翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
EC2 Image Builder リソースを共有
EC2 Image Builder は AWS Resource Access Manager (AWS RAM) と統合されており、特定のリソースを AWS アカウント または を通じて共有できます AWS Organizations。共有できる EC2 Image Builder リソースは下記のとおりです。
-
コンポーネント
-
イメージ
-
recipe
このセクションでは、 EC2 Image Builder リソースの共有に役立つ情報を提供します。
セクションの内容
EC2 Image Builder での共有コンポーネント、イメージ、レシピの使用
コンポーネント、イメージ、レシピの共有により、リソース所有者はソフトウェア設定を他の AWS アカウント または AWS 組織内で共有できます。リソース共有を一元的に管理し、設定を共有できるアカウントのセットを定義できます。
このモデルでは、コンポーネント、イメージ、またはレシピを所有 AWS アカウント する (所有者) は、それを他の AWS アカウント (コンシューマー) と共有します。コンシューマーは、共有コンポーネントをイメージパイプラインに関連付けることにより、共有コンポーネント、イメージ、またはレシピの更新を自動的に利用することができます。
コンポーネント、イメージ、またはレシピの所有者は、これらのリソースを下記のユーザーと共有できます。
-
の組織 AWS アカウント 内外に固有 AWS Organizations。
-
AWS Organizationsの組織内の組織単位 (OU)
-
AWS Organizationsの組織全体。
-
AWS Organizations または組織外の OUs。
コンポーネント、イメージ、レシピを共有するための前提条件
Image Builder コンポーネント、イメージ、またはレシピを共有するには :
-
AWS アカウントでコンポーネント、イメージ、またはレシピがあるのは必要です。自身が共有を受けているリソースを他者に共有することはできません。
-
暗号化されたリソースに関連付けられた AWS Key Management Service (AWS KMS) キーは、ターゲットアカウント、組織、または OUs と明示的に共有する必要があります。
-
を使用して Image Builder リソースを AWS Organizations および OUs と共有するには AWS RAM、共有を有効にする必要があります。詳細については、「AWS RAM ユーザーガイド」の「AWS Organizationsで共有を有効化する」を参照してください。
-
で暗号化されたイメージを異なるリージョンのアカウント AWS KMS 間で配布する場合は、各ターゲットリージョンに KMS キーとエイリアスを作成する必要があります。さらに、それらのリージョンでインスタンスを起動するユーザーは、キーポリシーで指定された KMS キーにアクセスする必要があります。
Image Builder がパイプラインビルドから作成する以下のリソースは、Image Builder リソースとは見なされません。むしろ、Image Builder がアカウント、およびディストリビューション設定で指定した AWS リージョン、アカウント、組織、または組織単位 (OUsに配布する外部リソースです。
-
Amazon マシンイメージ (AMI)
-
Amazon ECR にあるコンテナイメージ。
AMI ディストリビューション設定の詳細については、「AMI ディストリビューション設定の作成と更新」を参照してください。Amazon ECR にあるコンテナイメージのディストリビューション設定の詳細については、「コンテナイメージのディストリビューション設定を作成および更新します。」を参照してください。
AWS Organizations および OUs「組織または OUs」を参照してください。
関連サービス
AWS Resource Access Manager
コンポーネント、イメージ、レシピの共有は AWS Resource Access Manager () と統合されますAWS RAM。 AWS RAM は、任意の AWS アカウントまたは を通じて AWS リソースを共有できるようにするサービスです AWS Organizations。では AWS RAM、リソース共有を作成して、所有しているリソースを共有します。リソース共有は共有するリソースと、それらを共有するコンシューマーを指定します。コンシューマーは、個々の AWS アカウント、組織単位、または 内の組織全体にすることができます AWS Organizations。
の詳細については AWS RAM、「 AWS RAM ユーザーガイド」を参照してください。
リージョン間での共有
共有コンポーネント、イメージ、レシピは、指定された AWS リージョンでのみ共有できます。これらのリソースを共有する際、リージョン間でレプリケートされません。
コンポーネント、イメージ、またはレシピを共有する
Image Builder コンポーネント、イメージ、またはレシピを共有するには、リソース共有に追加する必要があります。リソース共有は、アカウント間で AWS RAM AWS リソースを共有できる リソースです。リソース共有では、共有対象のリソースと、共有先のコンシューマーを指定します。コンポーネント、イメージ、またはレシピを新しいリソース共有に追加するには、まず AWS RAM コンソールを使用してリソース共有を作成する必要があります。
ユーザーが の組織に属 AWS Organizations していて、組織内での共有が有効になっている場合、組織内のコンシューマーには共有コンポーネント、イメージ、またはレシピへのアクセス許可が自動的に付与されます。これに該当しない場合、コンシューマーはリソースへの参加の招待を受け取り、その招待を受け入れた後で、リソースの共有に対するアクセス許可が付与されます。
リソースの共有するには、次のオプションが利用できます:
オプション 1: RAM リソース共有を作成する
RAM リソース共有を作成する時、所有しているコンポーネント、イメージ、またはレシピを 1 つのステップで共有できます。次のいずれかの方法を使用して、リソース共有を作成してください:
-
コンソール
AWS RAM コンソールを使用してリソース共有を作成するには、「 ユーザーガイド」の「所有する AWS リソースの共有AWS RAM 」を参照してください。
-
AWS CLI
AWS RAM コマンドラインインターフェイスを使用してリソース共有を作成するには、 で create-resource-share コマンドを実行します AWS CLI。
オプション 2: リソースポリシーを適用して RAM リソース共有に昇格する
リソースを共有するための 2 番目のオプションには、両方の AWS CLI でコマンドを実行する 2 つのステップが含まれます。最初のステップでは、 の Image Builder コマンド AWS CLI を使用して、リソースベースのポリシーを共有リソースに適用します。2 番目のステップでは、 の promote-resource-share-created-from-policy AWS RAM コマンドを使用してリソースを RAM リソース共有に昇格 AWS CLI し、リソースを共有したすべてのプリンシパルにリソースが表示されるようにします。
-
リソースポリシーを適用します。
リソースポリシーを正常に適用するには、共有を受けているアカウントが基礎的なリソースへのアクセス権限があることを確認する必要があります。
該当するコマンドのリソースタイプに合ったタブを選択します。
注記
リソースの共有と共有解除に関する正しいポリシーを設定するには、
imagebuilder:put*
リソース所有者に権限が必要です。 -
RAM リソース共有として昇格する
リソースを共有したすべてのプリンシパルにリソースが表示されるようにするには、 で promote-resource-share-created-from-policy AWS RAM コマンドを実行します AWS CLI。
共有コンポーネント、イメージ、またはレシピの共有を解除する
所有する共有コンポーネント、イメージ、またはレシピを共有または共有を解除するには、リソース共有から削除する必要があります。これは、 AWS Resource Access Manager コンソールまたは を使用して実行できます AWS CLI。
注記
コンポーネント、イメージ、レシピの共有を解除する場合、コンシューマーはそれらに依存することはできません。コンシューマーは、所有者が共有を解除する前に、共有リソースの依存関係をすべて削除する必要があります。
AWS Resource Access Manager コンソールを使用して、所有する共有コンポーネント、イメージ、またはレシピを共有解除できます。
AWS RAM ユーザーガイドのリソース共有の更新を参照してください。
AWS CLIを使用して所有するコンポーネント、イメージ、またはレシピを共有解除できます。
「disassociate-resource-share」コマンドを使用してリソースの共有を停止します。
共有コンポーネント、イメージ、またはレシピを識別しています。
所有者と利用者は、Image Builder コマンドを AWS CLIで 使用して、共有コンポーネント、イメージ、およびイメージレシピを識別できます。
共有コンポーネントの識別
list-components
共有イメージの識別
list-images
共有コンテナイメージを識別
list-images
共有イメージレシピを識別
list-image-recipes
共有コンテナレシピを識別
list-container-recipes
共有コンポーネント、イメージ、及びレシピのアクセス許可
所有者のアクセス許可
所有者は、共有コンポーネント、イメージ、またはイメージレシピが共有されなくなるまで削除できません。所有者は、利用者が誰もリソースに依存しなくなるまで、これらのリソースの共有を解除することはできません。
コンシューマーのアクセス許可
コンシューマーはコンポーネント、イメージ、またはイメージレシピを読み取ることはできますが、変更することはできません。リソースの所有者や他のコンシューマーが所有している場合、リソースを表示したり変更したりすることはできません。コンシューマーは共有コンポーネントとイメージをイメージレシピの中で使用して独自のカスタムイメージを作成できます。コンシューマーは共有イメージレシピを使用して独自のカスタムイメージを作成できます。
請求と使用量測定
EC2 Image Builder の使用には料金はかかりません。
リソースの制限
共有コンポーネント、イメージ、およびイメージレシピは、所有者のみが対応するリソース制限にカウントされます。共有されたリソースは、コンシューマーのリソース制限に影響はありません。