共有イメージを使用して、同じリージョンの複数のAlibaba Cloudアカウント間でElastic Compute Service (ECS) インスタンスを作成できます。 カスタムイメージを作成した後、リソースディレクトリまたはフォルダーに基づいて、他のAlibaba Cloudアカウントまたは組織内でカスタムイメージを共有できます。 これにより、共有者は共有イメージを使用して同一のECSインスタンスを作成できます。 このトピックでは、カスタムイメージを共有する方法と、イメージを共有するときに注意する必要がある考慮事項について説明します。
シナリオ
シナリオ1: Alibaba Cloudアカウント内のイメージを1つ以上のAlibaba Cloudアカウントと共有したい場合。
シナリオ2: Alibaba Cloudサービスを使用する場合、リソースディレクトリを使用して組織のすべてのAlibaba Cloudアカウントを管理します。 リソースディレクトリ内のメンバーのイメージを、リソースディレクトリ内のすべてのメンバー、またはリソースディレクトリ内の特定のフォルダ内のすべてのメンバーと共有する場合。
シナリオ2でイメージを共有する場合、リソースディレクトリまたはフォルダー内のすべてのアカウントが共有イメージにアクセスできます。 後でリソースディレクトリまたはフォルダーに追加されたアカウントも、共有イメージにアクセスできます。 リソースディレクトリまたはフォルダーから削除されたアカウントは、共有イメージにアクセスできなくなります。 詳細については、「リソース共有の概要」をご参照ください。
説明Resource Directoryは、多数のアカウントとリソース間の関係を管理するために使用できるサービスです。 リソースディレクトリを使用すると、ビジネス要件に基づいて組織構造をすばやく確立し、組織のアカウントをその構造に統合して、組織のリソースの階層を作成できます。 詳細については、「リソースディレクトリの概要」をご参照ください。
リソースディレクトリ内のすべてのメンバーまたはリソースディレクトリ内の特定のフォルダ内のすべてのメンバーとカスタムイメージを共有した場合は、シナリオ1で説明した方法でカスタムイメージを再共有しないことをお勧めします。 これにより、リソースディレクトリ内の共有画像データの不整合が防止される。
考慮事項
カスタムイメージを共有する前に、次の表に記載されている項目に注意してください。
項目 | 説明 |
料金 | カスタムイメージの共有に対しては課金されません。 |
リージョン |
|
制限事項 |
|
準備
カスタムイメージを共有する前に、すべての機密データとファイルがイメージから削除されていることを確認してください。
さまざまなシナリオでカスタムイメージを共有する場合は、次の項目に注意してください。
カスタムイメージを他のAlibaba Cloudアカウントと共有するには、アカウントのIDを取得する必要があります。
Alibaba CloudアカウントのIDを取得するには、アカウントを使用してAlibaba Cloud管理コンソールにログインし、右上隅のプロフィール写真の上にポインターを移動します。 メインアカウントタグがAlibaba Cloudアカウントに追加されている場合、アカウントIDはAlibaba CloudアカウントIDです。
リソースディレクトリまたはフォルダーに基づいて組織内でカスタムイメージを共有するには、管理アカウントまたはメンバーを使用してリソースディレクトリを有効にする必要があります。 詳細については、「リソースディレクトリの有効化」をご参照ください。
手順
暗号化されていないカスタムイメージを共有する
ECSコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
カスタム画像タブで、共有する暗号化されていないカスタムイメージを見つけて、イメージを共有するで、アクション列を作成します。
では、イメージを共有するダイアログボックスで、ビジネス要件に基づいてパラメーターを設定します。
暗号化されていないカスタムイメージを他のAlibaba Cloudアカウントと共有する
共有アカウントIDフィールドにAlibaba CloudアカウントのIDを入力します。
[セキュリティの確認] パラメーターで、[アカウントとイメージを共有した後、アカウントはイメージのデータを取得できます。 データのセキュリティを確保するために、アカウントとイメージを共有することを確認します。
[確認]をクリックします。
リソースディレクトリまたはフォルダに基づいて組織内で暗号化されていないカスタムイメージを共有する
Sharee Typeパラメーターの右側にある共有組織をクリックします。
説明リソースディレクトリを有効にした管理アカウントまたはメンバーのみが、組織内のリソースを共有できます。 共有組織が表示されない場合は、リソースディレクトリを有効にする必要があります。 詳細については、「リソースディレクトリの有効化」をご参照ください。
リソース管理コンソールに移動して、共有操作を完了します。 詳細については、「リソース共有の作成」をご参照ください。
説明[リソース共有の作成] ページの [リソース] セクションで、リソースタイプを [ECSイメージ] に設定します。
暗号化されていないカスタムイメージを共有した後、イメージを見つけ、イメージに対応するアイコンの上にポインターを移動して、イメージが共有されているAlibaba Cloudアカウントを表示します。
暗号化されたカスタムイメージを共有する
手順1: RAMロールを作成し、RAMロールに権限を付与する
暗号化されたカスタムイメージを共有する場合は、RAMコンソールでAliyunECSShareEncryptImageDefaultRole
という名前のRAMロールを作成し、RAMロールに必要な権限を付与するポリシーをアタッチします。 その後、リソースディレクトリまたはフォルダーに基づいて、他のAlibaba Cloudアカウントまたは組織内で暗号化されたカスタムイメージを共有できます。
暗号化されたカスタムイメージを共有するAlibaba CloudアカウントでRAMコンソールにログインします。
[ポリシー] ページで、ポリシーを検索または作成します。
共有するカスタムイメージが既定のサービス顧客マスターキー (CMK) を使用して暗号化されている場合は、
AliyunKMSFullAccess
システムポリシーを見つけます。 システムポリシーの内容を表示するには、「AliyunKMSFullAccess」をご参照ください。共有するカスタムイメージが、Key Management Service (KMS) で作成したカスタムCMKを使用して暗号化されている場合は、[ポリシー] ページの [ポリシーの作成] をクリックし、[JSON] タブをクリックして、カスタムCMKに最小限の権限を付与するカスタムポリシーを作成します。 詳細については、「カスタムポリシーの作成」トピックの「JSONタブでカスタムポリシーを作成する」セクションをご参照ください。
次のサンプルコードでは、共有する暗号化されたカスタムイメージに関連付けられたCMKに対する権限のみを付与するポリシーの例を示します。
{ "Version": "1", "Statement": [ { "Action": "kms:List*", "Resource": "acs:kms:<ID of the region in which the CMK resides>:<ID of the Alibaba Cloud account to which the CMK belongs>:key", "Effect": "Allow" }, { "Action": [ "kms:DescribeKey", "kms:TagResource", "kms:UntagResource", "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "acs:kms:<ID of the region in which the CMK resides>:<ID of the Alibaba Cloud account to which the CMK belongs>:key/<ID of the CMK associated with the image>", "Effect": "Allow" } ] }
説明<CMKが存在するリージョンのID>
、<CMKが属するAlibaba CloudアカウントのID>
、および<イメージに関連付けられたCMKのID>
変数を実際の値に置き換える必要があります。
[ロール] ページで、信頼できるAlibaba Cloudアカウント用に
AliyunECSShareEncryptImageDefaultRole
という名前のRAMロールを作成します。詳細については、「信頼できるAlibaba CloudアカウントのRAMロールの作成」をご参照ください。
[ロール] ページで、作成した
[ロール]
をクリックして、ロールの詳細ページに移動します。[権限] タブで、[権限の付与] をクリックして、ステップ2で見つけた、または作成したポリシーをRAMロールにアタッチします。 詳細については、「RAMロールへのアクセス許可の付与」トピックの「方法2: [ロール] ページの [正確なアクセス許可] 」セクションを参照してください。
[信頼ポリシー] タブで、[信頼ポリシーの編集] をクリックし、暗号化されたカスタムイメージを共有する共有者を指定します。 詳細については、「RAMロールの信頼ポリシーの編集」をご参照ください。
暗号化されたカスタムイメージをAlibaba Cloudアカウントと共有する場合は、デフォルトの信頼ポリシーを次のポリシーに置き換えます。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "<UID>@ecs.aliyuncs.com" ] } } ], "Version": "1" }
説明置換ポリシーで、
<UID>
を、暗号化されたカスタムイメージを共有するAlibaba CloudアカウントのIDに置き換えます。 暗号化されたカスタムイメージを複数のAlibaba Cloudアカウントと共有する場合は、イメージを共有するAlibaba CloudアカウントのIDを指定する必要があります。リソースディレクトリに基づいて組織内で暗号化されたカスタムイメージを共有する場合は、シナリオに基づいて既定の信頼ポリシーを置き換えます。
シナリオ1: 暗号化されたカスタムイメージをリソースディレクトリ内のすべてのメンバーと共有する場合は、デフォルトの信頼ポリシーを、リソースディレクトリのIDを指定した次のポリシーに置き換えます。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "*@ecs.aliyuncs.com" }, "Condition": { "StringEquals": { "sts:ServiceOwnerRDId": "<ID of the resource directory>" } } } ], "Version": "1" }
説明置換ポリシーで、
<リソースディレクトリのID>
を共有先のリソースディレクトリのIDに置き換えます。 リソースディレクトリのIDを表示する方法については、「リソースディレクトリに関する基本情報の表示」をご参照ください。シナリオ2: 暗号化されたカスタムイメージをリソースディレクトリ内の特定のフォルダー内のすべてのメンバーと共有する場合は、デフォルトの信頼ポリシーを、フォルダーのリソースディレクトリパスが
<resource directory ID>/<Root folder ID>/.../<Current folder ID *>
形式で指定されている次のポリシーに置き換えます。{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "*@ecs.aliyuncs.com" }, "Condition": { "StringLike": { "sts:ServiceOwnerRDPath": "<ID of the resource directory>/<Root folder ID>/.../<Current folder ID*>" } } } ], "Version": "1" }
説明置換ポリシーで、
<リソースディレクトリのID> 、<ルートフォルダID> 、および <カレントフォルダID>
を実際の値に置き換えます。 フォルダーのリソースディレクトリのパスを表示する方法については、「フォルダーの基本情報の表示」をご参照ください。
ステップ2: 暗号化されたカスタムイメージを共有する
ECSコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
カスタム画像タブで、共有したいカスタム画像を見つけてクリックします。イメージを共有するで、アクション列を作成します。
では、イメージを共有するダイアログボックスで、ビジネス要件に基づいてパラメーターを設定します。
暗号化されていないカスタムイメージを他のAlibaba Cloudアカウントと共有する
共有アカウントIDフィールドにAlibaba CloudアカウントのIDを入力します。
[セキュリティの確認] パラメーターで、[アカウントとイメージを共有した後、アカウントはイメージのデータを取得できます。 データのセキュリティを確保するために、アカウントとイメージを共有することを確認します。
[確認]をクリックします。
リソースディレクトリまたはフォルダに基づいて組織内で暗号化されていないカスタムイメージを共有する
Sharee Typeパラメーターの右側にある共有組織をクリックします。
説明リソースディレクトリを有効にした管理アカウントまたはメンバーのみが、組織内のリソースを共有できます。 共有組織が表示されない場合は、リソースディレクトリを有効にする必要があります。 詳細については、「リソースディレクトリの有効化」をご参照ください。
リソース管理コンソールに移動して、共有操作を完了します。 詳細については、「リソース共有の作成」をご参照ください。
説明[リソース共有の作成] ページの [リソース] セクションで、リソースタイプを [ECSイメージ] に設定します。
暗号化されていないカスタムイメージを共有した後、イメージを見つけ、イメージに対応するアイコンの上にポインターを移動して、イメージが共有されているAlibaba Cloudアカウントを表示します。