼資料還包括名稱、描述、測試二進位檔案的路徑、預期持續期間等屬性)。

Image Builder 與 AWS Organizations 整合，支援使用現有機制在 AWS 帳戶間共用 AMI。Image Builder 可以修改 AMI 啟動許可，以控制除擁有者外，哪些 AWS 帳戶可以使用 AMI 啟動 EC2 VM (例如私人、公用，以及與特定帳戶共用)。此外，您還可以讓您的 AWS Organization 主帳戶對成員帳戶實施約束，僅使用經核准且符合要求的 AMI 來啟動執行個體。如需有關與 AWS Organizations 整合的詳細資訊，請參閱 Image Builder 文件。 如果您的 AMI 具有來自 AWS Marketplace 的第三方元件，則您必須與這些帳戶共用軟體的授權，以允許他們使用該元件。

是。身為 AWS Marketplace 客戶，您可以使用 AWS Marketplace 提供的受管權益功能，以透過 AWS License Manager 將軟體授權權益分配給您的組織。您與之共享權益的帳戶可以使用第三方軟體，並可以啟動黃金映像。如果沒有使用該元件的權益，則 EC2 Image Builder 會失敗，例如沒有有效的訂閱。

Image Builder 會將 Amazon ECR (容器登錄檔的受管服務) 當作容器映像的輸入和輸出。您可以設定政策以管理每個儲存庫的許可，並限制對 IAM 使用者、角色或 AWS 帳戶的存取。ECR 會與 RAM 和 AWS Organizations 整合，可在區域和帳戶中共用、分散和複製容器映像。ECR 會使用 IAM 政策控制資源的存取。

Image Builder 可使用現有 AMI 共用機制，將 AMI 複製到選定的 AWS 區域。在測試通過時可使用 Image Builder 來控制分散。

Image Builder 可與 Code Build 和 Code Pipeline 等 AWS CI/CD 服務整合，協助實現用於建立、測試和部署 AMI 的端對端 CI/CD 管道。

Image Builder 會追蹤並顯示映像建立過程中每個步驟的進度。此外，Image Builder 可設定為向 CloudWatch 發出日誌。對於進階疑難排解，可以使用 SSM runCommand 界面執行任意命令和指令碼。

若要針對第三方元件的 AMI 建置失敗進行疑難排解，您應該檢閱建置日誌是否有任何錯誤。請務必驗證與 AMI 中的其他元件的相依性和相容性。您需要檢查元件的使用說明中由獨立軟體開發廠商 (ISV) 提供的元件文件和系統需求。如果您無法解決問題，則可聯絡 ISV 尋求指導。AWS 不會驗證第三方元件之間的相依性，因此您必須確保相容性才能建置 AMI。