Image Builder と AWS PrivateLink インターフェイス VPC エンドポイント - EC2 イメージビルダー
Image Builder VPC エンドポイントに関する考慮事項Image Builder 用のインターフェース VPC エンドポイントを作成するImage Builder 用 VPC エンドポイントポリシーの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Image Builder と AWS PrivateLink インターフェイス VPC エンドポイント

VPC と EC2 Image Builder の間にプライベート接続を確立するには、インターフェイス VPC エンドポイントを作成します。インターフェイスエンドポイントは、インターネットゲートウェイAWS PrivateLink、NAT デバイス、VPN 接続、 AWS Direct Connect 接続のいずれも必要とせずに Image Builder APIs にプライベートにアクセスできるテクノロジーである を利用しています。VPC のインスタンスは、パブリック IP アドレスがなくても API と通信できます。VPC と Image Builder 間のトラフィックは、Amazon のネットワークから出ることはありません。

各インターフェースエンドポイントは、サブネット内の 1 つ以上の Elastic Network Interface によって表されます。新しいイメージを作成するときに、インフラストラクチャ設定で VPC subnet-id を指定できます。

注記

VPC 内からアクセスする各サービスには、独自のエンドポイントポリシーを持つ独自のインターフェイスエンドポイントがあります。Image Builder は AWSTOE コンポーネントマネージャーアプリケーションをダウンロードし、S3 バケットからマネージドリソースにアクセスしてカスタムイメージを作成します。これらのバケットへのアクセスを許可するには、S3 エンドポイントポリシーを更新して許可する必要があります。詳細については、「S3 バケットアクセスのカスタムポリシー」を参照してください。

VPC エンドポイントの詳細については、Amazon VPC ユーザーガイドの「インターフェイス VPC エンドポイント (AWS PrivateLink PrivateLink)」を参照してください。

Image Builder VPC エンドポイントに関する考慮事項

Image Builder 用のインターフェース VPC エンドポイントを設定する前に、Amazon VPC User Guide のインターフェースエンドポイントのプロパティと制限事項を確認してください。

Image Builder は、VPC からすべての API アクションの呼び出しをサポートしています。

Image Builder 用のインターフェース VPC エンドポイントを作成する

Image Builder サービスの VPC エンドポイントを作成するには、Amazon VPC コンソールまたは AWS Command Line Interface () を使用できますAWS CLI。詳細については、 Amazon VPC ユーザーガイド のインターフェイスエンドポイントの作成を参照してください。

以下のサービス名を使用して、Image Builder 用の VPC エンドポイントを作成します。

  • com.amazonaws.region.imagebuilder

エンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (imagebuilder.us-east-1.amazonaws.com など) を使用して、QLDB への API リクエストを実行できます。対象のリージョンに適用されるエンドポイントを調べるには、Amazon Web Services 全般のリファレンスのEC2 Image Builder のエンドポイントとクォータを参照する。

詳細については、Amazon VPC User Guideインターフェースエンドポイントを介したサービスへのアクセスを参照してください。

Image Builder 用 VPC エンドポイントポリシーの作成

VPC エンドポイントには、 へのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • アクションを実行できるリソース。

レシピで Amazon が管理するコンポーネントを使用している場合、Image Builder の VPC エンドポイントは、以下のサービス所有のコンポーネントライブラリへのアクセスを許可する必要があります。

arn:aws:imagebuilder:region:aws:component/*

重要

EC2 Image Builder のインターフェイス VPC エンドポイントにデフォルト以外のポリシーを適用すると、 から失敗したものなどRequestLimitExceeded、失敗した特定の API リクエストが AWS CloudTrail または Amazon CloudWatch にログ記録されない場合があります。

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

S3 バケットアクセスのカスタムポリシー

Image Builder は、公開されている S3 バケットを使用して、コンポーネントなどの管理対象リソースを保存し、アクセスします。また、別の S3 バケットから AWSTOE コンポーネント管理アプリケーションをダウンロードします。環境で Amazon S3 の VPC エンドポイントを使用している場合、S3 VPC エンドポイントポリシーで Image Builder が以下の S3 バケットにアクセスできるようにする必要があります。バケット名は、 AWS リージョン (リージョン) とアプリケーション環境 (環境) ごとに一意です。Image Builder と は、、prodpreprod、および のアプリケーション環境 AWSTOE をサポートしますbeta

  • AWSTOE コンポーネントマネージャーバケット:

    s3://ec2imagebuilder-toe-region-environment

    例: s3://ec2imagebuilder-toe-us-west-2-prod/*

  • Image Builder 管理リソースバケット:

    s3://ec2imagebuilder-managed-resources-region-environment/components

    例: s3://ec2imagebuilder-managed-resources-us-west-2-prod/components/*

VPC エンドポイントポリシーの例

このセクションには、カスタム VPC エンドポイントポリシーの例が含まれています。

Image Builder アクションの一般的な VPC エンドポイントポリシー

次の Image Builder のエンドポイントポリシー例では、Image Builder のイメージとコンポーネントを削除する権限を拒否しています。このポリシー例では、EC2 Image Builder の他のすべてのアクションを実行する権限も付与している。

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "imagebuilder:*",
        "Effect": "Allow",
        "Resource": "*"
    },
    {
        "Action": [
            "imagebuilder: DeleteImage"
        ],
        "Effect": "Deny",
        "Resource": "*",
    },
    {
        "Action": [
            "imagebuilder: DeleteComponent"
        ],
        "Effect": "Deny",
        "Resource": "*",
    }]
}
組織ごとにアクセスを制限し、管理対象コンポーネントへのアクセスを許可する

次のエンドポイントポリシーの例は、組織に属している ID とリソースにアクセスを限定し、Amazon が管理する Image Builder コンポーネントへのアクセスを提供する方法を示しています。regionprincipal-org-idresource-org-id を組織の値に置き換えます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "principal-org-id",
          "aws:ResourceOrgID": "resource-org-id"
        }
      }
    },
    {
      "Sid": "AllowAccessToEC2ImageBuilderComponents",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "imagebuilder:GetComponent"
      ],
      "Resource": [
        "arn:aws:imagebuilder:region:aws:component/*"
      ]
    }
  ]
}
Amazon S3 バケットアクセスの VPC エンドポイントポリシー

以下の S3 エンドポイントポリシーの例では、Image Builder がカスタムイメージの構築に使用する S3 バケットへのアクセスを提供する方法を示しています。 リージョン環境 を組織の値に置き換えてください。アプリケーションの要件に基づいて、その他の必要な権限をポリシーに追加します。

注記

Linux イメージでは、イメージレシピにユーザーデータが指定されていない場合、Image Builder は、イメージのビルドインスタンスとテストインスタンスに Systems Manager エージェントをダウンロードしてインストールするスクリプトを追加します。エージェントをダウンロードするために、Image Builder はビルドリージョンの S3 バケットにアクセスします。

Image Builder がビルドインスタンスとテストインスタンスをブートストラップできるようにするには、次のリソースを S3 エンドポイントポリシーに追加します。

"arn:aws:s3:::amazon-ssm-region/*"

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowImageBuilderAccessToAppAndComponentBuckets",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::ec2imagebuilder-toe-region-environment/*",
        "arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*"
      ]
    }
  ]
}