![[アップデート] Amazon EC2 で AMI ガバナンスを強化するために 許可された AMI が導入されました #AWSreInvent](https://images.ctfassets.net/ct0aopd36mqt/3nibOl2sZ0LKJueI0FHFi5/14de7bd294f7916a28b789105c60d450/reinvent-2024-newservice-jp.jpg)
[アップデート] Amazon EC2 で AMI ガバナンスを強化するために 許可された AMI が導入されました #AWSreInvent
2024.12.02カスタマーサクセス部 運用支援チームのいたくらです。
Amazon EC2 の新しいガバナンス機能として、許可された AMI が発表されました。
このブログは許可された AMI 機能を触ってみた結果をまとめたものです。
新機能の概要
従来は、アカウントで明示的に共有された AMI またはパブリック AMI を信頼性に関係なく使用できたため、組織のコンプライアンス要件を満たしていない AMI を誤って使用してしまうリスクがありました。
許可された AMI を使用すると、許可されている AMI アカウントまたは所有者エイリアスを指定できるため、非準拠 / 未承認の AMI を誤って使用してしまうリスクを軽減するためのガードレールを提供できます。
また、許可された AMI は、許可されていない AMI を使用して起動された EC2 を識別する「監査モード」機能もサポートしているため、設定が適用される前に非準拠インスタンスを特定できます。
さらに、同日発表された「宣言型ポリシー」を使用して、この設定を AWS Organizations および組織単位全体に適用できるため、この設定を大規模に管理および適用することが可能になっています。
やってみた
前提
前提として以下の準備を実施しました。
- AWS Organizations が有効なマルチアカウント環境
- アカウント A にて自己所有 AMI を作成、組織での共有を設定済み
- 組織での共有を設定:
- 組織での共有を設定:
- アカウント B にて自己所有 AMI を作成、同様に組織での共有を設定済み
許可された AMI を設定してみる
■ 設定前
アカウント C(AWS Organizations の管理アカウント)で、許可された AMI を設定してみます。
現在、アカウント C では許可された AMI が無効の状態です。
このとき、AMI のサービスページにて一覧を確認すると、Allowed image 列はハイフンになっています。
■ アカウント C で Allowed AMIs settings を「Audit mode」にしてみる
アカウント C にて、EC2 サービスページの ダッシュボード > Allowed AMIs をクリックします。
今は無効になっているので、変更するために「管理」をクリックします。
「Allowed AMIs settings」を「Audit mode」、
「AMI criteria」に公式ドキュメントを参考に JSON を入力し、
最後に「更新」をクリックします。
ぼかしが掛かっている箇所は、アカウント A の 5 から始まるアカウント ID が記載されています。
この JSON では以下の AMI criteria を許可するという意味です。
- AWS によって作成された AMI
- AWS Marketplace で検証済みのプロバイダーによって作成された AMI
- アカウント A で作成されたAMI
「更新」をクリックし、「Successfully enabled audit mode for Allowed AMIs.」が表示されたら変更完了です。
■ AMI のサービスページにて一覧を確認する
再度、AMI のサービスページにて一覧を確認します。
すると、Allowed image 列が有効になっていることが分かります。
所有者列が 5 から始まる(= アカウント A) AMI については、Allowed image が「はい」となっていますが、所有者列が 0 から始まる(= アカウント B) AMI については「いいえ」となっていることが分かります。
このように AMI criteria で設定した基準を満たしている / いないが簡単に判断できます。
■ Allowed AMIs settings を「有効」にしてみる
「Audit mode」で AMI criteria で設定した基準を満たしている / いないが判断できましたが、「有効」にするとどうなるのでしょうか。
「有効」に更新後、再度 AMI のサービスページにて一覧を確認してみます。
基準を満たしていない AMI については、一覧に表示されなくなりました。
そもそも表示されないようにすることで使用不可にさせるという意図がありそうです。
補足
本ブログで設定した許可された AMI の効力は、アカウント C のみです。
Organizations 全体で許可された AMI を使用したい場合は、同日発表された「宣言型ポリシー」を使用する必要があります。
まとめ
新機能の許可された AMI を触ってみた結果をまとめました。
マルチアカウント環境があればすぐに試せますので、興味がある方は是非触ってみてください。
この新機能をみなさん活用して、組織のガバナンス向上に役立てていきましょう!
この記事がどなたかのお役に立てれば幸いです。
おまけ
東京リージョンで検証しようと思ったのですが、EC2 サービスページのダッシュボードに Allowed AMIs が表示されておらず…
とりあえずバージニア北部リージョンで検証しました。
参考資料
- Amazon EC2 introduces Allowed AMIs to enhance AMI governance - AWS
- Control the discovery and use of AMIs in Amazon EC2 with Allowed AMIs - Amazon Elastic Compute Cloud
アノテーション株式会社について
アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。
サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。
当社は様々な職種でメンバーを募集しています。
「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。
![[社内勉強会資料] 失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集 #AWSreInvent](https://devio2024-media.developers.io/image/upload/v1733138606/user-gen-eyecatch/k3rveggq6ggacd8qh1gw.png)
