翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
EC2 Image Builder とインターフェイス VPC エンドポイント (AWS PrivateLink)
VPCとEC2 Image Builderの間にプライベート接続を確立するには、インターフェイス VPC エンドポイントを作成します。インターフェイスエンドポイントは、インターネットゲートウェイAWS PrivateLink
各インターフェースエンドポイントは、サブネット内の 1 つ以上の Elastic Network Interface によって表されます。新しいイメージを作成するときに、インフラストラクチャ設定で VPC subnet-id を指定できます。
注記
VPC 内からアクセスする各サービスには、独自のエンドポイントポリシーを持つ独自のインターフェイスエンドポイントがあります。Image Builder は AWSTOE コンポーネントマネージャーアプリケーションをダウンロードし、S3 バケットからマネージドリソースにアクセスしてカスタムイメージを作成します。これらのバケットへのアクセスを許可するには、S3 エンドポイントポリシーを更新して許可する必要があります。詳細については、「S3 バケットアクセスのカスタムポリシー」を参照してください。
VPC エンドポイントの詳細については、Amazon VPC ユーザーガイドの「インターフェイス VPC エンドポイント (AWS PrivateLink PrivateLink)」を参照してください。
Image Builder VPC エンドポイントに関する考慮事項
Image Builder用のインターフェースVPCエンドポイントを設定する前に、Amazon VPC User Guideのインターフェースエンドポイントのプロパティと制限事項を確認してください。
Image Builderは、VPCからすべてのAPIアクションの呼び出しをサポートしています。
Image Builder用のインターフェースVPCエンドポイントを作成する
Image Builder サービスの VPC エンドポイントを作成するには、Amazon VPC コンソールまたは AWS Command Line Interface () を使用できますAWS CLI。詳細については、 Amazon VPC ユーザーガイド のインターフェイスエンドポイントの作成を参照してください。
以下のサービス名を使用して、Image Builder用のVPCエンドポイントを作成します:
-
com.amazonaws.
region
.imagebuilder
エンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (imagebuilder.us-east-1.amazonaws.com
など) を使用して、QLDB への API リクエストを実行できます。対象のリージョンに適用されるエンドポイントを調べるには、Amazon Web Services 全般のリファレンスの]EC2 Image Builderのエンドポイントとクォータを参照する。
詳細については、Amazon VPC User Guideのインターフェースエンドポイントを介したサービスへのアクセスを参照してください。
Image Builder用VPCエンドポイントポリシーの作成
VPC エンドポイントには、 へのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。
-
アクションを実行できるプリンシパル。
-
実行可能なアクション。
-
このアクションを実行できるリソース。
レシピで Amazon が管理するコンポーネントを使用している場合、Image Builder の VPC エンドポイントは、以下のサービス所有のコンポーネントライブラリへのアクセスを許可する必要があります。
arn:aws:imagebuilder:
region
:aws:component/*
重要
EC2 Image Builder のインターフェイス VPC エンドポイントにデフォルト以外のポリシーを適用すると、 からの失敗など、失敗した特定の API リクエストはRequestLimitExceeded
、 AWS CloudTrail または Amazon にログ記録されない場合があります CloudWatch。
詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントによるサービスのアクセスコントロール」を参照してください。
S3 バケットアクセスのカスタムポリシー
Image Builder は、公開されている S3 バケットを使用して、コンポーネントなどの管理対象リソースを保存し、アクセスします。また、 AWSTOE コンポーネント管理アプリケーションを別の S3 バケットからダウンロードします。環境でAmazon S3のVPCエンドポイントを使用している場合、S3 VPCエンドポイントポリシーでImage Builderが以下のS3バケットにアクセスできるようにする必要があります。バケット名は、 AWS リージョン (リージョン )
とアプリケーション環境 (環境 )
ごとに一意です。Image Builder と は、、prod
、preprod
および のアプリケーション環境 AWSTOE をサポートしますbeta
。
-
AWSTOE コンポーネントマネージャーバケット:
s3://ec2imagebuilder-toe-
region
-environment
例: s3://ec2imagebuilder-toe-us-west-2-prod/*
-
Image Builder 管理リソースバケット:
s3://ec2imagebuilder-managed-resources-
region
-environment
/components例: s3://ec2imagebuilder-managed-resources-us-west-2-prod/components/*
VPC エンドポイントのポリシーの例
このセクションには、カスタム VPC エンドポイントポリシーの例が含まれています。
Image Builderアクションの一般的なVPCエンドポイントポリシー
次の Image Builder のエンドポイントポリシー例では、Image Builder のイメージとコンポーネントを削除する権限を拒否しています。このポリシー例では、EC2 Image Builderの他のすべてのアクションを実行する権限も付与している。
{ "Version": "2012-10-17", "Statement": [ { "Action": "imagebuilder:*", "Effect": "Allow", "Resource": "*" }, { "Action": [ "imagebuilder: DeleteImage" ], "Effect": "Deny", "Resource": "*", }, { "Action": [ "imagebuilder: DeleteComponent" ], "Effect": "Deny", "Resource": "*", }] }
組織ごとにアクセスを制限し、管理対象コンポーネントへのアクセスを許可します。
次のエンドポイントポリシーの例は、組織に属する ID とリソースへのアクセスを制限し、Amazon が管理する AWSTOE コンポーネントへのアクセスを提供する方法を示しています。region 、
principal-org-id
、および を組織の値resource-org-id
に置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "
principal-org-id
", "aws:ResourceOrgID": "resource-org-id
" } } }, { "Sid": "AllowAccessToEC2ImageBuilderComponents", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "imagebuilder:GetComponent" ], "Resource": [ "arn:aws:imagebuilder:region
:aws:component/*" ] } ] }
Amazon S3 バケットアクセスの VPC エンドポイントポリシー
以下の S3 エンドポイントポリシーの例では、Image Builder がカスタムイメージの構築に使用する S3 バケットへのアクセスを提供する方法を示しています。 リージョン
と 環境
を組織の値に置き換えてください。アプリケーションの要件に基づいて、その他の必要な権限をポリシーに追加します。
注記
Linux イメージの場合、イメージレシピでユーザーデータを指定しない場合、Image Builder は、イメージのビルドインスタンスとテストインスタンスに Systems Manager エージェントをダウンロードしてインストールするスクリプトを追加します。エージェントをダウンロードするには、Image Builder がビルドリージョンの S3 バケットにアクセスします。
Image Builder がビルドインスタンスとテストインスタンスをブートストラップできるようにするには、S3 エンドポイントポリシーに次のリソースを追加します。
"arn:aws:s3:::amazon-ssm-region/*
"
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowImageBuilderAccessToAppAndComponentBuckets", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::ec2imagebuilder-toe-
region
-environment
/*", "arn:aws:s3:::ec2imagebuilder-managed-resources-region
-environment
/components/*" ] } ] }