Image Builder イメージのライフサイクル管理の前提条件 - EC2 イメージビルダー
Image Builder ライフサイクル管理用の IAM ロールを作成するImage Builder クロスアカウントライフサイクル管理用の IAM ロールを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Image Builder イメージのライフサイクル管理の前提条件

イメージリソースの EC2 Image Builder ライフサイクル管理ポリシーとルールを定義する前に、次の前提条件を満たす必要があります。

  • Image Builder にライフサイクルポリシーを実行する権限を付与する IAM ロールを作成します。ロールを作成するには、「Image Builder ライフサイクル管理用の IAM ロールを作成する」を参照してください。

  • 複数のアカウントに分散されていた関連リソースの IAM ロールを移行先アカウントで作成します。このロールは、関連するリソースの送信先アカウントでライフサイクルアクションを実行する権限を Image Builder に付与します。ロールを作成するには、「Image Builder クロスアカウントライフサイクル管理用の IAM ロールを作成する」を参照してください。

    注記

    出力 AMI の起動権限を付与した場合、この前提条件は適用されません。起動権限があれば、共有したアカウントは共有 AMI から起動されたインスタンスを所有しますが、すべての AMI リソースはアカウントに残ります。

  • コンテナイメージの場合、以下のタグを ECR リポジトリに追加して、Image Builder がリポジトリに保存されているコンテナイメージに対してライフサイクルアクションである LifecycleExecutionAccess: EC2 Image Builder を実行するためのアクセス権を付与する必要があります。

Image Builder ライフサイクル管理用の IAM ロールを作成する

Image Builder にライフサイクルポリシーを実行する権限を付与するには、まず Image Builder がライフサイクルアクションを実行するために使用する IAM ロールを作成する必要があります。次の手順に従って、権限を付与するサービスロールを作成します。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで、[ロール] を選択します。

  3. [ロールの作成] を選択します。これにより、[信頼されたエンティティを選択] のプロセスの最初のステップが開いて、ロールを作成します。

  4. [信頼されたエンティティタイプ] に、[カスタム信頼ポリシー] オプションを選択します。

  5. 以下の JSON 信頼ポリシーをコピーして、[カスタム信頼ポリシー] のテキスト領域に貼り付け、サンプルテキストと置き換えます。この信頼ポリシーにより、Image Builder はライフサイクルアクションを実行するために作成したロールを引き継ぐことができます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "imagebuilder.amazonaws.com"
                ]
            }
        }
    ]
}

  6. リストから管理ポリシー [EC2ImageBuilderLifecycleExecutionPolicy] を選択し、[次へ] を選択します。これにより、[名前、確認、および作成] ページが開きます。

    ヒント

    image をフィルターして結果を効率化します。

  7. [Role name] (ロール名) に入力します。

  8. 設定を確認したら、[ロールを作成] を選択します。

Image Builder クロスアカウントライフサイクル管理用の IAM ロールを作成する

Image Builder に関連リソースの宛先アカウントでライフサイクルアクションを実行する権限を付与するには、まず、Image Builder がそれらのアカウントでライフサイクルアクションを実行するために使用する IAM ロールを作成する必要があります。送信先アカウントでロールを作成する必要があります。

次の手順に従って、送信先アカウントの権限を付与するサービスロールを作成します。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで、[ロール] を選択します。

  3. [ロールの作成] を選択します。これにより、[信頼されたエンティティを選択] のプロセスの最初のステップが開いて、ロールを作成します。

  4. [信頼されたエンティティタイプ] に、[カスタム信頼ポリシー] オプションを選択します。

  5. 以下の JSON 信頼ポリシーをコピーして、[カスタム信頼ポリシー] のテキスト領域に貼り付け、サンプルテキストと置き換えます。この信頼ポリシーにより、Image Builder はライフサイクルアクションを実行するために作成したロールを引き継ぐことができます。

    注記

    Image Builder が送信先アカウントでこのロールを使用して、複数のアカウントに分散されていた関連リソースを処理する場合、Image Builder は送信先アカウントの所有者に代わって動作します。信頼ポリシーaws:SourceAccountで として設定 AWS アカウント する は、Image Builder がそれらのリソースを配布したアカウントです。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "imagebuilder.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "444455556666"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:*:imagebuilder:*:*:image/*/*/*"
                }
            }
        }
    ]
}

  6. リストから管理ポリシー [EC2ImageBuilderLifecycleExecutionPolicy] を選択し、[次へ] を選択します。これにより、[名前、確認、および作成] ページが開きます。

    ヒント

    image をフィルターして結果を効率化します。

  7. Ec2ImageBuilderCrossAccountLifecycleAccess[ロール名] として入力します。

    重要

    Ec2ImageBuilderCrossAccountLifecycleAccess は、このロールの名前でなければなりません。

  8. 設定を確認したら、[ロールを作成] を選択します。