Amazon EC2 の新機能 AMI Watermarks で承認済みAMIの利用を強制してみた

• URL: https://dev.classmethod.jp/articles/ec2-ami-watermarks-allowed-amis-governance
• 日付: 2026-06-25
• Tier: Tier 2
• 要旨: Amazon EC2 に新機能 AMI Watermarks が追加され、プライベートAMI に構造化識別子を埋め込み、コピーや派生時に自動伝播させられるようになった。アカウントID：ウォーターマーク名の形式で最大5個まで付与可能。Allowed AMIs と組み合わせることでウォーターマーク付きAMI からのみのインスタンス起動を強制でき、AMI ガバナンスを実装できる。

詳細

AMI Watermarks では WatermarkKey がアカウントID自動付与の形式で生成され、CreateImage や CopyImage で派生 AMI に確実に引き継がれる。ウォーターマーク名にコロンを含む別アカウントID風の指定をしてもエラーになり、なりすまし防止が実装されている。

Allowed AMIs と連携すると audit-mode での可視化、enabled での起動制限が可能。デフォルト許可、ウォーターマーク付きのみ許可など段階的な運用が実現でき、ワイルドカード（*、?）対応により命名規約と組み合わせた柔軟なフィルタリングができる。AMI ビルドアカウントで SCP により DetachImageWatermark を Deny に設定すれば、誤操作や内部脅威による削除も防止可能。追加料金なし。