翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Image Builder と AWS PrivateLink インターフェイス VPC エンドポイント
VPC と EC2 Image Builder の間にプライベート接続を確立するには、インターフェイス VPC エンドポイントを作成します。インターフェイスエンドポイントは、インターネットゲートウェイ[AWS PrivateLink](https://aws.amazon.com/privatelink/)、NAT デバイス、VPN 接続、または Direct Connect 接続なしで Image Builder APIs にプライベートにアクセスできるテクノロジーである を利用しています。VPC のインスタンスは、パブリック IP アドレスがなくても API と通信できます。VPC と Image Builder 間のトラフィックは、Amazon のネットワークから出ることはありません。
各インターフェースエンドポイントは、サブネット内の 1 つ以上の [Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) によって表されます。新しいイメージを作成するときに、インフラストラクチャ設定で VPC subnet-id を指定できます。
**注記**
VPC 内からアクセスする各サービスには、独自のエンドポイントポリシーを持つ独自のインターフェイスエンドポイントがあります。Image Builder は AWSTOE コンポーネントマネージャーアプリケーションをダウンロードし、S3 バケットからマネージドリソースにアクセスしてカスタムイメージを作成します。これらのバケットへのアクセスを許可するには、S3 エンドポイントポリシーを更新して許可する必要があります。詳細については、「[S3 バケットアクセスのカスタムポリシー](#vpc-endpoint-policy-s3)」を参照してください。
VPC エンドポイントの詳細については、Amazon VPC ユーザーガイドの「[インターフェイス VPC エンドポイント (AWS PrivateLink PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。
## Image Builder VPC エンドポイントに関する考慮事項
Image Builder 用のインターフェース VPC エンドポイントを設定する前に、Amazon VPC User Guide の[インターフェースエンドポイントのプロパティと制限事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations)を確認してください。
Image Builder は、VPC からすべての API アクションの呼び出しをサポートしています。
## Image Builder 用のインターフェース VPC エンドポイントを作成する
Image Builder サービスの VPC エンドポイントを作成するには、Amazon VPC コンソールまたは AWS Command Line Interface () を使用できますAWS CLI。詳細については、「Amazon VPC ユーザーガイド」の[インターフェイスエンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint)を参照してください。
以下のサービス名を使用して、Image Builder 用の VPC エンドポイントを作成します。
+ com.amazonaws.*region*.imagebuilder
エンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (`imagebuilder.us-east-1.amazonaws.com` など) を使用して、QLDB への API リクエストを実行できます。対象のリージョンに適用されるエンドポイントを調べるには、Amazon Web Services 全般のリファレンスの[EC2 Image Builder のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/imagebuilder.html#imagebuilder_region)を参照する。
詳細については、*Amazon VPC User Guide*の[インターフェースエンドポイントを介したサービスへのアクセス](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#access-service-though-endpoint)を参照してください。
## Image Builder 用 VPC エンドポイントポリシーの作成
VPC エンドポイントには、 へのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。
+ アクションを実行できるプリンシパル。
+ 実行可能なアクション。
+ アクションを実行できるリソース。
レシピで Amazon が管理するコンポーネントを使用している場合、Image Builder の VPC エンドポイントは、以下のサービス所有のコンポーネントライブラリへのアクセスを許可する必要があります。
`arn:aws:imagebuilder:region:aws:component/*`
**重要**
EC2 Image Builder のインターフェイス VPC エンドポイントにデフォルト以外のポリシーが適用されると、 からの失敗など、失敗した特定の API リクエストは`RequestLimitExceeded`、 AWS CloudTrail または Amazon CloudWatch にログ記録されない場合があります。
詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC エンドポイントによるサービスのアクセスコントロール](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」を参照してください。
### S3 バケットアクセスのカスタムポリシー
Image Builder は、公開されている S3 バケットを使用して、コンポーネントなどの管理対象リソースを保存し、アクセスします。また、別の S3 バケットから AWSTOE コンポーネント管理アプリケーションをダウンロードします。環境で Amazon S3 の VPC エンドポイントを使用している場合、S3 VPC エンドポイントポリシーで Image Builder が以下の S3 バケットにアクセスできるようにする必要があります。バケット名は、 AWS リージョン (*リージョン*) とアプリケーション環境 (*環境*) ごとに一意です。Image Builder と は`prod`、、`preprod`、および のアプリケーション環境 AWSTOE をサポートします`beta`。
+ AWSTOE コンポーネントマネージャーバケット:
```
s3://ec2imagebuilder-toe-region-environment
```
**例:** s3://ec2imagebuilder-toe-us-west-2-prod/\$1
+ Image Builder 管理リソースバケット:
```
s3://ec2imagebuilder-managed-resources-region-environment/components
```
**例:** s3://ec2imagebuilder-managed-resources-us-west-2-prod/components/\$1
### VPC エンドポイントポリシーの例
このセクションには、カスタム VPC エンドポイントポリシーの例が含まれています。
**Image Builder アクションの一般的な VPC エンドポイントポリシー**
次の Image Builder のエンドポイントポリシー例では、Image Builder のイメージとコンポーネントを削除する権限を拒否しています。このポリシー例では、EC2 Image Builder の他のすべてのアクションを実行する権限も付与している。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "imagebuilder:*",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "imagebuilder:DeleteImage",
"Effect": "Deny",
"Resource": "*"
},
{
"Action": "imagebuilder:DeleteComponent",
"Effect": "Deny",
"Resource": "*"
}
]
}
```
------
**組織ごとにアクセスを制限し、管理対象コンポーネントへのアクセスを許可する**
次のエンドポイントポリシーの例は、組織に属している ID とリソースにアクセスを限定し、Amazon が管理する Image Builder コンポーネントへのアクセスを提供する方法を示しています。*region*、*principal-org-id*、*resource-org-id* を組織の値に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "principal-org-id",
"aws:ResourceOrgID": "resource-org-id"
}
}
},
{
"Sid": "AllowAccessToEC2ImageBuilderComponents",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"imagebuilder:GetComponent"
],
"Resource": [
"arn:aws:imagebuilder:us-east-1:aws:component/*"
]
}
]
}
```
------
**Amazon S3 バケットアクセスの VPC エンドポイントポリシー**
以下の S3 エンドポイントポリシーの例では、Image Builder がカスタムイメージの構築に使用する S3 バケットへのアクセスを提供する方法を示しています。 *リージョン* と *環境* を組織の値に置き換えてください。アプリケーションの要件に基づいて、その他の必要な権限をポリシーに追加します。
**注記**
Linux イメージでは、イメージレシピにユーザーデータが指定されていない場合、Image Builder は、イメージのビルドインスタンスとテストインスタンスに Systems Manager エージェントをダウンロードしてインストールするスクリプトを追加します。エージェントをダウンロードするために、Image Builder はビルドリージョンの S3 バケットにアクセスします。
Image Builder がビルドインスタンスとテストインスタンスをブートストラップできるようにするには、次のリソースを S3 エンドポイントポリシーに追加します。
"`arn:aws:s3:::amazon-ssm-region/*`"
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowImageBuilderAccessToAppAndComponentBuckets",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::ec2imagebuilder-toe-region-environment/*",
"arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*"
]
}
]
}
```
------