EC2の新機能「AMI アンセストリー」でAMIの完全な家系図が見えるようになりました
2025年11月20日、Amazon EC2の新機能としてAMI アンセストリー(Ancestry)がリリースされました。
これまで、AMIの派生元(どのAMIからコピー/作成されたか)の管理は、タグ等を使って手動で行う必要がありましたが、派生元のAMIが削除されてしまうと、親子関係の追跡は困難になることがありました。
今回のアップデートにより、AWS側がAMIの系譜を自動的に記録・保持してくれるようになりました。
実際に4世代のAMIを作成し、途中の親AMIを削除しても追跡できるかを検証してみましたので、紹介します。
検証シナリオ
以下の流れで「家系図」を作り、途中のAMIを削除した状態でも確認を試みました。
- 家系図の作成: Base AMI (Amazon Linux 2023) から順にコピーを繰り返し、4世代(Gen1〜Gen4)を作成する。
- 系譜の確認: 各AMIが正しく親を指しているか確認する。
- 破壊試験: 中間の Gen2 を削除する。
- 追跡確認: 子である Gen3 の情報に、削除された親(Gen2)の情報が残っているか確認する。
検証実施
1. 4世代のAMIを作成
東京リージョンの Amazon Linux 2023 (al2023-ami-2023.9.20251117.1...) をベースに、CLIで順次コピーを作成しました。
# 検証用スクリプトイメージ
export BASE_AMI_ID="ami-03852a41f1e05c8e4" # 公開AMI
aws ec2 copy-image --source-image-id $BASE_AMI_ID ... --name "Ancestry-Test-Gen1"
aws ec2 copy-image --source-image-id $GEN1_AMI_ID ... --name "Ancestry-Test-Gen2"
# ... Gen4まで繰り返し
作成完了後、各AMIの SourceImageId を確認すると、きれいな連鎖(チェーン)ができていることがわかります。
--------------------------------------------------------------------------
| DescribeImages |
+-----------------------+----------------------+-------------------------+
| CurrentAMI | Name | SourceImageId |
+-----------------------+----------------------+-------------------------+
| ami-xxxxxxxxxxxxx0a0f7| Ancestry-Test-Gen2 | ami-xxxxxxxxxxxxx2c21d |
| ami-xxxxxxxxxxxxx3a19e| Ancestry-Test-Gen3 | ami-xxxxxxxxxxxxx0a0f7 |
| ami-xxxxxxxxxxxxx0ba6c6| Ancestry-Test-Gen4 | ami-xxxxxxxxxxxxx3a19e |
| ami-xxxxxxxxxxxxx2c21d| Ancestry-Test-Gen1 | ami-03852a41f1e05c8e4 |
+-----------------------+----------------------+-------------------------+
Gen1 の親には、オリジナルの Amazon Linux 2023 (ami-03852a41f1e05c8e4) が記録されています。
さらに興味深い発見:
オリジナルのベースAMI自体も、実は系譜情報を持っていました。
aws ec2 describe-images --image-ids ami-03852a41f1e05c8e4 \
--query 'Images[0].{ImageId:ImageId, SourceImageId:SourceImageId, SourceImageRegion:SourceImageRegion}'
{
"ImageId": "ami-03852a41f1e05c8e4",
"SourceImageId": "ami-02b297871a94f4b42",
"SourceImageRegion": "us-west-2"
}
東京リージョンの Amazon Linux 2023 AMI は、us-west-2 からコピーされたものであることが分かりました。
つまり、AWS公式のAMIも、リージョン間コピーされており、その系譜が自動的に記録されていたことがわかりました。
2. 中間のAMI (Gen2) を削除
ここで意図的にチェーンを切断します。中間の Gen2 (ami-xxxxxxxxxxxxx0a0f7) を登録解除(削除)しました。
3. 削除後の系譜確認(ここが重要!)
親が消滅した状態で、子である Gen3 の情報を確認しました。
aws ec2 describe-images --image-ids $GEN3_AMI_ID ...
実行結果:
--------------------------------------------------------------------------
| DescribeImages |
+-----------------------+----------------------+-------------------------+
| CurrentAMI | Name | SourceImageId |
+-----------------------+----------------------+-------------------------+
| ami-xxxxxxxxxxxxx3a19e| Ancestry-Test-Gen3 | ami-xxxxxxxxxxxxx0a0f7 |
+-----------------------+----------------------+-------------------------+
Gen3 の SourceImageId フィールドには、先ほど削除した Gen2 のID (ami-xxxxxxxxxxxxx0a0f7) がしっかりと保持されていました。
これにより、「このAMIは、今はなき Gen2 から作られたものだ」 という事実をシステム的に証明・追跡できることが確認できました。
マネジメントコンソールでの見え方
GUIでもこの系譜情報は確認可能です。
AMIの詳細画面に新しく追加された「AMI アンセストリー」タブで、一覧が確認できました。
- Gen1選択
- Gen4選択
- Gen2削除後
削除されたGen2のAMI情報と、オリジナルのAWS純正AMIのIDまで表示できました。
まとめ:何が嬉しいのか?
この機能の最大のメリットは、「セキュリティとガバナンスの透明化」 です。
- セキュリティ: 過去の特定バージョン(例えば脆弱性が見つかった親AMI)から派生した、すべての子孫AMIを芋づる式に特定できます。
- 運用: 「誰かが勝手に作ったAMI」ではなく、「承認されたゴールデンイメージから作られたAMI」であることを、タグ運用に頼らず AWS の機能として証明できます。
- 整理: 親AMIを消しても履歴が追えるため、系譜確認のためだけに残していた中間イメージを安心して削除でき、AWS環境のクリーンアップとストレージの最適化が促進できます。
地味ですが、エンタープライズ環境でのAMI管理における課題解消に有効なアップデートと言えるでしょう。
