AMI ウォーターマークを使用して AMI を追跡および識別する
AMI ウォーターマークは、プライベート AMI にアタッチして出所を追跡し、ガバナンスポリシーを適用するための識別子です。ウォーターマークは AMI ライフサイクル全体で保持されます。
-
ウォーターマーク付き AMI から起動された実行中のインスタンスから新しい AMI を作成すると、新しい AMI はウォーターマークを継承します。
-
ウォーターマーク付き AMI をコピーする場合、コピーにはウォーターマークが保持されます。
-
ウォーターマーク付き AMI を S3 に保存して復元する場合、復元された AMI はウォーターマークを保持します。
-
ウォーターマーク付き AMI を別のアカウントと共有した場合、ウォーターマークは受信者に表示されたままになります。
AMI ウォーターマークを使用すると、次のようなメリットがあります。
主な利点
-
アカウントとリージョン間の出所を追跡する — 承認されたベースイメージから派生する AMI を特定します。
-
アカウント全体で関連する AMI をフィルタリングして検索します。
-
AMI コンシューマーがプロジェクトまたは組織に関連付けられた信頼された AMI を検出して識別するのに役立ちます。
トピック
AMI ウォーターマークの仕組み
AMI ウォーターマークは、AMI に付加する構造化された識別子です。ウォーターマークの主な特徴を以下のとおりです。
-
永続化 — AMI にウォーターマークを添付すると、そのウォーターマークはすべての派生 AMI にも引き継がれます。
-
所有者のみ — AMI 所有者のみが AMI にウォーターマークをアタッチできます。
-
誰でも表示可能 — AMI にアクセスできるユーザーは誰でもウォーターマークを表示できます。
-
5 の制限 — AMI には最大 5 つのウォーターマークを含めることができます。
-
パブリック AMI では使用不可能 — ウォーターマークをパブリック AMI したり、ウォーターマークがある場合は AMI を公開したりすることはできません。
-
フィルタリング可能 —
describe-imagesを使用すると、AMI ウォーターマークでフィルタリングできます。
ウォーターマークの形式
ウォーターマークは、次のフィールドを持つ構造化オブジェクトです。
-
WatermarkKey— ウォーターマークの一意の識別子は、で構成されます。account ID は、REST API 所有者の 12 桁の AWS account ID です。ウォーターマークの名称部分は、お客様が指定した名前です。account-id:watermark-name -
SourceImageRegion— 最初にウォーターマークをアタッチした AMI のリージョン。 -
SourceImageId— ウォーターマークを最初にアタッチした AMI。 -
SourceImageCreationDate— ウォーターマークを最初にアタッチした AMI の作成日。 -
WatermarkCreationTime— ウォーターマークを適用したときのタイムスタンプ。
ウォーターマーク名は 3~128 文字で、英数字、括弧 (())、角括弧 ([])、スペース、ピリオド (.)、スラッシュ (/)、ダッシュ (-)、一重引用符 (')、アットマーク (@)、またはアンダースコア (_) を含めることができます。
必要なアクセス許可
AMI ウォーターマークを使用するには、次の IAM アクセス許可が必要です。
-
ec2:AttachImageWatermark— AMI にウォーターマークをアタッチします。 -
ec2:DetachImageWatermark— AMI からウォーターマークをデタッチします。 -
ec2:DescribeImages— AMI のウォーターマークを表示します。
AMI にウォーターマークをアタッチする
コンソール、AWS CLI、または PowerShell を使用して、AMI にウォーターマークをアタッチできます。
1 つの AMI に最大 5 つのウォーターマークをアタッチできます。
AMI からウォーターマークをデタッチする
コンソール、AWS CLI、または PowerShell を使用して、AMI からウォーターマークをデタッチできます。
注記
AMI からウォーターマークをデタッチしても、そのウォーターマークが既に存在する派生 AMI からは削除されません。ウォーターマークが永続性を維持するには、ウォーターマークを管理する必要がある信頼できる管理者にのみ ec2:DetachImageWatermark のアクセス許可を付与します。
AMI ウォーターマークを表示する
コンソール、AWS CLI、または PowerShell を使用して、AMI のウォーターマークを表示できます。
ウォーターマークで AMI をフィルタリング
コンソール、AWS CLI、PowerShell を使用して AMI をウォーターマークでフィルタリングできます。