Image Builder イメージのライフサイクル管理の前提条件 - EC2 Image Builder
Image Builder ライフサイクル管理のIAMロールを作成するImage Builder クロスアカウントライフサイクル管理のIAMロールを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Image Builder イメージのライフサイクル管理の前提条件

Image EC2 Builder ライフサイクル管理ポリシーとルールをイメージリソースに定義する前に、次の前提条件を満たす必要があります。

  • Image Builder がライフサイクルポリシーを実行するアクセス許可を付与するIAMロールを作成します。ロールを作成するには、「Image Builder ライフサイクル管理のIAMロールを作成する」を参照してください。

  • アカウント間で分散された関連リソースの宛先アカウントにIAMロールを作成します。このロールは、関連するリソースの送信先アカウントでライフサイクルアクションを実行する権限を Image Builder に付与します。ロールを作成するには、「Image Builder クロスアカウントライフサイクル管理のIAMロールを作成する」を参照してください。

    注記

    この前提条件は、出力 の起動許可を付与している場合には適用されませんAMI。起動アクセス許可では、 と共有したアカウントは、共有 から起動されたインスタンスを所有しますがAMI、すべてのAMIリソースはアカウントに残ります。

  • コンテナイメージの場合、ECRImage Builder がリポジトリに保存されているコンテナイメージに対してライフサイクルアクションを実行するためのアクセスを許可するには、リポジトリに次のタグを追加する必要があります。 LifecycleExecutionAccess: EC2 Image Builder

Image Builder ライフサイクル管理のIAMロールを作成する

Image Builder がライフサイクルポリシーを実行するアクセス許可を付与するには、まずライフサイクルアクションを実行するために使用するIAMロールを作成する必要があります。次の手順に従って、権限を付与するサービスロールを作成します。

  1. でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

  2. ナビゲーションペインで、[ロール] を選択します。

  3. [ロールの作成] を選択します。これにより、[信頼されたエンティティを選択] のプロセスの最初のステップが開いて、ロールを作成します。

  4. [信頼されたエンティティタイプ] に、[カスタム信頼ポリシー] オプションを選択します。

  5. 次のJSON信頼ポリシーをコピーしてカスタム信頼ポリシーテキストエリアに貼り付け、サンプルテキストを置き換えます。この信頼ポリシーにより、Image Builder はライフサイクルアクションを実行するために作成したロールを引き継ぐことができます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "imagebuilder.amazonaws.com"
                ]
            }
        }
    ]
}

  6. リストから次の管理ポリシーを選択します。 EC2ImageBuilderLifecycleExecutionPolicyを選択し、次へ を選択します。これにより、[名前、確認、および作成] ページが開きます。

    ヒント

    image をフィルターして結果を効率化します。

  7. [Role name] (ロール名) に入力します。

  8. 設定を確認したら、[ロールを作成] を選択します。

Image Builder クロスアカウントライフサイクル管理のIAMロールを作成する

Image Builder が関連するリソースの送信先アカウントでライフサイクルアクションを実行するアクセス許可を付与するには、まず、それらのアカウントでライフサイクルアクションを実行するために使用するIAMロールを作成する必要があります。送信先アカウントでロールを作成する必要があります。

次の手順に従って、送信先アカウントの権限を付与するサービスロールを作成します。

  1. でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

  2. ナビゲーションペインで、[ロール] を選択します。

  3. [ロールの作成] を選択します。これにより、[信頼されたエンティティを選択] のプロセスの最初のステップが開いて、ロールを作成します。

  4. [信頼されたエンティティタイプ] に、[カスタム信頼ポリシー] オプションを選択します。

  5. 次のJSON信頼ポリシーをコピーし、カスタム信頼ポリシーテキストエリアに貼り付けて、サンプルテキストを置き換えます。この信頼ポリシーにより、Image Builder はライフサイクルアクションを実行するために作成したロールを引き継ぐことができます。

    注記

    Image Builder が送信先アカウントでこのロールを使用して、複数のアカウントに分散されていた関連リソースを処理する場合、Image Builder は送信先アカウントの所有者に代わって動作します。信頼ポリシーaws:SourceAccountで として設定 AWS アカウント する は、Image Builder がこれらのリソースを分散したアカウントです。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "imagebuilder.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "444455556666"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:*:imagebuilder:*:*:image/*/*/*"
                }
            }
        }
    ]
}

  6. リストから次の管理ポリシーを選択します。 EC2ImageBuilderLifecycleExecutionPolicyで、次へ を選択します。これにより、[名前、確認、および作成] ページが開きます。

    ヒント

    image をフィルターして結果を効率化します。

  7. Ec2ImageBuilderCrossAccountLifecycleAccess[ロール名] として入力します。

    重要

    Ec2ImageBuilderCrossAccountLifecycleAccess は、このロールの名前でなければなりません。

  8. 設定を確認したら、[ロールを作成] を選択します。