Image Builder でクロスアカウント AMI ディストリビューションのセットアップ - EC2 Image Builder
前提条件クロスアカウント配信の制限コンソールから Image Builder AMI のクロスアカウントディストリビューションを設定するから Image Builder AMI のクロスアカウントディストリビューションを設定する AWS CLI

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Image Builder でクロスアカウント AMI ディストリビューションのセットアップ

このセクションでは、指定した他のアカウントに Image Builder AMI を配信するためのディストリビューション設定を行う方法について説明します。

その後、宛先アカウントは、必要に応じて AMI を起動または変更できます。

注記

AWS CLI このセクションの コマンドの例は、イメージレシピとインフラストラクチャ設定 JSON ファイルを以前に作成したことを前提としています。イメージレシピの JSON ファイルを作成するには、「でイメージレシピを作成する AWS CLI」を参照してください。インフラストラクチャー設定用の JSON ファイルを作成するには、「インフラストラクチャ構成を作成します。」を参照してください。

前提条件

ターゲットアカウントが Image Builder イメージからインスタンスを正常に起動できるようにするには、すべてのリージョンのすべての宛先アカウントに適切な権限を設定する必要があります。

AWS Key Management Service (AWS KMS) を使用して AMI を暗号化する場合は、新しいイメージの暗号化に使用される AWS KMS key アカウントの を設定する必要があります。

Image Builder が暗号化された AMI のクロスアカウント配信を実行すると、ソースアカウントのイメージが復号化されてターゲットリージョンにプッシュされ、そのリージョンに指定されたキーを使用して再暗号化されます。Image Builder はターゲットアカウントに代わって動作し、宛先リージョンで作成した IAM ロールを使用するため、そのアカウントはソースリージョンとターゲットリージョンの両方のキーにアクセスできる必要があります。

暗号化キー

AWS KMSを使用してイメージを暗号化する場合、以下の前提条件が必要です。IAM の前提条件として以下で説明します。

ソースアカウント要件

  • AMI を構築して配布するすべてのリージョンのアカウントに KMS キーを作成します。既存のグループを使用することもできます。

  • 宛先アカウントがキーを使用できるように、これらすべてのキーのキーポリシーを更新してください。

送信先アカウント要件

  • 暗号化された AMI を配布するために、必要なアクションをロールが実行できるようにするインラインポリシーを EC2ImageBuilderDistributionCrossAccountRole に追加します。IAM の設定手順については、「IAM ポリシー 前提条件」セクションを参照してください。

を使用したクロスアカウントアクセスの詳細については AWS KMS、「 AWS Key Management Service デベロッパーガイド」の「他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。

以下のように、イメージレシピに暗号化キーを指定します。

  • Image Builder コンソールを使用している場合は、レシピの [ストレージ (ボリューム)] セクションにある [暗号化 (KMS エイリアス)] ドロップダウンリストから暗号化キーを選択します。

  • CreateImageRecipe API アクション、または の create-image-recipe コマンドを使用している場合は AWS CLI、JSON 入力の の ebsセクションblockDeviceMappingsでキーを設定します。

    次の JSON スニペットは、イメージレシピの暗号化設定を示しています。暗号化キーを提供するだけでなく、encrypted フラグを true に設定する必要もあります。

    {
	...
	"blockDeviceMappings": [
	{
		"deviceName": "Example root volume",
		"ebs": { 
			"deleteOnTermination": true,
			"encrypted": true,
			"iops": 100,
			"kmsKeyId": "image-owner-key-id",
			...
		},
		...
	}],
	...
}

IAM ポリシー

AWS Identity and Access Management (IAM) でクロスアカウントディストリビューションのアクセス許可を設定するには、次の手順に従います。

  1. 複数のアカウントに分散されている Image Builder AMI を使用するには、宛先アカウントの所有者が自分の EC2ImageBuilderDistributionCrossAccountRole というアカウントで新しい IAM ロールを作成する必要があります。

  2. アカウント間の配信を有効にするには、「Ec2ImageBuilderCrossAccountDistributionAccess ポリシー」をロールにアタッチする必要があります。マネージドポリシーの詳細については、AWS Identity and Access Management IAM ユーザーガイドの「マネージドポリシーとインラインポリシー」を参照してください。

  3. ソースアカウント ID が、宛先アカウントの IAM ロールにアタッチされた信頼ポリシーに追加されていることを確認します。信頼ポリシーの詳細については、AWS Identity and Access Management User Guide の Resource-Based Policies を参照してください。

  4. 配布する AMI が暗号化されている場合、宛先アカウントの所有者は、KMS キーを使用できるように、アカウントで EC2ImageBuilderDistributionCrossAccountRole に次のインラインポリシーを追加する必要があります。Principal セクションにはアカウント番号が含まれています。これにより、Image Builder は、 AWS KMS を使用して各リージョンの適切なキーで AMI を暗号化および復号するときに、Image Builder に代わって動作できるようになります。

    {
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllowRoleToPerformKMSOperationsOnBehalfOfTheDestinationAccount",
			"Effect": "Allow",
			"Action": [
				"kms:Encrypt",
				"kms:Decrypt",
				"kms:ReEncrypt*",
				"kms:GenerateDataKey*",
				"kms:DescribeKey",
				"kms:CreateGrant",
				"kms:ListGrants",
				"kms:RevokeGrant"
			],
			"Resource": "*"
		}
	]
}

    インラインポリシーの詳細については、AWS Identity and Access Management ユーザーガイドの「インラインポリシー」を参照してください。

  5. launchTemplateConfigurations を使用して Amazon EC2 起動テンプレートを指定する場合は、各宛先アカウントの EC2ImageBuilderDistributionCrossAccountRole に次のポリシーを追加する必要もあります。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateLaunchTemplateVersion",
                "ec2:ModifyLaunchTemplate"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CreatedBy": "EC2 Image Builder"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeLaunchTemplates"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*:*:launch-template/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CreatedBy": "EC2 Image Builder"
                }
            }
        }
    ]
}

クロスアカウント配信の制限

Image Builder イメージを複数のアカウントに配布する場合、いくつかの制限があります。

  • 宛先アカウントは、宛先リージョンごとに同時 AMI コピーが 50 個に制限されています。

  • 準仮想化 (PV) 仮想化 AMI を別のリージョンにコピーする場合、コピー先のリージョンが PV 仮想化 AMI をサポートしている必要があります。詳細については、「Linux AMI 仮想化タイプ」を参照してください。

  • 暗号化されていないスナップショットの暗号化されたコピーを作成することはできません。KmsKeyId パラメータに AWS Key Management Service (AWS KMS)カスタマーマネージドキーを指定しない場合、Image Builder は Amazon Elastic Block Store(Amazon EBS)のデフォルトキーを使用します。詳細については、Amazon Elastic Compute Cloud ユーザーガイドの「Amazon EBS Encryption」を参照してください。

詳細については、EC2 Image Builder API リファレンスCreateDistributionConfigurationの「」を参照してください。

コンソールから Image Builder AMI のクロスアカウントディストリビューションを設定する

このセクションでは、 AWS Management Consoleを使用して Image Builder AMI のクロスアカウント配信用のディストリビューション設定を作成および設定する方法について説明します。クロスアカウント配信を設定するには、特定の IAM 権限が必要です。続行する前に、このセクションの「前提条件」を完了する必要があります。

Image Builder コンソールでディストリビューション設定を作成するには、次の手順に従います。

  1. https://console.aws.amazon.com/imagebuilder/ で、EC2 Image Builder コンソールを開きます。

  2. ナビゲーションペインから配信設定を選択します。これにより、アカウントで作成されたディストリビューション設定のリストが表示されます。

  3. ディストリビューション設定ページの上部で、ディストリビューション設定を作成を選択します。これにより、ディストリビューション設定の作成 ページが表示されます。

  4. イメージタイプ セクションで、出力タイプ として Amazon マシンイメージ (AMI) を選択します。これはデフォルトの設定です。

  5. 全般セクションに、作成する配布設定リソースの名前を入力します(必須)。

  6. リージョン設定で、選択したリージョンのターゲットアカウントに AMI を配布したい 12 桁のアカウント ID を入力し、Enter を押す。これにより正しい形式が確認され、入力したアカウント ID がボックスの下に表示されます。このプロセスを繰り返して、さらにアカウントを追加します。

    入力したアカウントを削除するには、アカウント ID の右に表示される X を選択します。

    各リージョンの出力 AMI 名を入力します。

  7. 必要な追加設定を続けて指定し、設定の作成を選択して新しい配布設定リソースを作成します。

から Image Builder AMI のクロスアカウントディストリビューションを設定する AWS CLI

このセクションでは、ディストリビューション設定ファイルを設定し、 の create-image コマンドを使用して Image Builder AMI AWS CLI を構築してアカウント間で配布する方法について説明します。

クロスアカウント配信を設定するには、特定の IAM 権限が必要です。create-image コマンドを実行する前に、このセクションの 前提条件 を完了する必要があります。

  1. ディストリビューション設定ファイルを設定する

    create-image コマンドを使用して、別のアカウントに配布される Image Builder AMI AWS CLI を作成する前に、AmiDistributionConfiguration設定でターゲットアカウント IDs を指定する DistributionConfiguration JSON 構造を作成する必要があります。ソースリージョンで、少なくとも 1 つのAmiDistributionConfigurationエントリを指定する必要があります。

    次の create-distribution-configuration.json というサンプルファイルは、ソースリージョンでのクロスアカウントイメージ配信の設定を示しています。

    {
	"name": "cross-account-distribution-example",
	"description": "Cross Account Distribution Configuration Example",
	"distributions": [
		{
			"amiDistributionConfiguration": {
				"targetAccountIds": ["123456789012", "987654321098"],
				"name": "Name {{ imagebuilder:buildDate }}", 
				"description": "ImageCopy Ami Copy Configuration"
			}, 
			"region": "us-west-2"
		}
	]
}
  2. ディストリビューション設定を作成する

    create-distribution-configuration コマンドを使用して Image Builder ディストリビューション設定リソースを作成するには AWS CLI、 コマンドで次のパラメータを指定します。

    • ポリシーの名前を --name パラメータに入力します。

    • --cli-input-json パラメータで作成したディストリビューション設定 JSON ファイルを添付します。

    aws imagebuilder create-distribution-configuration --name my distribution name --cli-input-json file://create-distribution-configuration.json
    注記

    • JSON ファイルパスの先頭にfile://ノテーションを含める必要があります。

    • JSON ファイルのパスは、コマンドを実行するベースオペレーティングシステムに適した規則に従う必要があります。例えば、Windows ではディレクトリパスを参照するためにバックスプラッシュ (|) が使用され、Linux ではフォーワードスラッシュ (/) が使用されます。

また、--distributions パラメータを使用して、コマンドで直接 JSON を指定することもできます。