翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS の マネージドポリシー AWS Batch
AWS 管理ポリシーを使用して、チームやプロビジョニングされた AWS リソースのアイデンティティアクセス管理を簡素化できます。 AWS 管理ポリシーは、さまざまな一般的なユースケースをカバーし、デフォルトで AWS アカウントで利用でき、ユーザーに代わって管理および更新されます。 AWS 管理ポリシーのアクセス許可は変更できません。柔軟性を高める必要がある場合は、IAMカスタマー管理ポリシーの作成を選択することもできます。このようにして、チームのプロビジョニングされたリソースに、必要な権限のみを付与できます。
AWS 管理ポリシーの詳細については、「 ユーザーガイド」の「 AWS 管理ポリシーIAM」を参照してください。
AWS サービスは、ユーザーに代わって AWS 管理ポリシーを維持および更新します。定期的に、 AWS サービスは AWS マネージドポリシーに追加のアクセス許可を追加します。 AWS マネージドポリシーは、新機能の起動またはオペレーションが利用可能になると更新される可能性があります。この更新は、ポリシーが添付されているすべてのアイデンティティ (ユーザー、グループ、ロール) に自動的に影響します。ただし、権限を削除したり、既存の権限を破棄することはありません。
さらに、 は、複数の サービスにまたがる職務機能の マネージドポリシー AWS をサポートします。例えば、 ReadOnlyAccess AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。職務機能ポリシーのリストと説明については、「 ユーザーガイドAWS 」の「職務機能用の 管理ポリシーIAM」を参照してください。
AWS マネージドポリシー: BatchServiceRolePolicy
BatchServiceRolePolicy 管理IAMポリシーは、AWSServiceRoleForBatchサービスにリンクされたロールによって使用されます。これにより、 AWS Batch はユーザーに代わってアクションを実行できます。このポリシーをIAMエンティティにアタッチすることはできません。詳細については、「のサービスにリンクされたロールの使用 AWS Batch」を参照してください。
このポリシーにより AWS Batch 、 は特定のリソースに対して次のアクションを実行できます。
-
autoscaling– AWS Batch が Amazon EC2 Auto Scaling resources を作成および管理できるようにします。 は、ほとんどのコンピューティング環境の Amazon EC2 Auto Scaling グループ AWS Batch を作成および管理します。 -
ec2– AWS Batch が Amazon EC2インスタンスのライフサイクルを制御し、起動テンプレートとタグを作成および管理できるようにします。 EC2 は、一部のスポットコンピューティング環境のEC2スポットフリートリクエスト AWS Batch を作成および管理します。 -
ecs- AWS Batch ジョブ実行用の Amazon ECSクラスター、タスク定義、タスクの作成と管理を許可します。 -
eks- が検証用の Amazon EKSクラスターリソースを記述 AWS Batch できるようにします。 -
iam- 所有者によって提供されたロールを検証して Amazon 、Amazon EC2 Auto ScalingEC2、および Amazon に渡すことを AWS Batch に許可しますECS。 -
logs– AWS Batch ジョブのロググループとログストリームの作成と管理を に AWS Batch 許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSBatchPolicyStatement1", "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceAttribute", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:DescribeImageAttribute", "ec2:DescribeSpotInstanceRequests", "ec2:DescribeSpotFleetInstances", "ec2:DescribeSpotFleetRequests", "ec2:DescribeSpotPriceHistory", "ec2:DescribeSpotFleetRequestHistory", "ec2:DescribeVpcClassicLink", "ec2:DescribeLaunchTemplateVersions", "ec2:RequestSpotFleet", "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "autoscaling:DescribeAutoScalingInstances", "autoscaling:DescribeScalingActivities", "eks:DescribeCluster", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeTaskDefinition", "ecs:DescribeTasks", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTaskDefinitionFamilies", "ecs:ListTaskDefinitions", "ecs:ListTasks", "ecs:DeregisterTaskDefinition", "ecs:TagResource", "ecs:ListAccountSettings", "logs:DescribeLogGroups", "iam:GetInstanceProfile", "iam:GetRole" ], "Resource": "*" }, { "Sid": "AWSBatchPolicyStatement2", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/batch/job*" }, { "Sid": "AWSBatchPolicyStatement3", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/batch/job*:log-stream:*" }, { "Sid": "AWSBatchPolicyStatement4", "Effect": "Allow", "Action": [ "autoscaling:CreateOrUpdateTags" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement5", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn", "ecs-tasks.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement6", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "spot.amazonaws.com", "spotfleet.amazonaws.com", "autoscaling.amazonaws.com", "ecs.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement7", "Effect": "Allow", "Action": [ "ec2:CreateLaunchTemplate" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement8", "Effect": "Allow", "Action": [ "ec2:TerminateInstances", "ec2:CancelSpotFleetRequests", "ec2:ModifySpotFleetRequest", "ec2:DeleteLaunchTemplate" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement9", "Effect": "Allow", "Action": [ "autoscaling:CreateLaunchConfiguration", "autoscaling:DeleteLaunchConfiguration" ], "Resource": "arn:aws:autoscaling:*:*:launchConfiguration:*:launchConfigurationName/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement10", "Effect": "Allow", "Action": [ "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:SetDesiredCapacity", "autoscaling:DeleteAutoScalingGroup", "autoscaling:SuspendProcesses", "autoscaling:PutNotificationConfiguration", "autoscaling:TerminateInstanceInAutoScalingGroup" ], "Resource": "arn:aws:autoscaling:*:*:autoScalingGroup:*:autoScalingGroupName/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement11", "Effect": "Allow", "Action": [ "ecs:DeleteCluster", "ecs:DeregisterContainerInstance", "ecs:RunTask", "ecs:StartTask", "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:cluster/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement12", "Effect": "Allow", "Action": [ "ecs:RunTask", "ecs:StartTask", "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:task-definition/*" }, { "Sid": "AWSBatchPolicyStatement13", "Effect": "Allow", "Action": [ "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:task/*/*" }, { "Sid": "AWSBatchPolicyStatement14", "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:RegisterTaskDefinition" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement15", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:volume/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:launch-template/*", "arn:aws:ec2:*:*:placement-group/*", "arn:aws:ec2:*:*:capacity-reservation/*", "arn:aws:ec2:*:*:elastic-gpu/*", "arn:aws:elastic-inference:*:*:elastic-inference-accelerator/*", "arn:aws:resource-groups:*:*:group/*" ] }, { "Sid": "AWSBatchPolicyStatement16", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement17", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ec2:CreateAction": [ "RunInstances", "CreateLaunchTemplate", "RequestSpotFleet" ] } } } ] }
AWS 管理ポリシー: AWSBatchServiceRoleポリシー
という名前のロールアクセス許可ポリシーAWSBatchServiceRoleは AWS Batch 、 が特定のリソースに対して次のアクションを実行できるようにします。
AWSBatchServiceRole 管理IAMポリシーは、 という名前のロールによってよく使用されAWSBatchServiceRole、次のアクセス許可が含まれます。最小特権を付与するという標準的なセキュリティアドバイスに従って、 AWSBatchServiceRoleマネージドポリシーをガイドとして使用できます。管理ポリシーで付与されているアクセス許可のいずれかがユースケースに必要でない場合、カスタムポリシーを作成し、必要なアクセス許可のみを追加します。この AWS Batch マネージドポリシーとロールは、ほとんどのコンピューティング環境タイプで使用できますが、サービスにリンクされたロールの使用は less-error-prone、より範囲が広く、管理エクスペリエンスが向上した に推奨されます。
-
autoscaling– AWS Batch が Amazon EC2 Auto Scaling resources を作成および管理できるようにします。 は、ほとんどのコンピューティング環境の Amazon EC2 Auto Scaling グループ AWS Batch を作成および管理します。 -
ec2– AWS Batch が Amazon EC2インスタンスのライフサイクルを管理したり、起動テンプレートとタグを作成および管理したりできます。 EC2 は、一部のスポットコンピューティング環境のEC2スポットフリートリクエスト AWS Batch を作成および管理します。 -
ecs- AWS Batch ジョブ実行用の Amazon ECSクラスター、タスク定義、タスクの作成と管理を許可します。 -
iam- 所有者によって提供されたロールを検証して Amazon 、Amazon EC2 Auto ScalingEC2、および Amazon に渡すことを AWS Batch に許可しますECS。 -
logs— AWS Batch ジョブのロググループとログストリームの作成と管理を に AWS Batch 許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSBatchPolicyStatement1", "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceAttribute", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:DescribeImageAttribute", "ec2:DescribeSpotInstanceRequests", "ec2:DescribeSpotFleetInstances", "ec2:DescribeSpotFleetRequests", "ec2:DescribeSpotPriceHistory", "ec2:DescribeSpotFleetRequestHistory", "ec2:DescribeVpcClassicLink", "ec2:DescribeLaunchTemplateVersions", "ec2:CreateLaunchTemplate", "ec2:DeleteLaunchTemplate", "ec2:RequestSpotFleet", "ec2:CancelSpotFleetRequests", "ec2:ModifySpotFleetRequest", "ec2:TerminateInstances", "ec2:RunInstances", "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "autoscaling:DescribeAutoScalingInstances", "autoscaling:DescribeScalingActivities", "autoscaling:CreateLaunchConfiguration", "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:SetDesiredCapacity", "autoscaling:DeleteLaunchConfiguration", "autoscaling:DeleteAutoScalingGroup", "autoscaling:CreateOrUpdateTags", "autoscaling:SuspendProcesses", "autoscaling:PutNotificationConfiguration", "autoscaling:TerminateInstanceInAutoScalingGroup", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeTaskDefinition", "ecs:DescribeTasks", "ecs:ListAccountSettings", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTaskDefinitionFamilies", "ecs:ListTaskDefinitions", "ecs:ListTasks", "ecs:CreateCluster", "ecs:DeleteCluster", "ecs:RegisterTaskDefinition", "ecs:DeregisterTaskDefinition", "ecs:RunTask", "ecs:StartTask", "ecs:StopTask", "ecs:UpdateContainerAgent", "ecs:DeregisterContainerInstance", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "iam:GetInstanceProfile", "iam:GetRole" ], "Resource": "*" }, { "Sid": "AWSBatchPolicyStatement2", "Effect": "Allow", "Action": "ecs:TagResource", "Resource": [ "arn:aws:ecs:*:*:task/*_Batch_*" ] }, { "Sid": "AWSBatchPolicyStatement3", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn", "ecs-tasks.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement4", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "spot.amazonaws.com", "spotfleet.amazonaws.com", "autoscaling.amazonaws.com", "ecs.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement5", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "RunInstances" } } } ] }
AWS マネージドポリシー: AWSBatchFullAccess
このAWSBatchFullAccessポリシーは、 AWS Batch リソースへのフルアクセスを AWS Batch アクションに付与します。また、Amazon 、Amazon 、Amazon EC2、および IAMサービスのアクションアクセスを記述ECSEKS CloudWatchおよび一覧表示します。これは、ユーザーまたはロールの ID IAM が、ユーザーに代わって作成された AWS Batch マネージドリソースを表示できるようにするためです。最後に、このポリシーでは、選択したIAMロールをそれらのサービスに渡すことも許可します。
IAM エンティティAWSBatchFullAccessに をアタッチできます。 は、ユーザーに代わって がアクションを実行できるようにするサービスロール AWS Batch にもこのポリシー AWS Batch をアタッチします。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "batch:*", "cloudwatch:GetMetricStatistics", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeVpcs", "ec2:DescribeImages", "ec2:DescribeLaunchTemplates", "ec2:DescribeLaunchTemplateVersions", "ecs:DescribeClusters", "ecs:Describe*", "ecs:List*", "eks:DescribeCluster", "eks:ListClusters", "logs:Describe*", "logs:Get*", "logs:TestMetricFilter", "logs:FilterLogEvents", "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":[ "arn:aws:iam::*:role/AWSBatchServiceRole", "arn:aws:iam::*:role/service-role/AWSBatchServiceRole", "arn:aws:iam::*:role/ecsInstanceRole", "arn:aws:iam::*:instance-profile/ecsInstanceRole", "arn:aws:iam::*:role/iaws-ec2-spot-fleet-role", "arn:aws:iam::*:role/aws-ec2-spot-fleet-role", "arn:aws:iam::*:role/AWSBatchJobRole*" ] }, { "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"arn:aws:iam::*:role/*Batch*", "Condition": { "StringEquals": { "iam:AWSServiceName": "batch.amazonaws.com" } } } ] }
AWS BatchAWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始した AWS Batch 以降の の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートを受け取るには、 AWS Batch ドキュメント履歴ページのRSSフィードにサブスクライブします。
| 変更 | 説明 | 日付 |
|---|---|---|
|
BatchServiceRolePolicy ポリシーが更新されました |
スポットフリートのリクエスト履歴と Amazon EC2 Auto Scaling アクティビティを記述するためのサポートを追加するために更新されました。 |
2023 年 12 月 5 日 |
|
AWSBatchServiceRole ポリシーが追加されました |
ステートメント を追加しIDs、 |
2023 年 12 月 5 日 |
|
BatchServiceRolePolicy ポリシーが更新されました |
Amazon EKSクラスターの説明のサポートを追加するために更新されました。 |
2022 年 10 月 20 日 |
|
AWSBatchFullAccess ポリシーが更新されました |
Amazon EKSクラスターの一覧表示と記述のサポートを追加するために更新されました。 |
2022 年 10 月 20 日 |
|
BatchServiceRolePolicy ポリシーが更新されました |
によって管理される Amazon EC2キャパシティーの予約 グループのサポートを追加するために更新されました AWS Resource Groups。詳細については、「Amazon EC2 ユーザーガイド」の「キャパシティ予約グループの使用」を参照してください。 |
2022 年 5 月 18 日 |
|
BatchServiceRolePolicy および AWSBatchServiceRoleポリシーが更新されました |
異常なインスタンスが置き換えられるように、Amazon の AWS Batch マネージドインスタンスのステータスを記述するサポートを追加EC2しました。 |
2021 年 12 月 6 日 |
|
BatchServiceRolePolicy ポリシーが更新されました |
Amazon のプレイスメントグループ、キャパシティ予約、Elastic 、GPUElastic Inference リソースのサポートを追加するために更新されましたEC2。 |
2021 年 3 月 26 日 |
|
BatchServiceRolePolicy ポリシーが追加されました |
AWSServiceRoleForBatch サービスにリンクされたロールの BatchServiceRolePolicyマネージドポリシーを使用すると、 によって管理されるサービスにリンクされたロールを使用できます AWS Batch。このポリシーを使用すると、コンピュート環境で使用するために独自のロールを維持する必要がありません。 |
2021 年 3 月 10 日 |
|
AWSBatchFullAccess - サービスにリンクされたロールを追加するアクセス許可を追加する |
AWSServiceRoleForBatch サービスにリンクされたロールをアカウントに追加できるようにするIAMアクセス許可を追加します。 |
2021 年 3 月 10 日 |
|
AWS Batch が変更の追跡を開始しました |
AWS Batch が AWS マネージドポリシーの変更の追跡を開始しました。 |
2021 年 3 月 10 日 |
