Image Builder と AWS PrivateLink インターフェイスVPCエンドポイント - EC2 Image Builder
Image Builder VPCエンドポイントに関する考慮事項Image Builder のインターフェイスVPCエンドポイントを作成するImage Builder のVPCエンドポイントポリシーを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Image Builder と AWS PrivateLink インターフェイスVPCエンドポイント

インターフェイスVPCエンドポイント を作成することで、 VPCと EC2 Image Builder の間にプライベート接続を確立できます。インターフェイスエンドポイントは、インターネットゲートウェイAWS PrivateLink、NATデバイス、VPN接続、または AWS Direct Connect 接続APIsなしで Image Builder にプライベートにアクセスできるテクノロジーである を搭載しています。のインスタンスは、Image Builder と通信するためにパブリック IP アドレスを必要としVPCませんAPIs。VPC と Image Builder 間のトラフィックは、Amazon ネットワークを離れません。

各インターフェースエンドポイントは、サブネット内の 1 つ以上の Elastic Network Interface によって表されます。新しいイメージを作成するときは、インフラストラクチャ設定で VPC subnet-id を指定できます。

注記

内からアクセスする各サービスVPCには、独自のエンドポイントポリシーを持つ独自のインターフェイスエンドポイントがあります。Image Builder は AWSTOE コンポーネントマネージャーアプリケーションをダウンロードし、S3 バケットからマネージドリソースにアクセスしてカスタムイメージを作成します。これらのバケットへのアクセスを許可するには、S3 エンドポイントポリシーを更新して許可する必要があります。詳細については、「S3 バケットアクセスのカスタムポリシー」を参照してください。

VPC エンドポイントの詳細については、「Amazon ユーザーガイド」の「インターフェイスVPCエンドポイント (AWS PrivateLink)」を参照してください。 VPC

Image Builder VPCエンドポイントに関する考慮事項

Image Builder のインターフェイスVPCエンドポイントを設定する前に、Amazon VPC ユーザーガイド「インターフェイスエンドポイントのプロパティと制限」を確認してください。

Image Builder は、 からすべてのAPIアクションを呼び出すことをサポートしていますVPC。

Image Builder のインターフェイスVPCエンドポイントを作成する

Image Builder サービスのVPCエンドポイントを作成するには、Amazon VPCコンソールまたは AWS Command Line Interface () を使用しますAWS CLI。詳細については、「Amazon ユーザーガイド」の「インターフェイスエンドポイントの作成」を参照してください。 VPC

次のサービス名を使用して Image Builder のVPCエンドポイントを作成します。

  • com.amazonaws。region.imagebuilder

エンドポイントDNSのプライベートを有効にすると、 などのリージョンのデフォルトDNS名を使用して Image Builder にAPIリクエストを行うことができますimagebuilder.us-east-1.amazonaws.com。ターゲットリージョンに適用されるエンドポイントを検索するには、「」のEC2「Image Builder エンドポイントとクォータ」を参照してくださいAmazon Web Services 全般のリファレンス

詳細については、「Amazon VPCユーザーガイド」の「インターフェイスエンドポイントを介したサービスへのアクセス」を参照してください。

Image Builder のVPCエンドポイントポリシーを作成する

Image Builder へのアクセスを制御するエンドポイントポリシーをVPCエンドポイントにアタッチできます。このポリシーでは、以下の情報を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

レシピで Amazon マネージドコンポーネントを使用している場合、Image Builder のVPCエンドポイントは、以下のサービス所有コンポーネントライブラリへのアクセスを許可する必要があります。

arn:aws:imagebuilder:region:aws:component/*

重要

EC2 Image Builder のインターフェイスVPCエンドポイントにデフォルト以外のポリシーが適用されると、 から失敗したリクエストなどRequestLimitExceeded、失敗した特定のAPIリクエストは、 AWS CloudTrail または Amazon にログ記録されない可能性があります CloudWatch。

詳細については、「Amazon VPCユーザーガイド」のVPC「エンドポイントを使用したサービスへのアクセスの制御」を参照してください。

S3 バケットアクセスのカスタムポリシー

Image Builder は、公開されている S3 バケットを使用して、コンポーネントなどの管理対象リソースを保存し、アクセスします。また、別の S3 バケットから AWSTOE コンポーネント管理アプリケーションをダウンロードします。環境で Amazon S3 のVPCエンドポイントを使用する場合は、S3 VPCエンドポイントポリシーで Image Builder が次の S3 バケットにアクセスできるようにする必要があります。バケット名は AWS リージョン (region) とアプリケーション環境 (environment)。 Image Builder と はprod、、preprod、および のアプリケーション環境 AWSTOE をサポートしていますbeta

  • AWSTOE コンポーネントマネージャーバケット:

    s3://ec2imagebuilder-toe-region-environment

    例: s3://ec2imagebuilder-toe-us-west-2-prod/*

  • Image Builder 管理リソースバケット:

    s3://ec2imagebuilder-managed-resources-region-environment/components

    例: s3://ec2imagebuilder-managed-resources-us-west-2-prod/components/*

VPC エンドポイントポリシーの例

このセクションでは、カスタムVPCエンドポイントポリシーの例を示します。

Image Builder アクションの一般的なVPCエンドポイントポリシー

次の Image Builder のエンドポイントポリシー例では、Image Builder のイメージとコンポーネントを削除する権限を拒否しています。サンプルポリシーは、他のすべての EC2 Image Builder アクションを実行するアクセス許可も付与します。

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "imagebuilder:*",
        "Effect": "Allow",
        "Resource": "*"
    },
    {
        "Action": [
            "imagebuilder: DeleteImage"
        ],
        "Effect": "Deny",
        "Resource": "*",
    },
    {
        "Action": [
            "imagebuilder: DeleteComponent"
        ],
        "Effect": "Deny",
        "Resource": "*",
    }]
}
組織ごとにアクセスを制限し、管理対象コンポーネントへのアクセスを許可する

次のエンドポイントポリシーの例は、組織に属する ID とリソースへのアクセスを制限し、Amazon が管理する Image Builder コンポーネントへのアクセスを提供する方法を示しています。置換 region, principal-org-id および resource-org-id 組織の値を使用します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "principal-org-id",
          "aws:ResourceOrgID": "resource-org-id"
        }
      }
    },
    {
      "Sid": "AllowAccessToEC2ImageBuilderComponents",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "imagebuilder:GetComponent"
      ],
      "Resource": [
        "arn:aws:imagebuilder:region:aws:component/*"
      ]
    }
  ]
}
VPC Amazon S3 バケットアクセスのエンドポイントポリシー

以下の S3 エンドポイントポリシーの例では、Image Builder がカスタムイメージの構築に使用する S3 バケットへのアクセスを提供する方法を示しています。置換 region また、environment 組織の値を使用します。アプリケーションの要件に基づいて、その他の必要な権限をポリシーに追加します。

注記

Linux イメージの場合、イメージレシピにユーザーデータを指定しない場合、Image Builder はスクリプトを追加して、イメージのビルドインスタンスとテストインスタンスに Systems Manager エージェントをダウンロードしてインストールします。エージェントをダウンロードするには、Image Builder はビルドリージョンの S3 バケットにアクセスします。

Image Builder がビルドインスタンスとテストインスタンスをブートストラップできるようにするには、S3 エンドポイントポリシーに次のリソースを追加します。

"arn:aws:s3:::amazon-ssm-region/*"

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowImageBuilderAccessToAppAndComponentBuckets",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::ec2imagebuilder-toe-region-environment/*",
        "arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*"
      ]
    }
  ]
}