組織または OU の AMI 共有を管理する - Amazon Elastic Compute Cloud

組織または OU の AMI 共有を管理する

組織および組織単位 (OU) との AMI の共有を管理することで、組織および OU が Amazon EC2 インスタンスを起動できるかどうかを制御できます。

AMI が共有されている組織と OU を表示する

Amazon EC2 コンソールまたは AWS CLI を使用して、AMI を共有した組織および OU を確認することができます。

Console
コンソールを使用して AMI を共有した組織および OU を確認するには
  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで [AMI] を選択します。

  3. リストで AMI を選択し、[Permissions] (アクセス許可) タブをクリックし、[Shared organizations/OUs] (共有組織/OU) までスクロールします。

    共有されている AMI を見つけるには、「Amazon EC2 インスタンスで使用する共有 AMI を検索する」を参照してください。

AWS CLI

どの組織や OU と AMI を共有しているかは、describe-image-attribute コマンド (AWS CLI) と launchPermission 属性で確認できます。

AWS CLI を使用して AMI を共有した組織および OU を確認するには

describe-image-attribute コマンドは、指定した AMI の launchPermission 属性を説明し、その AMI を共有している組織や OU を返します。

aws ec2 describe-image-attribute \ --image-id ami-0abcdef1234567890 \ --attribute launchPermission

以下に、応答の例を示します。

{ "ImageId": "ami-0abcdef1234567890", "LaunchPermissions": [ { "OrganizationalUnitArn": "arn:aws:organizations::111122223333:ou/o-123example/ou-1234-5example" } ] }

組織または OU で AMI を共有する

Amazon EC2 コンソールまたは AWS CLI を使用して AMI を組織または OU と共有できます。

注記

AMI を共有するために、AMI の参照先の Amazon EBS スナップショットを共有する必要はありません。共有する必要があるのは AMI 自体だけです。起動の際に、参照先の Amazon EBS スナップショットへのインスタンスアクセスが自動的に提供されます。ただし、AMI が参照するスナップショットを暗号化するために使用した KMS キーは共有する必要があります。詳細については、組織と OU に KMS キーの使用を許可する をご参照ください。

Console
コンソールを使用して AMI を組織または OU と共有するには
  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで [AMI] を選択します。

  3. リストで AMI を選択し、[Actions] (アクション) から [Edit AMI permissions] (AMI 権限の編集) を選択します。

  4. [AMI availability] (AMI の利用状況) で、[Private] (プライベート) を選択します。

  5. [Shared organizations/OUs] (共有組織/OU) の隣で、[Add organization/OU ARN] (組織/OU ARN を追加) を選択します。

  6. [Organization/OU ARN] (組織/OU ARN) で、AMI を共有する組織 ARN または OU ARN を入力し、[Share AMI] (AMI の共有) を選択します。ID だけでなく、完全な ARN を指定する必要があることに注意してください。

    この AMI を複数の組織または OU と共有するには、この手順を繰り返して、必要なすべての組織または OU を追加します。

  7. 完了したら、[Save changes] (変更を保存) を選択します。

  8. (オプション) AMI を共有した組織または OU を表示するには、リストから AMI を選択し、[Permissions] (アクセス許可) タブをクリックし、[Shared organizations/OUs] (共有組織/OU) までスクロールします。共有されている AMI を見つけるには、「Amazon EC2 インスタンスで使用する共有 AMI を検索する」を参照してください。

AWS CLI

AMI を共有するには、modify-image-attribute コマンド (AWS CLI) を使用します。

AWS CLI を使用して AMI を組織と共有するには

modify-image-attribute コマンドを使用すると、指定した組織に対し、指定した AMI の起動許可が与えられます。ID だけでなく、完全な ARN を指定する必要があることに注意してください。

aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Add=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
AWS CLI を使用して AMI を OU と共有するには

[modify-image-attribute] コマンドを使用すると、指定した OU に対し、指定した AMI の起動許可が与えられます。ID だけでなく、完全な ARN を指定する必要があることに注意してください。

aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Add=[{OrganizationalUnitArn=arn:aws:organizations::123456789012:ou/o-123example/ou-1234-5example}]"
PowerShell

AMI を共有するには、次の例のように Edit-EC2ImageAttribute コマンド (Tools for Windows PowerShell) を使用します。

AMI を組織または OU と共有するには

次のコマンドを使用すると、指定した組織に対し、指定した AMI の起動許可が与えられます。

PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType add -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"
組織または OU と AMI の共有を停止するには

次のコマンドを使用すると、指定した組織から指定した AMI の起動許可が削除されます。

PS C:\> Edit-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission -OperationType remove -OrganizationArn "arn:aws:organizations::123456789012:organization/o-123example"

すべての組織、OU、および AWS アカウント と AMI の共有を停止するには

次のコマンドを使用すると、指定した AMI からパブリック起動許可と明示的起動許可がすべて削除されます。AMI の所有者には常に起動許可が与えられるため、このコマンドの影響を受けないことにご注意ください。

PS C:\> Reset-EC2ImageAttribute -ImageId ami-0abcdef1234567890 -Attribute launchPermission

組織または OU での AMI 共有を停止する

Amazon EC2 コンソールまたは AWS CLI を使用して AMI を組織または OU と共有することを停止できます。

注記

AMI が共有されている組織または OU 内にある場合、特定のアカウントと AMI の共有を停止することはできません。アカウントの起動権限を削除して AMI の共有を停止しようとすると、Amazon EC2 は成功メッセージを返します。ただし、AMI は引き続きアカウントと共有されます。

Console
組織または OU との AMI の共有を停止するには
  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで [AMI] を選択します。

  3. リストで AMI を選択し、[Actions] (アクション) から [Edit AMI permissions] (AMI 権限の編集) を選択します。

  4. [Shared organizations/OUs] (共有組織/OU) で、AMI の共有を停止する組織または OU を選択し、[Remove selected] (選択を削除) を選択します。

  5. 完了したら、[Save changes] (変更を保存) を選択します。

  6. (オプション) AMI の組織または OU との共有の停止を確認するには、リストから AMI を選択し、[Permissions] (アクセス許可) タブをクリックし、[Shared organizations/OUs] (共有組織/OU) までスクロールします。

AWS CLI

AMI の共有を停止するには、[modify-image-attribute] または [reset-image-attribute] コマンド (AWS CLI) を使用します。

AWS CLI を使用して AMI を組織または OU と共有することを停止するには

[modify-image-attribute] コマンドを使用すると、指定した組織から指定した AMI の起動許可が削除されます。ARN を指定する必要があることに注意してください。

aws ec2 modify-image-attribute \ --image-id ami-0abcdef1234567890 \ --launch-permission "Remove=[{OrganizationArn=arn:aws:organizations::123456789012:organization/o-123example}]"
AWS CLI を使用してすべての組織、OU、および AWS アカウント と AMI の共有を停止するには

reset-image-attribute コマンドを使用すると、指定した AMI からパブリック起動許可と明示的起動許可がすべて削除されます。AMI の所有者には常に起動許可が与えられるため、このコマンドの影響を受けないことにご注意ください。

aws ec2 reset-image-attribute \ --image-id ami-0abcdef1234567890 \ --attribute launchPermission