View a markdown version of this page

Image Builder を使用して検証済みの Windows ISO ディスクイメージをインポートする - EC2 イメージビルダー
ISO ディスクイメージのインポートでサポートされているオペレーティングシステム前提条件オプションのインポート設定ISO ディスクイメージを Image Builder にインポートする出力 AMI からインスタンスを起動するプライベート VPC の最小ネットワーク要件次の手順ISO ディスクイメージのインポートのトラブルシューティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Image Builder を使用して検証済みの Windows ISO ディスクイメージをインポートする

Windows オペレーティングシステム ISO ファイルは、Windows オペレーティングシステムの特定のバージョンの完全なインストールパッケージを含むディスクイメージファイルです。Microsoft では、公式の Windows オペレーティングシステム ISO ファイルをウェブサイトから直接、または認定リセラーを通じてダウンロードできます。潜在的なマルウェアや不正なバージョンを回避するには、信頼できる正当なソースから ISO ファイルを取得します。

EC2 Image Builder は、build-image-from-isoインポートワークフローを使用して ISO ディスクファイルをインポートし、そこからセカンダリボリュームを作成します。設定が完了すると、Image Builder はインポートから作成したボリュームのスナップショットを取得し、それを使用して Amazon マシンイメージ (AMI) を作成します。

ISO ディスクイメージのインポートでサポートされているオペレーティングシステム

Image Builder は、次の Windows オペレーティングシステムの ISO ディスクイメージをサポートしています。

  • Windows 11 Enterprise バージョン 25H2 (x64)

  • Windows 11 Enterprise バージョン 24H2 (x64)

  • Windows 11 Enterprise バージョン 23H2 (x64)

Image Builder は、次の Windows オペレーティングシステムの ISO ディスクイメージをサポートしていません。

  • 長期サービスチャネル (LTSC) イメージ

  • Windows Media Creation Tool から作成された ISO ディスクイメージ

  • 評価イメージ

ISO ディスクイメージをインポートするための前提条件

注記

インポートプロセス中、ビルドインスタンスは AWS ドライバー、EC2Launch v2、Systems Manager エージェントを Amazon S3 からダウンロードし、Microsoft Defender をパブリックインターネットからダウンロードします。これらのコンポーネントは、出力 AMI に事前ステージングされます。ビルドインスタンスは、Amazon EC2、Amazon CloudWatch Logs、および SSM APIs。

VPC が にない場合us-east-1、ビルドインスタンスはグローバル Amazon S3 エンドポイント () からドライバーをダウンロード AWS するためにパブリックインターネットアクセス (NAT ゲートウェイ経由など) を必要としますec2-windows-drivers-downloads.s3.amazonaws.com。パブリックインターネットアクセスがない場合、これらのダウンロードは失敗し、インポートプロセスは失敗します。

VPC が にある場合us-east-1、ドライバーのダウンロードには Amazon S3 Gateway エンドポイントで十分です。ドライバーのダウンロードに NAT ゲートウェイは必要ありません。

ただし、Microsoft Defender では、リージョンに関係なく、パブリックインターネットアクセスをダウンロードする必要があります。ビルドインスタンスにインターネットアクセスがない場合、インポートは成功しますが、Microsoft Defender は出力 AMI にインストールされません。

最低限必要な VPC エンドポイントと S3 URLs「」を参照してくださいプライベート VPC の最小ネットワーク要件

ISO ディスクイメージをインポートするには、次の前提条件を満たす必要があります。

  • ディスクイメージのオペレーティングシステムは、Image Builder がサポートするオペレーティングシステムである必要があります。サポートされているオペレーティングシステムのリストについては、「」を参照してくださいISO ディスクイメージのインポートでサポートされているオペレーティングシステム

  • ISO イメージをインポートできるようにするには、Microsoft 365 管理センターからダウンロードします。

  • インポートプロセスを実行する前に、同じ AWS アカウント と AWS リージョン で ISO ディスクファイルを Amazon S3 にアップロードする必要があります。

  • ファイル拡張子はインポートプロセスでは大文字と小文字が区別され、 である必要があります.ISO。ファイル拡張子が小文字の場合は、次のいずれかのコマンドを実行して名前を変更します。

    Command
    aws s3 cp s3://amzn-s3-demo-bucket/Win11_24H2_English.iso s3://amzn-s3-demo-bucket/Win11_24H2_English.ISO
    PowerShell
    Copy-S3Object -BucketName amzn-s3-demo-bucket -Key Win11_24H2_English.iso -DestinationKey Win11_24H2_English.ISO

  • Microsoft ライセンスはインポートに自動的に含まれません。独自のライセンス (BYOL) を持参する必要があります。Microsoft ソフトウェアのライセンスの詳細については、「Amazon Web Services のライセンス」および「Microsoft のよくある質問」ページを参照してください。

  • インポートプロセスでは、2 つの個別の IAM ロールを使用します。

    実行ロール

    このロールは、Image Builder が AWS のサービス ユーザーに代わって を呼び出すアクセス許可を付与します。実行ロールに必要なアクセス許可を含むAWSServiceRoleForImageBuilderサービスにリンクされたロールを指定するか、独自のロールを作成できます。

    インスタンスプロファイルロール

    このロールは、サービスが EC2 インスタンスで実行するアクションのアクセス許可を付与します。インフラストラクチャ設定リソースでインスタンスプロファイルロールを指定できます。次の管理ポリシーをインスタンスプロファイルロールにアタッチして、インポートプロセスに必要なすべてのアクセス許可があることを確認します。

    詳細については、「Image Builder インフラストラクチャ設定の管理」を参照してください。

オプションのインポート設定

ISO ディスクイメージをインポートするときに、オプションで次の設定を行うことができます。これらの設定は、インポートされたイメージのセキュアブート、UEFI データ、およびイメージインデックスの選択を制御します。

セキュアブート

Secure Boot は、ブートプロセス中に信頼できるソフトウェアのみが実行されるようにする UEFI セキュリティ機能です。デフォルトでは、セキュアブートは ISO ディスクイメージのインポートに対して有効になっています。テストまたはレガシーアプリケーションの互換性のためにカスタム署名なしドライバーを使用する必要がある場合は、Secure Boot を無効にすることができます。

カスタム UEFI データ

Image Builder が生成するデフォルトの UEFI データの代わりに、起動プロセスで使用する Base64-encodedされた文字列としてカスタム UEFI データ BLOB を指定できます。Secure Boot が有効になっている (デフォルト) 場合にのみ、カスタム UEFI データを指定できます。データは最大 64 KB です。

GitHub ウェブサイトの python-uefivars ツールを使用して、UEFI データを検査および変更できます。詳細については、Amazon EC2 インスタンスの UEFI 変数」を参照してください。

イメージインデックス

Windows ISO ファイルには、複数のイメージインデックスを持つ.wimファイルを含めることができます。各インデックスは異なる Windows エディション (Home や Pro など) を表します。デフォルトでは、Image Builder は ISO ファイルの最初の有効なイメージインデックスを使用します。1 ベースのイメージインデックスを指定して、マルチエディション ISO ファイルから特定のエディションを選択できます。

ISO ディスクイメージを Image Builder にインポートする

インポートプロセスを開始する前に、すべての を満たしていることを確認してください前提条件

インポートプロセスでは、イメージに次のソフトウェアとドライバーがインストールされます。

  • EC2Launch v2

  • AWS Systems Manager エージェント

  • AWS NVMe ドライバー

  • AWS ENA ネットワークドライバー

  • AWS PCI シリアルドライバー

  • EC2 Windows ユーティリティドライバー

  • Microsoft Defender 更新キット

インポートプロセスでは、イメージで次の設定が更新されます。

  • Amazon Time サーバーを使用するようにシステムを設定します。

タブを選択して、任意のメソッドのインポートステップを表示します。

Console

Image Builder コンソールで ISO ディスクイメージをインポートするには、次の手順に従います。

  1. https://console.aws.amazon.com/imagebuilder/ で、EC2 Image Builder コンソールを開きます。

  2. ナビゲーションペインから [イメージ] を選択します。

  3. インポートダイアログを開くには、イメージのインポートを選択します。

  4. 次の一般情報を入力します。

    • イメージに一意の名前を指定します。

    • ベースイメージの バージョン を指定します。形式は以下のようになります: major.minor.patch

  5. インポートタイプを選択します: ISO インポート

  6. 次の ISO インポート設定の詳細を入力します。次に、完了したらイメージのインポートを選択します。

    • S3 URI – ISO ディスクファイルが保存されている場所を入力します。ファイルを参照するには、Browse S3 を選択します。

    • IAM ロール – IAM ロールをインポート設定に関連付けるには、IAM ロールドロップダウンリストからロールを選択するか、新しいロールを作成を選択して新しいロールを作成します。新しいロールを作成すると、[IAM ロール] コンソールページが別のタブで開きます。

      AWSServiceRoleForImageBuilder サービスにリンクされたロールを指定するか、サービスアクセス用の独自のカスタムロールを指定できます。

  7. オプションで、インポート用に次の詳細設定を構成できます。これらの設定の詳細については、「オプションのインポート設定」をご参照ください。

    • セキュアブート – セキュアブートはデフォルトで有効になっています。インポートされたイメージの Secure Boot を無効にするには、Secure Boot チェックボックスをオフにします。

    • カスタム UEFI データ – カスタム UEFI データ BLOB を指定するには、Base64-encoded文字列を入力します。このオプションは、セキュアブートが有効になっている場合にのみ使用できます。

    • イメージインデックス – マルチエディション ISO ファイルから特定の Windows エディションを選択するには、1 ベースのイメージインデックスを入力します。

  8. オプションで、Image Builder イメージリソースにタグを追加できます。ここにタグを追加しても、AMI にタグは追加されません。

  9. ISO インフラストラクチャ設定は、Image Builder がインポートプロセスをホストするために起動するインスタンスの設定を定義します。Image Builder がサービスのデフォルトに基づいて作成するインフラストラクチャ設定を使用するか、既存のインフラストラクチャ設定を使用できます。詳細については、「Image Builder インフラストラクチャ設定の管理」を参照してください。

    新しいインフラストラクチャ設定を作成するには、「インフラストラクチャ設定の作成」を選択します。これにより、別のタブで開きます。新しいリソースの作成が完了したら、インポート設定に戻り、既存のインフラストラクチャ設定を使用するを選択します。

  10. インポートプロセスを開始するには、イメージのインポートを選択します。

インポートが完了すると、所有しているイメージのリストにイメージが表示されます。詳細については、イメージを一覧表示するを参照してください。

AWS CLI

次の例は、ISO ディスクファイルからイメージをインポートし、 を使用してそのファイルから AMI を作成する方法を示しています AWS CLI。

以下に、この例で指定するパラメータの概要を示します。

  • 名前 (文字列、必須) — インポートからの出力として作成する Image Builder イメージリソースの名前。

  • semanticVersion (文字列、必須) — 出力イメージのセマンティックバージョンは次の形式で表されます: 各位置に特定のバージョン (<major>.<minor>.<patch>) を示す数値が付いています。例えば、1.0.0。Image Builder リソースのセマンティックバージョニングの詳細については、Image Builder でのセマンティックバージョニングを参照してください。

  • 説明 (文字列) — イメージレシピの説明。

  • executionRole (文字列) – Image Builder に Microsoft ISO ファイルからイメージをインポートするワークフローアクションを実行するためのアクセス権を付与する IAM ロールの名前または Amazon リソースネーム (ARN)。AWSServiceRoleForImageBuilder サービスにリンクされたロールを指定するか、サービスアクセス用の独自のカスタムロールを指定できます。

  • platform (文字列、必須) — ISO ディスクイメージのオペレーティングシステムプラットフォーム。有効な値には Windows が含まれます。

  • osVersion (文字列、必須) — ISO ディスクイメージのオペレーティングシステムのバージョン。有効な値には Microsoft Windows 11 が含まれます。

  • infrastructureConfigurationArn (文字列、必須) – ISO イメージが構築されている EC2 インスタンスの起動に使用されるインフラストラクチャ設定リソースの Amazon リソースネーム (ARN)。

  • uri (文字列、必須) – Amazon S3 に保存されている ISO ディスクファイルの URI。

  • registerImageOptions (オブジェクト) – インポートされたイメージのセキュアブートと UEFI 設定を設定します。以下のフィールドが含まれています。

    • secureBootEnabled (ブール値) – 出力 AMI で Secure Boot を有効にするかどうかを指定します。デフォルト値は true です。カスタム署名なしドライバーの Secure Boot を無効にするには、この値を に設定しますfalse

    • uefiData (文字列) – 不揮発性 UEFI 変数ストアの Base64-encodedされた表現。このパラメータは、 secureBootEnabledtrueまたは が指定されていない場合にのみ指定できます。

  • windowsConfiguration (オブジェクト) – ISO インポート用の Windows 固有の設定。以下のフィールドが含まれています。

    • imageIndex (整数) – マルチエディション Windows ISO ファイルからインストールする Windows エディションを指定する 1 ベースのインデックス。Windows ISO には、それぞれが異なるエディションを表す複数のイメージインデックスを持つ.wimファイルを含めることができます。

aws imagebuilder import-disk-image \
    --name "example-iso-disk-import" \
    --semantic-version "1.0.0" \
    --description "Import an ISO disk image" \
    --execution-role "AWSServiceRoleForImageBuilder" \
    --platform "Windows" \
    --os-version "Microsoft Windows 11" \
    --infrastructure-configuration-arn "arn:aws:imagebuilder:us-east-1:111122223333:infrastructure-configuration/example-infrastructure-configuration-123456789abc" \
    --uri "s3://amzn-s3-demo-source-bucket/examplefile.ISO" \
    --register-image-options '{"secureBootEnabled": true, "uefiData": "custom-base64-encoded-uefi-data"}' \
    --windows-configuration '{"imageIndex": 1}'

インポートが完了すると、所有しているイメージのリストにイメージが表示されます。詳細については、イメージを一覧表示するを参照してください。

PowerShell

次の例は、ISO ディスクファイルからイメージをインポートし、PowerShell を使用してそこから AMI を作成する方法を示しています。

以下に、この例で指定するパラメータの概要を示します。

  • 名前 (文字列、必須) — インポートからの出力として作成する Image Builder イメージリソースの名前。

  • semanticVersion (文字列、必須) — 出力イメージのセマンティックバージョンは次の形式で表されます: 各位置に特定のバージョン (<major>.<minor>.<patch>) を示す数値が付いています。例えば、1.0.0。Image Builder リソースのセマンティックバージョニングの詳細については、Image Builder でのセマンティックバージョニングを参照してください。

  • 説明 (文字列) — イメージレシピの説明。

  • executionRole (文字列) – Image Builder に Microsoft ISO ファイルからイメージをインポートするワークフローアクションを実行するためのアクセス権を付与する IAM ロールの名前または Amazon リソースネーム (ARN)。AWSServiceRoleForImageBuilder サービスにリンクされたロールを指定するか、サービスアクセス用の独自のカスタムロールを指定できます。

  • platform (文字列、必須) — ISO ディスクイメージのオペレーティングシステムプラットフォーム。有効な値には Windows が含まれます。

  • osVersion (文字列、必須) — ISO ディスクイメージのオペレーティングシステムのバージョン。有効な値には Microsoft Windows 11 が含まれます。

  • infrastructureConfigurationArn (文字列、必須) – ISO イメージが構築されている EC2 インスタンスの起動に使用されるインフラストラクチャ設定リソースの Amazon リソースネーム (ARN)。

  • uri (文字列、必須) – Amazon S3 に保存されている ISO ディスクファイルの URI。

  • registerImageOptions (オブジェクト) – インポートされたイメージのセキュアブートと UEFI 設定を設定します。以下のフィールドが含まれています。

    • secureBootEnabled (ブール値) – 出力 AMI で Secure Boot を有効にするかどうかを指定します。デフォルト値は true です。カスタム署名なしドライバーの Secure Boot を無効にするには、この値を に設定しますfalse

    • uefiData (文字列) – 不揮発性 UEFI 変数ストアの Base64-encodedされた表現。このパラメータは、 secureBootEnabledtrueまたは が指定されていない場合にのみ指定できます。

  • windowsConfiguration (オブジェクト) – ISO インポート用の Windows 固有の設定。以下のフィールドが含まれています。

    • imageIndex (整数) – マルチエディション Windows ISO ファイルからインストールする Windows エディションを指定する 1 ベースのインデックス。Windows ISO には、それぞれが異なるエディションを表す複数のイメージインデックスを持つ.wimファイルを含めることができます。

Import-EC2IBDiskImage `
    -Name "example-iso-disk-import" `
    -SemanticVersion "1.0.0" `
    -Description "Import an ISO disk image" `
    -ExecutionRole "AWSServiceRoleForImageBuilder" `
    -Platform "Windows" `
    -OsVersion "Microsoft Windows 11" `
    -InfrastructureConfigurationArn "arn:aws:imagebuilder:us-east-1:111122223333:infrastructure-configuration/example-infrastructure-configuration-123456789abc" `
    -Uri "s3://amzn-s3-demo-source-bucket/examplefile.ISO" `
    -RegisterImageOptions_SecureBootEnabled $true `
    -RegisterImageOptions_UefiData "custom-base64-encoded-uefi-data" `
    -WindowsConfiguration_ImageIndex 1

インポートが完了すると、所有しているイメージのリストにイメージが表示されます。詳細については、イメージを一覧表示するを参照してください。

出力 AMI からインスタンスを起動する

出力 AMI を通常の AMI として使用し、そこからインスタンスを起動できるようになりました。出力 AMI からインスタンスを起動すると、Windows オペレーティングシステムは Sysprep Specialize を実行してインスタンス設定を確定します。

注記

このページで説明されているネットワーク要件は、インポートビルドプロセスにのみ適用されます。インポートが正常に完了すると、出力 AMI からのインスタンスの起動は、標準の Amazon EC2 ネットワーク要件に従います。インポートが成功しても、インスタンスの起動が成功するとは限りません。ネットワーク設定によっては、起動が失敗する可能性があります。

プライベート VPC の最小ネットワーク要件

必要な VPC エンドポイント:

Endpoint タイプ 目的
com.amazonaws.{region}.s3 ゲートウェイ Amazon S3 バケットにアクセスする (EC2Launch v2、SSM Agent、ISO、および にある場合はドライバーus-east-1)
com.amazonaws.{region}.ec2 インターフェイス スナップショットを作成し、ボリュームを記述する
com.amazonaws.{region}.logs インターフェイス CloudWatch Logs にビルドログを書き込む
com.amazonaws.{region}.ssm インターフェイス SSM API コール (SendCommand、DescribeInstanceInformation)
com.amazonaws.{region}.ssmmessages インターフェイス SSM エージェントデータチャネル (コマンドを受信し、出力を送信する)
com.amazonaws.{region}.ec2messages インターフェイス SSM エージェントメッセージポーリング

以外のリージョンの追加要件us-east-1:

[リソース] 目的
NAT Gateway からドライバーをダウンロードするためのインターネットアクセスを提供しますec2-windows-drivers-downloads.s3.amazonaws.com。これを行わないと、インポートプロセスは失敗します。

インポート中にアクセスされる Amazon S3 エンドポイント:

  • https://ec2-windows-drivers-downloads.s3.amazonaws.com/NVMe/Latest/AWSNVMe.zip

  • https://ec2-windows-drivers-downloads.s3.amazonaws.com/ENA/Latest/AwsEnaNetworkDriver.zip

  • https://ec2-windows-drivers-downloads.s3.amazonaws.com/AWSPCISerialDriver/Latest/AWSPCISerialDriver.zip

  • https://ec2-windows-drivers-downloads.s3.amazonaws.com/EC2WinUtil/Latest/EC2WinUtil.zip

  • https://amazon-ec2launch-v2-{region}.s3.dualstack.{region}.amazonaws.com/windows/amd64/latest/AmazonEC2Launch.msi

  • https://amazon-ssm-{region}.s3.{region}.amazonaws.com/latest/windows_amd64/AmazonSSMAgentSetup.exe

これは、インポートがプライベートサブネットで動作するために必要な最小設定を表します。VPC 設定と必要な結果によっては、ビルドインスタンスと VPC エンドポイント間のトラフィックを許可する追加のネットワーク設定が必要になる場合があります。

次の手順

出力 AMI は他の AMI と同様に使用できます。インスタンスを直接起動することも、Image Builder のベースイメージとして使用してさらに構築およびカスタマイズすることもできます。詳細については、「Image Builder を使用したカスタムイメージの作成」を参照してください。

ISO ディスクイメージのインポートのトラブルシューティング

ISO ディスクイメージのインポートが失敗した場合、Amazon CloudWatch Logs を使用してインポートが失敗した場所を特定できます。Image Builder は、ビルドの完了後にビルドログを CloudWatch Logs にストリーミングします。インポートのログを検索するには、次のロググループとストリームを使用し、ImageName をイメージに付けた名前に置き換えます。

LogGroup: /aws/imagebuilder/ImageName

LogStream: ImageVersion/ImageBuildVersion

CloudWatch Logs の Image Builder ログの詳細については、「」を参照してくださいAmazon CloudWatch Logs を使用した Image Builder ログのモニタリング。他のトラブルシューティングガイダンスについては、「Image Builder の問題のトラブルシューティング」を参照してください。