翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Image Builder インフラストラクチャ設定の管理
インフラストラクチャ設定を使用して、Image Builder が EC2 Image Builder イメージの構築とテストに使用する Amazon EC2 インフラストラクチャを指定できます。インフラストラクチャには次のような設定が含まれています。
+ ビルドおよびテストインフラストラクチャーのインスタンスタイプ。複数のインスタンスタイプを指定することをお勧めします。これにより、Image Builder は十分な容量のプールからインスタンスを起動できます。これにより、一時的なビルドエラーを減らすことができます。
Mac イメージでは、macOS オペレーティングシステムをネイティブにサポートするインスタンスタイプを選択することもできます。詳細については、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 Mac インスタンス](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html)」を参照してください。
+ インスタンス配置の設定。イメージからのインスタンスが起動する先のホスト、ホストプレイスメントグループ、またはアベイラビリティーゾーンを指定できます。
+ ビルドインスタンスとテストインスタンスにカスタマイズアクティビティの実行に必要な権限を与えるインスタンスプロファイル。例えば、Amazon S3 からリソースを取得するコンポーネントがある場合、インスタンスプロファイルにはそれらのファイルにアクセスするためのアクセス権限が必要です。インスタンスプロファイルには、EC2 Image Builder がインスタンスと正常に通信するための最小限の権限セットも必要です。詳細については、「[Image Builder を使用してカスタムイメージをビルドするためのセットアップ](set-up-ib-env.md)」を参照してください。
+ パイプラインのビルドインスタンスとテストインスタンスの VPC、サブネット、およびセキュリティグループ。
+ Image Builder がビルドとテストのアプリケーションログを保存する Amazon S3 の場所。ロギングを設定する場合、インフラストラクチャ構成で指定されたインスタンスプロファイルは、ターゲットバケット(`arn:aws:s3:::BucketName/*`)に対して`s3:PutObject`の権限を持っている必要があります。
+ ビルドが失敗し、`terminateInstanceOnFailure` を `false` に設定していた場合、Amazon EC2 キーペアを通じてインスタンスにログオンし、トラブルシューティングを行うことができます。
+ Image Builder がイベント通知を送信する SNS トピックです。Image Builder と Amazon SNS との統合の詳細については、「[Image Builder における Amazon SNS の統合](integ-sns.md)」を参照してください。
**注記**
SNS トピックが暗号化されている場合、このトピックを暗号化するキーは、Image Builder サービスが実行されるアカウントにある必要があります。Image Builder は、他のアカウントのキーで暗号化された SNS トピックに通知を送信できません。
Image Builder コンソール、Image Builder API、または AWS CLIの **imagebuilder** コマンドを使用して、インフラストラクチャ設定を作成および管理できます。
**Topics**
+ [インフラストラクチャ設定の詳細を一覧表示および表示する](infra-config-details.md)
+ [インフラストラクチャ構成を作成します。](create-infra-config.md)
+ [インフラストラクチャ設定を更新する](update-infra-config.md)
+ [Image Builder と AWS PrivateLink インターフェイス VPC エンドポイント](vpc-interface-endpoints.md)
**ヒント**
同じ型のリソースが複数にある場合に、割り当てたタグに基づいて特定のリソースをすばやく識別できます。の Image Builder コマンドを使用したリソースのタグ付けの詳細については AWS CLI、このガイドの[リソースにタグを付ける](tag-resources.md)「」セクションを参照してください。
# インフラストラクチャ設定の詳細を一覧表示および表示する
このセクションでは、EC2 Image Builder インフラストラクチャ構成の情報を検索し、詳細を表示するさまざまな方法について説明します。
**Topics**
+ [からインフラストラクチャ設定を一覧表示する AWS CLI](#cli-list-infrastructure-configurations)
+ [からインフラストラクチャ設定の詳細を取得する AWS CLI](#cli-get-infrastructure-configuration-details)
## からインフラストラクチャ設定を一覧表示する AWS CLI
次の例では、**[list-infrastructure-configurations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/list-infrastructure-configurations.html)**コマンドを AWS CLIコマンドで使用し、すべてのインフラストラクチャーコンフィギュレーションをリストアップする方法を示している。
```
aws imagebuilder list-infrastructure-configurations
```
## からインフラストラクチャ設定の詳細を取得する AWS CLI
次の例は、 で **[get-infrastructure-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/get-infrastructure-configuration.html)** コマンドを使用して、Amazon リソースネーム (ARN) を指定してインフラストラクチャ設定の詳細 AWS CLI を取得する方法を示しています。
```
aws imagebuilder get-infrastructure-configuration --infrastructure-configuration-arn arn:aws:imagebuilder:us-west-2:123456789012:infrastructure-configuration/my-example-infrastructure-configuration
```
# インフラストラクチャ構成を作成します。
このセクションでは、 で Image Builder コンソールまたは **imagebuilder** コマンドを使用してインフラストラクチャ設定 AWS CLI を作成する方法について説明します。
------
#### [ Console ]
Image Builder コンソールでインフラストラクチャ設定リソースを作成するには、次の手順に従います。
1. [https://console.aws.amazon.com/imagebuilder/](https://console.aws.amazon.com/imagebuilder/) で、EC2 Image Builder コンソールを開きます。
1. ナビゲーションペインで、**インフラストラクチャー設定** を選択します。
1. **インフラストラクチャー構成の作成** を選択します。
1. **全般** セクションに、以下の情報を入力します。
+ インフラストラクチャー設定リソースの**名前** を入力します。
+ ビルドインスタンスとテストインスタンスのコンポーネントアクセス許可についてインスタンスプロファイルに関連付ける **[IAM ロール]** を選択します。Image Builder はこれらの権限を使用して、コンポーネントのダウンロードと実行、CloudWatch へのログのアップロード、およびレシピ内のコンポーネントで指定されている追加アクションの実行を行います。
1. **[AWS インフラストラクチャ]** パネルでは、利用可能な残りのすべてのインフラストラクチャ設定を構成できます。以下の必須情報を入力します。
+ **インスタンスタイプ** — このビルドに使用するインスタンスタイプを 1 つ以上指定できます。サービスは可用性に基づいてこれらのインスタンスタイプから 1 つを選択します。
**注記**
Mac インスタンスは、専有ホストの `.metal` インスタンスタイプで実行されます。指定するインスタンスタイプは、実行するホストに定義されているタイプのいずれかと一致する必要があります。Mac インスタンスの詳細と、macOS オペレーティングシステムをネイティブにサポートするインスタンスタイプの一覧については、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 Mac インスタンス](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html)」を参照してください。
+ **SNS トピック (オプション)** - EC2 Image Builder からの通知とアラートを受信する SNS トピックを選択します。
以下の設定に値を指定しない場合、該当する場合、サービス固有のデフォルトが使用されます。
+ **VPC、サブネット、セキュリティグループ** — Image Builder はデフォルトの VPC とサブネットを使用します。VPC インターフェイスエンドポイントの設定の詳細については、「[Image Builder と AWS PrivateLink インターフェイス VPC エンドポイント](vpc-interface-endpoints.md)」を参照してください。
+ **トラブルシューティング設定** セクションでは、以下の値を設定できます。
+ デフォルトでは、**障害発生時にインスタンスを終了** チェックボックスが選択されています。ただし、ビルドが失敗した場合、EC2 インスタンスにログオンしてトラブルシューティングを行うことができます。ビルドが失敗した後もインスタンスを実行し続けるには、このチェックボックスをオフにします。
+ **キーペア** — ビルドが失敗した後も EC2 インスタンスが実行され続ける場合は、キーペアを作成するか、既存のキーペアを使用してインスタンスにログオンし、トラブルシューティングを行うことができます。
+ **ログ** — Image Builder がビルドとテストのトラブルシューティングに役立つアプリケーションログを書き込める S3 バケットを指定できます。S3 バケットを指定しない場合、Image Builder はアプリケーションログをインスタンスに書き込みます。
+ **インスタンスメタデータ設定** セクションでは、Image Builder がイメージのビルドとテストに使用する EC2 インスタンスに適用する次の値を設定できます。
+ **メタデータバージョン** を選択して、EC2 がインスタンスのメタデータの取得リクエストで、署名付きトークンヘッダーを必要とするかどうかを判断します。
+ **V1 と V2 (トークンはオプション)** — 何も選択しない場合のデフォルト値。
+ **V2 (トークンが必要)**
**注記**
Image Builder がパイプラインビルドから起動するすべての EC2 インスタンスを IMDSv2 を使用するように設定して、インスタンスメタデータの取得リクエストに署名付きトークンヘッダーが必要になるようにすることをお勧めします。
+ **メタデータトークンの応答ホップ上限数** – メタデータトークンに輸送できるネットワークホップ数。最小ホップ:1、最大ホップ:64、デフォルトは 1 ホップ。
+ **[インスタンス配置の設定]** セクションでは、Image Builder がイメージのビルドとテストに使用する EC2 インスタンスに適用する次の値を設定できます。
+ イメージの作成中に Image Builder がインスタンスを起動する **[アベイラビリティーゾーン]** を選択できます。
+ 必要に応じて、起動したインスタンスを実行するサーバーの **[テナンシー]** を選択します。デフォルトでは、EC2 インスタンスは共有テナンシーハードウェアで実行されます。つまり、複数の AWS アカウント が同じ物理ハードウェアを共有する可能性があります。`dedicated` テナンシーのインスタンスは、シングルテナントのハードウェアで実行されます。`host` テナンシーのインスタンスは、専有ホストで実行されます。
Mac インスタンスには、カスタムイメージのビルド前に前提条件として作成された専有ホストが必要です。macOS イメージ用の `host` を選択します。その後、インスタンスを起動するターゲットホストまたはホストリソースグループを選択できますが、専有ホストで自動配置が有効になっている場合は必須ではありません。詳細については、「*Amazon EC2 ユーザーガイド*」の「[自動配置](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-hosts-understanding.html#dedicated-hosts-auto-placement)」を参照してください。
+ **[テナンシーのホスト ID]** - インスタンスが実行される専有ホストの ID。
+ **[テナンシーのホストリソースグループ]** - インスタンスを起動するホストリソースグループの Amazon リソースネーム (ARN)。
1. **[インフラストラクチャタグ]** セクション (オプション) では、Image Builder がビルドプロセス中に起動する Amazon EC2 インスタンスにメタデータタグを割り当てることができます。タグはキーと値のペアとして入力します。
1. **[タグ]** セクション (オプション) では、Image Builder が出力として作成するインフラストラクチャ設定リソースにメタデータタグを割り当てることができます。タグはキーと値のペアとして入力します。
------
#### [ AWS CLI ]
以下の手順では、 AWS CLIで Image Builder の **[create-infrastructure-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/create-infrastructure-configuration.html)** コマンドを使用して、イメージのインフラストラクチャを設定する方法を示します。手順 2 のコマンドには、手順 1 で作成したファイルを指定します。これらの例では、手順 1 のファイルを `create-infrastructure-configuration.json` として参照しています。
1.
**CLI 入力 JSON ファイルの作成**
次の例は、インフラストラクチャ設定用に作成できる JSON ファイルのバリエーションを示しています。ファイル編集ツールを使用して独自の JSON ファイルを作成してください。
**例 1: 失敗したビルドのインスタンスを保持する設定**
この例では、`m5.large` と `m5.xlarge` の 2 つのインスタンスタイプを指定します。複数のインスタンスタイプを指定することをお勧めします。これにより、Image Builder は十分な容量のプールからインスタンスを起動できます。これにより、一時的なビルドエラーを減らすことができます。
`instanceProfileName` はプロファイルがカスタマイズアクティビティを実行するのに必要な権限をインスタンスに提供するインスタンスプロファイルを指定します。例えば、Amazon S3 からリソースを取得するコンポーネントがある場合、インスタンスプロファイルにはそれらのファイルにアクセスするためのアクセス権限が必要です。インスタンスプロファイルには、EC2 Image Builder がインスタンスと正常に通信するための最小限の権限セットも必要です。詳細については、「[Image Builder を使用してカスタムイメージをビルドするためのセットアップ](set-up-ib-env.md)」を参照してください。
```
{
"name": "ExampleInfraConfigDontTerminate",
"description": "An example that will retain instances of failed builds",
"instanceTypes": [
"m5.large", "m5.xlarge"
],
"instanceProfileName": "myIAMInstanceProfileName",
"securityGroupIds": [
"sg-12345678"
],
"subnetId": "sub-12345678",
"logging": {
"s3Logs": {
"s3BucketName": "my-logging-bucket",
"s3KeyPrefix": "my-path"
}
},
"keyPair": "myKeyPairName",
"terminateInstanceOnFailure": false,
"snsTopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic"
}
```
**例 2: 自動配置が有効な macOS 設定**
この例では、専有ホストで自動配置が有効になっている Mac インスタンスのインスタンスタイプとプレイスメントを指定します。
```
{
"name": "macOSInfraConfigAutoPlacement",
"description": "An example infrastructure configuration for macOS.",
"instanceProfileName": "EC2InstanceProfileForImageBuilder",
"instanceTypes": ["mac1.metal, mac2.metal"],
"terminateInstanceOnFailure": false,
"placement": {
"tenancy": "host"
}
}
```
**例 3: ホスト ID が指定された macOS 設定**
この例では、特定の専有ホストをターゲットとする Mac インスタンスのインスタンスタイプとプレイスメントを指定します。
```
{
"name": "macOSInfraConfigHostPlacement",
"description": "An example infrastructure configuration for macOS.",
"instanceProfileName": "EC2InstanceProfileForImageBuilder",
"instanceTypes": ["mac2-m1ultra.metal"],
"terminateInstanceOnFailure": false,
"placement": {
"tenancy": "host",
"hostId" : "h-1234567890abcdef0"
}
}
```
1.
**以下のコマンドを実行する際には、作成したファイルを入力として使用します。**
```
aws imagebuilder create-infrastructure-configuration --cli-input-json file://create-infrastructure-configuration.json
```
------
# インフラストラクチャ設定を更新する
このセクションでは、 で Image Builder コンソールまたは **imagebuilder** コマンドを使用してインフラストラクチャ設定リソース AWS CLI を更新する方法について説明します。リソースを追跡するには、次のようにタグを適用できます。タグはキーと値のペアとして入力します。
+ *リソースタグ*は、Image Builder がビルドプロセス中に起動する Amazon EC2 インスタンスにメタデータタグを割り当てます。
+ *タグ*は、Image Builder が出力として作成するインフラストラクチャ設定リソースにメタデータタグを割り当てます。
------
#### [ Console ]
Image Builder コンソールから以下のインフラストラクチャー設定の詳細を編集できます。
+ インフラストラクチャ設定の **説明**。
+ **[IAM ロール]** をインスタンスプロファイルに関連付けます。
+ **インスタンスタイプ**や通知用の **SNS トピック**を含む **AWS インフラストラクチャ**。
+ **VPC、サブネット、セキュリティグループ**。
+ **障害発生時にインスタンスを終了する**、**接続用のキーペア**、インスタンス Log 用のオプションの S3 バケットの場所などの**トラブルシューティング設定**。
Image Builder コンソールからインフラストラクチャ構成リソースを更新するには、以下の手順に従います。
**既存の Image Builder インフラストラクチャー構成を選択してください**
1. [https://console.aws.amazon.com/imagebuilder/](https://console.aws.amazon.com/imagebuilder/) で、EC2 Image Builder コンソールを開きます。
1. アカウントのインフラストラクチャー設定リソースのリストを表示するには、ナビゲーションペインから **インフラストラクチャー設定** を選択します。
1. インフラストラクチャー設定の詳細を表示したり編集したりするには、「**設定名**」リンクを選択します。これにより、インフラストラクチャ設定の詳細ビューが開きます。
**注記**
**設定名** の横にあるボックスをオンにして、**詳細を表示** を選択することもできます。
1. **インフラストラクチャー詳細** パネルの右上隅から **編集** を選択します。
1. インフラストラクチャー設定に加えた更新を保存する準備ができたら、**変更を保存** を選択します。
------
#### [ AWS CLI ]
次の例は、 AWS CLIで Image Builder の **[update-infrastructure-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/update-infrastructure-configuration.html)** コマンドを使用して、イメージのインフラストラクチャ設定を更新する方法を示しています。
1.
**CLI 入力 JSON ファイルの作成**
このインフラストラクチャー設定例では、create の例と同じ設定を使用していますが、`terminateInstanceOnFailure`設定を `false` に更新している点が異なります。**update-infrastructure-configuration**コマンドを実行した後、このインフラストラクチャ構成を使用するパイプラインは、ビルドが失敗するとビルドインスタンスとテストインスタンスを終了します。
ファイル編集ツールを使用して、次の例に示すキーと環境に有効な値を含む JSON ファイルを作成します。この例では、`update-infrastructure-configuration.json`という名前のファイルを使用します。
```
{
"infrastructureConfigurationArn": "arn:aws:imagebuilder:us-west-2:123456789012:infrastructure-configuration/my-example-infrastructure-configuration",
"description": "An example that will terminate instances of failed builds",
"instanceTypes": [
"m5.large", "m5.2xlarge"
],
"instanceProfileName": "myIAMInstanceProfileName",
"securityGroupIds": [
"sg-12345678"
],
"subnetId": "sub-12345678",
"logging": {
"s3Logs": {
"s3BucketName": "my-logging-bucket",
"s3KeyPrefix": "my-path"
}
},
"terminateInstanceOnFailure": true,
"snsTopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic"
}
```
1.
**以下のコマンドを実行する際には、作成したファイルを入力として使用します。**
```
aws imagebuilder update-infrastructure-configuration --cli-input-json file://update-infrastructure-configuration.json
```
------
# Image Builder と AWS PrivateLink インターフェイス VPC エンドポイント
VPC と EC2 Image Builder の間にプライベート接続を確立するには、インターフェイス VPC エンドポイントを作成します。インターフェイスエンドポイントは、インターネットゲートウェイ[AWS PrivateLink](https://aws.amazon.com/privatelink/)、NAT デバイス、VPN 接続、または Direct Connect 接続なしで Image Builder APIs にプライベートにアクセスできるテクノロジーである を利用しています。VPC のインスタンスは、パブリック IP アドレスがなくても API と通信できます。VPC と Image Builder 間のトラフィックは、Amazon のネットワークから出ることはありません。
各インターフェースエンドポイントは、サブネット内の 1 つ以上の [Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) によって表されます。新しいイメージを作成するときに、インフラストラクチャ設定で VPC subnet-id を指定できます。
**注記**
VPC 内からアクセスする各サービスには、独自のエンドポイントポリシーを持つ独自のインターフェイスエンドポイントがあります。Image Builder は AWSTOE コンポーネントマネージャーアプリケーションをダウンロードし、S3 バケットからマネージドリソースにアクセスしてカスタムイメージを作成します。これらのバケットへのアクセスを許可するには、S3 エンドポイントポリシーを更新して許可する必要があります。詳細については、「[S3 バケットアクセスのカスタムポリシー](#vpc-endpoint-policy-s3)」を参照してください。
VPC エンドポイントの詳細については、Amazon VPC ユーザーガイドの「[インターフェイス VPC エンドポイント (AWS PrivateLink PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。
## Image Builder VPC エンドポイントに関する考慮事項
Image Builder 用のインターフェース VPC エンドポイントを設定する前に、Amazon VPC User Guide の[インターフェースエンドポイントのプロパティと制限事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations)を確認してください。
Image Builder は、VPC からすべての API アクションの呼び出しをサポートしています。
## Image Builder 用のインターフェース VPC エンドポイントを作成する
Image Builder サービスの VPC エンドポイントを作成するには、Amazon VPC コンソールまたは AWS Command Line Interface () を使用できますAWS CLI。詳細については、「Amazon VPC ユーザーガイド」の[インターフェイスエンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint)を参照してください。
以下のサービス名を使用して、Image Builder 用の VPC エンドポイントを作成します。
+ com.amazonaws.*region*.imagebuilder
エンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (`imagebuilder.us-east-1.amazonaws.com` など) を使用して、QLDB への API リクエストを実行できます。対象のリージョンに適用されるエンドポイントを調べるには、Amazon Web Services 全般のリファレンスの[EC2 Image Builder のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/imagebuilder.html#imagebuilder_region)を参照する。
詳細については、*Amazon VPC User Guide*の[インターフェースエンドポイントを介したサービスへのアクセス](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#access-service-though-endpoint)を参照してください。
## Image Builder 用 VPC エンドポイントポリシーの作成
VPC エンドポイントには、 へのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。
+ アクションを実行できるプリンシパル。
+ 実行可能なアクション。
+ アクションを実行できるリソース。
レシピで Amazon が管理するコンポーネントを使用している場合、Image Builder の VPC エンドポイントは、以下のサービス所有のコンポーネントライブラリへのアクセスを許可する必要があります。
`arn:aws:imagebuilder:region:aws:component/*`
**重要**
EC2 Image Builder のインターフェイス VPC エンドポイントにデフォルト以外のポリシーが適用されると、 からの失敗など、失敗した特定の API リクエストは`RequestLimitExceeded`、 AWS CloudTrail または Amazon CloudWatch にログ記録されない場合があります。
詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC エンドポイントによるサービスのアクセスコントロール](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」を参照してください。
### S3 バケットアクセスのカスタムポリシー
Image Builder は、公開されている S3 バケットを使用して、コンポーネントなどの管理対象リソースを保存し、アクセスします。また、別の S3 バケットから AWSTOE コンポーネント管理アプリケーションをダウンロードします。環境で Amazon S3 の VPC エンドポイントを使用している場合、S3 VPC エンドポイントポリシーで Image Builder が以下の S3 バケットにアクセスできるようにする必要があります。バケット名は、 AWS リージョン (*リージョン*) とアプリケーション環境 (*環境*) ごとに一意です。Image Builder と は`prod`、、`preprod`、および のアプリケーション環境 AWSTOE をサポートします`beta`。
+ AWSTOE コンポーネントマネージャーバケット:
```
s3://ec2imagebuilder-toe-region-environment
```
**例:** s3://ec2imagebuilder-toe-us-west-2-prod/\$1
+ Image Builder 管理リソースバケット:
```
s3://ec2imagebuilder-managed-resources-region-environment/components
```
**例:** s3://ec2imagebuilder-managed-resources-us-west-2-prod/components/\$1
### VPC エンドポイントポリシーの例
このセクションには、カスタム VPC エンドポイントポリシーの例が含まれています。
**Image Builder アクションの一般的な VPC エンドポイントポリシー**
次の Image Builder のエンドポイントポリシー例では、Image Builder のイメージとコンポーネントを削除する権限を拒否しています。このポリシー例では、EC2 Image Builder の他のすべてのアクションを実行する権限も付与している。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "imagebuilder:*",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "imagebuilder:DeleteImage",
"Effect": "Deny",
"Resource": "*"
},
{
"Action": "imagebuilder:DeleteComponent",
"Effect": "Deny",
"Resource": "*"
}
]
}
```
------
**組織ごとにアクセスを制限し、管理対象コンポーネントへのアクセスを許可する**
次のエンドポイントポリシーの例は、組織に属している ID とリソースにアクセスを限定し、Amazon が管理する Image Builder コンポーネントへのアクセスを提供する方法を示しています。*region*、*principal-org-id*、*resource-org-id* を組織の値に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "principal-org-id",
"aws:ResourceOrgID": "resource-org-id"
}
}
},
{
"Sid": "AllowAccessToEC2ImageBuilderComponents",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"imagebuilder:GetComponent"
],
"Resource": [
"arn:aws:imagebuilder:us-east-1:aws:component/*"
]
}
]
}
```
------
**Amazon S3 バケットアクセスの VPC エンドポイントポリシー**
以下の S3 エンドポイントポリシーの例では、Image Builder がカスタムイメージの構築に使用する S3 バケットへのアクセスを提供する方法を示しています。 *リージョン* と *環境* を組織の値に置き換えてください。アプリケーションの要件に基づいて、その他の必要な権限をポリシーに追加します。
**注記**
Linux イメージでは、イメージレシピにユーザーデータが指定されていない場合、Image Builder は、イメージのビルドインスタンスとテストインスタンスに Systems Manager エージェントをダウンロードしてインストールするスクリプトを追加します。エージェントをダウンロードするために、Image Builder はビルドリージョンの S3 バケットにアクセスします。
Image Builder がビルドインスタンスとテストインスタンスをブートストラップできるようにするには、次のリソースを S3 エンドポイントポリシーに追加します。
"`arn:aws:s3:::amazon-ssm-region/*`"
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowImageBuilderAccessToAppAndComponentBuckets",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::ec2imagebuilder-toe-region-environment/*",
"arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*"
]
}
]
}
```
------