Image Builder イメージのライフサイクル管理の前提条件 - EC2 Image Builder
Image Builder ライフサイクル管理用の IAMロールを作成するImage Builder クロスアカウントライフサイクル管理用の IAMロールを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Image Builder イメージのライフサイクル管理の前提条件

イメージリソースの EC2 Image Builder ライフサイクル管理ポリシーとルールを定義する前に、次の前提条件を満たす必要があります。

  • Image Builder がライフサイクルポリシーを実行するためのアクセス許可を付与する IAMロールを作成します。ロールを作成するには、「Image Builder ライフサイクル管理用の IAMロールを作成する」を参照してください。

  • アカウント間で分散された関連リソースのIAMロールを宛先アカウントに作成します。このロールは、関連するリソースの送信先アカウントでライフサイクルアクションを実行する権限を Image Builder に付与します。ロールを作成するには、「Image Builder クロスアカウントライフサイクル管理用の IAMロールを作成する」を参照してください。

    注記

    この前提条件は、出力 の起動許可を付与している場合には適用されませんAMI。起動許可を使用すると、共有 と共有したアカウントは、共有 から起動されたインスタンスを所有しますがAMI、すべてのAMIリソースはアカウントに残ります。

  • コンテナイメージの場合、ECRImage Builder がリポジトリに保存されているコンテナイメージに対してライフサイクルアクションを実行するためのアクセス権限を付与するには、リポジトリに次のタグを追加する必要があります: LifecycleExecutionAccess: EC2 Image Builder

Image Builder ライフサイクル管理用の IAMロールを作成する

Image Builder にライフサイクルポリシーを実行するアクセス許可を付与するには、まずライフサイクルアクションを実行するために使用するIAMロールを作成する必要があります。次の手順に従って、権限を付与するサービスロールを作成します。

  1. でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

  2. ナビゲーションペインで、[ロール] を選択します。

  3. [ロールの作成] を選択します。これにより、[信頼されたエンティティを選択] のプロセスの最初のステップが開いて、ロールを作成します。

  4. [信頼されたエンティティタイプ] に、[カスタム信頼ポリシー] オプションを選択します。

  5. 次のJSON信頼ポリシーをコピーし、カスタム信頼ポリシーのテキスト領域に貼り付けて、サンプルテキストを置き換えます。この信頼ポリシーにより、Image Builder はライフサイクルアクションを実行するために作成したロールを引き継ぐことができます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "imagebuilder.amazonaws.com"
                ]
            }
        }
    ]
}

  6. リストから次の管理ポリシーを選択します。 EC2ImageBuilderLifecycleExecutionPolicyで、次へ を選択します。これにより、[名前、確認、および作成] ページが開きます。

    ヒント

    image をフィルターして結果を効率化します。

  7. [Role name] (ロール名) に入力します。

  8. 設定を確認したら、[ロールを作成] を選択します。

Image Builder クロスアカウントライフサイクル管理用の IAMロールを作成する

Image Builder が関連するリソースの送信先アカウントでライフサイクルアクションを実行するアクセス許可を付与するには、まず、それらのアカウントでライフサイクルアクションを実行するために使用するIAMロールを作成する必要があります。送信先アカウントでロールを作成する必要があります。

次の手順に従って、送信先アカウントの権限を付与するサービスロールを作成します。

  1. でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

  2. ナビゲーションペインで、[ロール] を選択します。

  3. [ロールの作成] を選択します。これにより、[信頼されたエンティティを選択] のプロセスの最初のステップが開いて、ロールを作成します。

  4. [信頼されたエンティティタイプ] に、[カスタム信頼ポリシー] オプションを選択します。

  5. 次のJSON信頼ポリシーをコピーし、カスタム信頼ポリシーのテキスト領域に貼り付け、サンプルテキストを置き換えます。この信頼ポリシーにより、Image Builder はライフサイクルアクションを実行するために作成したロールを引き継ぐことができます。

    注記

    Image Builder が送信先アカウントでこのロールを使用して、複数のアカウントに分散されていた関連リソースを処理する場合、Image Builder は送信先アカウントの所有者に代わって動作します。- AWS アカウント 信頼ポリシーaws:SourceAccountで として設定する は、Image Builder がそれらのリソースを配布したアカウントです。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "imagebuilder.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "444455556666"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:*:imagebuilder:*:*:image/*/*/*"
                }
            }
        }
    ]
}

  6. リストから次の管理ポリシーを選択します。 EC2ImageBuilderLifecycleExecutionPolicy、次を選択します。これにより、[名前、確認、および作成] ページが開きます。

    ヒント

    image をフィルターして結果を効率化します。

  7. Ec2ImageBuilderCrossAccountLifecycleAccess[ロール名] として入力します。

    重要

    Ec2ImageBuilderCrossAccountLifecycleAccess は、このロールの名前でなければなりません。

  8. 設定を確認したら、[ロールを作成] を選択します。