インフラ設計

EC2 Image Builder で自動化する AMI パイプライン - ゴールデンイメージの構築とテスト

ゴールデン AMI の構築パイプラインを自動化し、コンポーネントの作成からセキュリティ強化テスト、マルチアカウント配布までを紹介します。

約 1 分で読めます

Image Builder の概要

EC2 Image Builder は AMI とコンテナイメージの構築・テスト・配布を自動化するサービスです。手動で EC2 インスタンスを起動し、ソフトウェアをインストールし、AMI を作成する手順を、パイプラインとして定義して自動実行します。セキュリティテストの自動実行とマルチアカウント配布で、組織全体のゴールデンイメージを標準化します。

レシピとパイプライン

イメージレシピはベース AMI (Amazon Linux 2023、Ubuntu など)、ビルドコンポーネント (パッケージインストール、設定ファイル配置)、テストコンポーネント (起動確認、ポート確認) で構成します。コンポーネントは YAML で定義し、シェルコマンドや PowerShell スクリプトを実行します。パイプラインはレシピを定期的に実行し、毎週月曜日に最新パッチ適用済みの AMI を生成するスケジュールを設定できます。配布設定で構築した AMI を他のリージョンやアカウントに自動コピーし、Organizations 全体でゴールデンイメージを共有します。

セキュリティ強化とマルチアカウント配布

Image Builder のテストコンポーネントで CIS ベンチマークや STIG 準拠のセキュリティチェックを自動実行し、基準を満たさない AMI のリリースを防止します。 AWSTOE (Image Builder TOE) コンポーネントは YAML で記述し、パッケージインストール、ファイル配置、サービス設定、テスト実行を宣言的に定義します。ディストリビューション設定で複数のアカウントとリージョンに AMI を自動共有し、 Organizations の OU 単位での配布も可能です。 AMI のライフサイクルポリシーで古いイメージを自動削除し、 AMI の増殖によるストレージコストを抑制します。 EventBridge でパイプラインの成功・失敗を通知し、新しい AMI の利用可能を下流のデプロイパイプラインにトリガーできます。 AMI 自動化の構成パターンを把握するうえで関連書籍 (Amazon)が参考になります。

Image Builder の料金と実行最適化

Image Builder 自体に追加料金は発生しません。コストはビルド中に起動する EC2 インスタンスと EBS ボリュームの使用料金です。ビルドインスタンスタイプを適切に選定し、コンパイルが不要な軽量レシピには t3.micro、大規模なソフトウェアスタックには m5.large を使い分けます。パイプラインのスケジュールを営業時間外に設定し、スポットインスタンスが利用しやすい時間帯に実行することでコストを削減できます。ベース AMI の更新頻度に合わせてパイプラインの実行間隔を設定し、不要なビルドを避けます。コンポーネントのキャッシュを活用して、変更のないステップの再実行を省略し、ビルド時間を短縮します。

まとめ

Image Builder は AMI とコンテナイメージの構築・テスト・配布を自動化するサービスです。セキュリティテストの自動実行で CIS ベンチマーク準拠を検証し、ディストリビューション設定でマルチアカウント・マルチリージョンに AMI を自動共有します。ライフサイクルポリシーで古いイメージを自動削除し、EventBridge で新しい AMI の利用可能をデプロイパイプラインにトリガーします。

関連するサービス

EC2 Image Builderカスタム AMI の作成・テスト・配布を自動化するサービスAmazon EC2クラウド上で仮想サーバーを提供するコンピュートサービスAWS Systems ManagerAWS リソースとオンプレミスサーバーを一元管理できる運用管理サービス

関連する記事

Amazon EC2 インスタンスの選び方 - インスタンスファミリーと購入オプションの最適化インスタンスファミリーの特徴と Graviton プロセッサの性能優位性を整理し、オンデマンド・リザーブド・スポットの購入オプションを使い分ける指針を紹介します。AWS Systems Manager によるフリート管理 - パッチ適用・インベントリ・ Run Command の自動化Patch Manager でパッチ適用を自動化し、Run Command でリモート操作を効率化する。Session Manager による SSH 不要のシェルアクセスも紹介します。AWS AppConfig で実装するフィーチャーフラグ - 安全な設定デプロイとロールバックコードデプロイとは独立した設定変更を、Linear・Exponential 戦略で段階的にロールアウトする。CloudWatch アラーム連動の自動ロールバックで安全性を確保します。

同じテーマの記事

Auto Scaling はなぜスケールアウトは速く、スケールインは慎重なのか - 非対称な判断ロジックの設計意図EC2 Auto Scaling がスケールアウトを即座に実行する一方でスケールインに冷却期間を設ける非対称な設計の理由、フラッピング防止の仕組み、ターゲット追跡スケーリングの内部ロジックを解説します。AWS Auto Scaling で実現する需要追従型インフラ - スケーリングポリシーの設計と最適化ターゲット追跡・予測・スケジュールドの 3 種類のポリシーを使い分け、混合インスタンスポリシーでスポットを活用したコスト最適化を実現する手法を紹介します。AWS の障害ドメイン設計 - AZ・リージョン・パーティションの 3 層構造が守る可用性の仕組みAWS のインフラが AZ (障害隔離)、リージョン (地理的分離)、パーティション (政治的分離) の 3 層で設計されている理由と、各層の障害がどこまで波及するかを具体的な事例とともに解説します。AWS 障害から学ぶ分散システムの原則 - 過去の大規模障害が変えたアーキテクチャS3 障害 (2017)、Kinesis 障害 (2020)、us-east-1 の特殊性など、AWS が公開した障害レポートを題材に、Shuffle Sharding、Static Stability、Cell-based Architecture といった設計原則を解説します。AWS はなぜそこにリージョンを建てるのか - データセンター立地選定の知られざる判断基準AWS がリージョンの立地を決定する際に考慮する電力供給、地政学リスク、データ主権法制、ネットワーク接続性、自然災害リスクなどの判断基準を、具体的なリージョンの事例とともに解説します。AWS の Availability Zone ID はなぜアカウントごとに異なるのか - AZ マッピングの設計意図us-east-1a がアカウントごとに異なる物理 AZ を指す仕組み、AZ ID (use1-az1) が導入された背景、キャパシティの均等分散という設計意図、クロスアカウントでの AZ 指定の注意点を解説します。バッチコンピューティング基盤 - AWS Batch で実現する大規模並列処理AWS Batch を活用した大規模バッチ処理の構築方法を解説します。ジョブキュー、コンピューティング環境の自動スケーリング、Spot インスタンスによるコスト最適化など、科学計算や大規模データ処理に最適なバッチ基盤の設計を紹介します。AWS Batch でバッチコンピューティングを自動化 - ジョブキューとコンピューティング環境の設計AWS Batch によるジョブのスケジューリング、Fargate/EC2 コンピューティング環境の使い分け、スポットインスタンスの活用を解説します。

内容が近い記事・サービス

Amazon ECR のコンテナイメージ管理 - ライフサイクルポリシーとイメージスキャンプライベートリポジトリのライフサイクルポリシーで古いイメージを自動削除し、イメージスキャンで脆弱性を検出する運用パターンを紹介します。Amazon ECRDocker コンテナイメージを安全に保存・管理・配信できるフルマネージドなコンテナレジストリサービスAmazon ECRDocker コンテナイメージを安全に保存・管理・配布できるフルマネージドレジストリAWS CodePipelineソースコードの変更を検知してビルド、テスト、デプロイを自動実行するフルマネージド CI/CD サービスで、リリースプロセスの完全自動化を実現する