Amazon EC2 が AMI ガバナンスを強化する Allowed AMI を導入
Amazon EC2 では、AWS アカウント内の Amazon マシンイメージ (AMI) の検出と使用を制限できるようにする新しいアカウント全体の設定が導入されます。これで、アカウント内で許可される AMI 所有者アカウントまたは AMI 所有者エイリアスを指定するだけで、これらの所有者の AMI のみが表示され、EC2 インスタンスを起動するために使用できるようになります。
これまでは、発信元や信頼性にかかわらず、アカウントと明示的に共有されている AMI やパブリック AMI を使用できたため、組織のコンプライアンス要件を満たしていない AMI を誤って使用するリスクがありました。Allowed AMI 機能により、管理者は AWS 環境内での検出と使用を許可する AMI のアカウントまたは所有者エイリアスを指定できます。この合理化されたアプローチにより、準拠していない AMI や不正な AMI を誤って使用してしまうリスクを軽減できます。Allowed AMI は、この設定で許可されていない AMI を使用して起動された EC2 インスタンスを識別する監査モード機能もサポートしているため、設定を適用する前に非準拠インスタンスを特定できます。宣言型ポリシーを使用してこの設定を AWS Organizations と組織単位全体に適用できるため、この設定の大規模な管理と適用が可能になります。
Allowed AMI 設定は、パブリック AMI と AWS アカウントと明示的に共有された AMI にのみ適用されます。デフォルトでは、この設定はすべての AWS アカウントで無効になっています。AWS CLI、SDK、またはコンソールを使用して有効にできます。詳細については、ドキュメントを参照してください。