翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
EC2 Image Builder 用のマネージドポリシーの使用
AWS 管理ポリシーは、によって作成および管理されるスタンドアロンのポリシーです。 AWS AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス権限を割り当てることができるように、多くの一般的な使用事例にアクセス許可を与えるように設計されています。
AWS 管理ポリシーでは、 AWS すべての顧客が使用できるようになっているため、特定のユースケースでは最小権限のアクセス権限が付与されない場合があることに注意してください。ユースケースに固有の カスタマーマネージドポリシーを定義して、許可をさらに減らすことをお勧めします。
AWS 管理ポリシーで定義されている権限は変更できません。 AWS 管理ポリシーで定義されている権限を更新すると AWS 、その更新はポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS AWS 管理ポリシーが更新される可能性が最も高いのは、新しい API 操作が既存のサービスで開始されたときや、新しい API AWS のサービス 操作が使用可能になったときです。
詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
AWSImageBuilderFullAccess ポリシー
この AWSImageBuilderFullAccess ポリシーは、アタッチされているロールの Image Builder リソースへのフルアクセスを許可し、ロールが Image Builder リソースを一覧表示、説明、作成、更新、削除できるようにします。また、このポリシーでは、 AWS のサービス リソースの確認やアカウントの現在のリソースの表示などに必要な対象を絞ったアクセス権限を関連ユーザーに付与します AWS Management Console。
アクセス許可の詳細
このポリシーには、以下の権限が含まれています。
-
Image Builder — ロールが Image Builder リソースを一覧表示、説明、作成、更新、削除できるように、管理者権限が付与されます。
-
Amazon EC2 — リソースの存在を確認したり、アカウントに属するリソースのリストを取得したりするために必要な Amazon EC2 Describe アクションへのアクセスが許可されます。
-
IAM — 名前に「imagebuilder」が含まれるインスタンスプロファイルの取得と使用、
iam:GetRoleAPI アクションによる Image Builder サービスにリンクされたロールの存在の確認、および Image Builder サービスにリンクされたロールの作成を行うためのアクセス権が付与されます。 -
ライセンス マネージャ — リソースのライセンス構成またはライセンスを一覧表示するためのアクセス権が付与されます。
-
Amazon S3 — アカウントに属するバケットと、名前に「imagebuilder」が含まれる Image Builder バケットを一覧表示するためのアクセスが許可されます。
-
Amazon SNS —「imagebuilder」を含むトピックの所有権を確認するための書き込み権限が Amazon SNS に付与されます。
ポリシーの例
以下はAWSImageBuilderFullAccessポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "arn:aws:sns:*:*:*imagebuilder*" }, { "Effect": "Allow", "Action": [ "license-manager:ListLicenseConfigurations", "license-manager:ListLicenseSpecificationsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" }, { "Effect": "Allow", "Action": [ "iam:GetInstanceProfile" ], "Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*" }, { "Effect": "Allow", "Action": [ "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:instance-profile/*imagebuilder*", "arn:aws:iam::*:role/*imagebuilder*" ], "Condition": { "StringEquals": { "iam:PassedToService": "ec2.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3::*:*imagebuilder*" }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder", "Condition": { "StringLike": { "iam:AWSServiceName": "imagebuilder.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeSnapshots", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeVolumes", "ec2:DescribeSubnets", "ec2:DescribeKeyPairs", "ec2:DescribeSecurityGroups", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeLaunchTemplates" ], "Resource": "*" } ] }
AWSImageBuilderReadOnlyAccess ポリシー
この AWSImageBuilderReadOnlyAccess ポリシーは、Image Builder のすべてのリソースへの読み取り専用アクセスを提供します。iam:GetRole API アクションにより、Image Builder サービスにリンクされたロールが存在することを確認する権限が付与されます。
アクセス許可の詳細
このポリシーには、以下の権限が含まれています。
-
Image Builder — Image Builder リソースへの読み取り専用アクセスに対してアクセスが許可されます。
-
IAM —
iam:GetRoleAPI アクションにより、Image Builder サービスにリンクされたロールの存在を確認するためのアクセス権限が付与されます。
ポリシーの例
以下はAWSImageBuilderReadOnlyAccessポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:Get*", "imagebuilder:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" } ] }
AWSServiceRoleForImageBuilder ポリシー
AWSServiceRoleForImageBuilderこのポリシーでは、Image Builder AWS のサービス がユーザーに代わって呼び出しを行うことを許可しています。
アクセス許可の詳細
Image Builder サービスにリンクされたロールは、ロールが Systems Manager で作成されたときに、そのロールにアタッチされます。付与される特定の権限を確認するには、このセクションの「ポリシーの例」を参照してください。Image Builderサービス連携ロールの詳細については、EC2 Image Builder サービスにリンクされたロールを使用するを参照してください。
ポリシーには以下のアクセス権限が含まれています。
-
CloudWatch ログ — CloudWatch 名前がで始まるすべてのロググループにログを作成してアップロードするためのアクセス権が付与されます
/aws/imagebuilder/。 -
Amazon EC2 — 作成または使用中のイメージ、インスタンス、および
CreatedBy: EC2 Image BuilderあるいはCreatedBy: EC2 Fast Launchのタグが付いているボリュームに限り、関連するスナップショット、ボリューム、ネットワークインターフェイス、サブネット、セキュリティグループ、ライセンス設定、およびキーペアを必要に応じて使用して、Image Builder がお客様のアカウントでイメージを作成し、EC2 インスタンスを起動するためのアクセス権が付与されます。Image Builder は、Amazon EC2 イメージ、インスタンス属性、インスタンスステータス、アカウントで使用できるインスタンスタイプ、起動テンプレート、サブネット、ホスト、Amazon EC2 リソースのタグに関する情報を取得できます。
Image Builder はイメージ設定を更新して、イメージに
CreatedBy: EC2 Image Builderのタグが付けられているアカウント内の Windows インスタンスの高速起動を有効または無効にすることができます。さらに、Image Builder では、アカウントで実行されているインスタンスの起動、停止、終了、Amazon EBS スナップショットの共有、イメージの作成と更新、テンプレートの起動、既存のイメージの登録解除、タグの追加、Ec2ImageBuilderCrossAccountDistributionAccess ポリシーによってアクセス権限を付与したアカウント間でのイメージの複製を行うことができます。前述のように、これらすべてのアクションには Image Builder のタグ付けが必要です。
-
Amazon ECR — Image Builder には、コンテナイメージの脆弱性スキャンに必要なリポジトリを作成し、作成したリソースにタグを付けて操作の範囲を制限するためのアクセス権限が付与されます。また、Image Builder が脆弱性のスナップショットを取得した後、スキャンのために作成したコンテナイメージを削除するためのアクセス権も付与されます。
-
EventBridge— Image Builder には、 EventBridge ルールを作成および管理するためのアクセス権限が付与されます。
-
IAM — Image Builder には、アカウント内の任意のロールを Amazon EC2 と VM Import/Exportに渡すためのアクセス権限が付与されます。
-
Amazon Inspector — Image Builder には、Amazon Inspector がビルドinstanceのスキャンをいつ完了するかを決定し、それを許可するように設定されたイメージの結果を収集するためのアクセス権限が付与されます。
-
AWS KMS — Amazon EBS には Amazon EBS ボリュームを暗号化、復号化、または再暗号化するためのアクセス権限が付与されます。これは、Image Builder がイメージをビルドするときに暗号化されたボリュームが確実に機能するようにするために重要です。
-
ライセンス マネージャ — Image Builder には、
license-manager:UpdateLicenseSpecificationsForResourceを介してライセンス マネージャ の仕様を更新するためのアクセス権が付与されます。 -
Amazon SNS — アカウント内のすべての Amazon SNS トピックに書き込み権限が付与されます。
-
Systems Manager — Image Builder には、Systems Manager コマンドとその呼び出しおよびインベントリエントリの一覧表示、インスタンス情報とオートメーションの実行ステータスの説明、およびコマンド呼び出しを取得するアクセス権限が付与されます。Image Builder は自動化シグナルを送信し、アカウント内の任意のリソースの自動化実行を停止することもできます。
Image Builder は、以下のスクリプトファイルに対して
"CreatedBy": "EC2 Image Builder"のタグが付けられたインスタンスに対して実行コマンドを発行することができます:AWS-RunPowerShellScript、AWS-RunShellScript、またはAWSEC2-RunSysprep。Image Builder では、名前がImageBuilderで始まる自動化ドキュメントの Systems Manager 自動化実行をアカウント内で開始できます。Image Builder では、関連付けドキュメントが
AWS-GatherSoftwareInventoryである限り、アカウント内の任意のインスタンスの State Manager 関連付けを作成または削除したり、アカウントに Systems Manager サービスにリンクされたロールを作成したりすることもできます。 -
AWS STS — Image Builder には、ロールの信頼ポリシーで許可されている任意のアカウントに、アカウントから指定された EC2ImageBuilderDistributionCrossAccountRole ロールを引き継ぐためのアクセス権限が付与されます。これは、クロスアカウントImage BuilのImage Builder
ポリシーの例
以下は AWSServiceRoleForImageBuilder ポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:launch-template/*", "arn:aws:license-manager:*:*:license-configuration:*" ] }, { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*:*:volume/*", "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringEquals": { "aws:RequestTag/CreatedBy": [ "EC2 Image Builder", "EC2 Fast Launch" ] } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn", "vmie.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:StopInstances", "ec2:StartInstances", "ec2:TerminateInstances" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ec2:CopyImage", "ec2:CreateImage", "ec2:CreateLaunchTemplate", "ec2:DeregisterImage", "ec2:DescribeImages", "ec2:DescribeInstanceAttribute", "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeInstanceTypes", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:ModifyImageAttribute", "ec2:DescribeImportImageTasks", "ec2:DescribeExportImageTasks", "ec2:DescribeSnapshots", "ec2:DescribeHosts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "RunInstances", "CreateImage" ], "aws:RequestTag/CreatedBy": [ "EC2 Image Builder", "EC2 Fast Launch" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*:*:export-image-task/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:launch-template/*" ], "Condition": { "StringEquals": { "aws:RequestTag/CreatedBy": [ "EC2 Image Builder", "EC2 Fast Launch" ] } } }, { "Effect": "Allow", "Action": [ "license-manager:UpdateLicenseSpecificationsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:AddTagsToResource", "ssm:DescribeInstanceInformation", "ssm:GetAutomationExecution", "ssm:StopAutomationExecution", "ssm:ListInventoryEntries", "ssm:SendAutomationSignal", "ssm:DescribeInstanceAssociationsStatus", "ssm:DescribeAssociationExecutions", "ssm:GetCommandInvocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ssm:*:*:document/AWS-RunPowerShellScript", "arn:aws:ssm:*:*:document/AWS-RunShellScript", "arn:aws:ssm:*:*:document/AWSEC2-RunSysprep", "arn:aws:s3:::*" ] }, { "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringEquals": { "ssm:resourceTag/CreatedBy": [ "EC2 Image Builder" ] } } }, { "Effect": "Allow", "Action": "ssm:StartAutomationExecution", "Resource": "arn:aws:ssm:*:*:automation-definition/ImageBuilder*" }, { "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:DeleteAssociation" ], "Resource": [ "arn:aws:ssm:*:*:document/AWS-GatherSoftwareInventory", "arn:aws:ssm:*:*:association/*", "arn:aws:ec2:*:*:instance/*" ] }, { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "kms:EncryptionContextKeys": [ "aws:ebs:id" ] }, "StringLike": { "kms:ViaService": [ "ec2.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "ec2.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true }, "StringLike": { "kms:ViaService": [ "ec2.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::*:role/EC2ImageBuilderDistributionCrossAccountRole" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" }, { "Effect": "Allow", "Action": [ "ec2:CreateLaunchTemplateVersion", "ec2:DescribeLaunchTemplates", "ec2:ModifyLaunchTemplate", "ec2:DescribeLaunchTemplateVersions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:ExportImage" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ec2:ExportImage" ], "Resource": "arn:aws:ec2:*:*:export-image-task/*" }, { "Effect": "Allow", "Action": [ "ec2:CancelExportTask" ], "Resource": "arn:aws:ec2:*:*:export-image-task/*", "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "ssm.amazonaws.com", "ec2fastlaunch.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:EnableFastLaunch" ], "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*:*:launch-template/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "inspector2:ListCoverage", "inspector2:ListFindings" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ecr:CreateRepository" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ecr:TagResource" ], "Resource": "arn:aws:ecr:*:*:repository/image-builder-*", "Condition": { "StringEquals": { "aws:RequestTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ecr:BatchDeleteImage" ], "Resource": "arn:aws:ecr:*:*:repository/image-builder-*", "Condition": { "StringEquals": { "ecr:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "events:DeleteRule", "events:DescribeRule", "events:PutRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": [ "arn:aws:events:*:*:rule/ImageBuilder-*" ] } ] }
Ec2ImageBuilderCrossAccountDistributionAccess ポリシー
Ec2ImageBuilderCrossAccountDistributionAccess このポリシーは、Image Builder にターゲットリージョンのアカウントにイメージを配布する権限を付与します。さらに、Image Builder はアカウント内の任意の Amazon EC2 イメージにタグを記述、コピー、および適用できます。このポリシーでは、ec2:ModifyImageAttribute API アクションを使用して AMI の権限を変更する機能も付与されます。
アクセス許可の詳細
このポリシーには、以下の権限が含まれています。
-
Amazon EC2 — Amazon EC2 には、イメージの属性を記述、コピー、変更したり、アカウント内の任意の Amazon EC2 イメージのタグを作成したりするためのアクセス権限が付与されます。
ポリシーの例
以下はEc2ImageBuilderCrossAccountDistributionAccessポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*::image/*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" } ] }
EC2ImageBuilderLifecycleExecutionPolicy ポリシー
EC2ImageBuilderLifecycleExecutionPolicy ポリシーは、イメージライフサイクル管理タスクの自動ルールをサポートするために、Image Builder イメージリソースとその基盤となるリソース (AMI、スナップショット) の非推奨、無効化、削除などのアクションを実行する権限を Image Builder に付与します。
アクセス許可の詳細
このポリシーには、以下の権限が含まれています。
-
Amazon EC2 – Amazon EC2 には、
CreatedBy: EC2 Image Builderのタグが付けられたアカウントの Amazon マシンイメージ (AMI) に対して以下のアクションを実行するためのアクセス権限が付与されます。-
AMI を有効化および無効化する。
-
イメージ廃止を有効化および無効化する。
-
AMI の記述と登録解除をする。
-
AMI イメージ属性を記述および変更する。
-
AMI に関連付けられているボリュームスナップショットを削除する。
-
リソースのタグを取得する。
-
AMI のタグを追加または削除して廃止する。
-
-
Amazon ECR – Amazon ECR には、
LifecycleExecutionAccess: EC2 Image Builderタグ付きの ECR リポジトリに対して以下のバッチアクションを実行するためのアクセス権限が付与されます。バッチアクションは、自動コンテナイメージライフサイクルルールをサポートします。-
ecr:BatchGetImage -
ecr:BatchDeleteImage
LifecycleExecutionAccess: EC2 Image Builderのタグが付けられた ECR リポジトリには、リポジトリレベルでアクセス権限が付与されます。 -
-
AWS リソースグループ — Image Builder には、タグに基づいてリソースを取得するためのアクセス権限が付与されます。
-
EC2 Image Builder – Image Builder には、Image Builder イメージリソースを削除するためのアクセス権限が付与されます。
ポリシーの例
以下は EC2ImageBuilderLifecycleExecutionPolicy ポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Ec2ImagePermission", "Effect": "Allow", "Action": [ "ec2:EnableImage", "ec2:DeregisterImage", "ec2:EnableImageDeprecation", "ec2:DescribeImageAttribute", "ec2:DisableImage", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2DeleteSnapshotPermission", "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2TagsPermission", "Effect": "Allow", "Action": [ "ec2:DeleteTags", "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ], "Condition": { "StringEquals": { "aws:RequestTag/DeprecatedBy": "EC2 Image Builder", "aws:ResourceTag/CreatedBy": "EC2 Image Builder" }, "ForAllValues:StringEquals": { "aws:TagKeys": "DeprecatedBy" } } }, { "Sid": "ECRImagePermission", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:BatchDeleteImage" ], "Resource": "arn:aws:ecr:*:*:repository/*", "Condition": { "StringEquals": { "ecr:ResourceTag/LifecycleExecutionAccess": "EC2 Image Builder" } } }, { "Sid": "ImageBuilderEC2TagServicePermission", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "tag:GetResources", "imagebuilder:DeleteImage" ], "Resource": "*" } ] }
EC2InstanceProfileForImageBuilder ポリシー
この EC2InstanceProfileForImageBuilder ポリシーは、EC2 インスタンスが Image Builder と連携するために必要な最小限のアクセス権限を付与します。これには、Systems Manager エージェントを使用するために必要な権限は含まれていません。
アクセス許可の詳細
このポリシーには、以下の権限が含まれています。
-
CloudWatch ログ — CloudWatch 名前がで始まるすべてのロググループにログを作成してアップロードするためのアクセス権が付与されます
/aws/imagebuilder/。 -
Image Builder — すべてのImage Builder コンポーネントを取得するためのアクセス権が付与されます。
-
AWS KMS— Image Builder コンポーネントがで暗号化されている場合、そのコンポーネントを復号化するためのアクセス権が付与されます。 AWS KMS
-
Amazon S3 — 名前が
ec2imagebuilder-で始まる Amazon S3 バケットに保存されているオブジェクトを取得するためのアクセスが許可されます。
ポリシーの例
以下はEC2InstanceProfileForImageBuilderポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
EC2InstanceProfileForImageBuilderECRContainerBuilds ポリシー
この EC2InstanceProfileForImageBuilderECRContainerBuilds ポリシーは、Image Builder を使用して Docker イメージを構築し、そのイメージを Amazon ECR コンテナリポジトリに登録して保存する場合に、EC2 インスタンスに必要な最小限のアクセス権限を付与します。これには、Systems Manager エージェントを使用するために必要な権限は含まれていません。
アクセス許可の詳細
このポリシーには、以下の権限が含まれています。
-
CloudWatch ログ — CloudWatch 名前がで始まるすべてのロググループにログを作成してアップロードするためのアクセス権が付与されます。
/aws/imagebuilder/ -
Amazon ECR — Amazon ECR には、コンテナイメージを取得、登録、保存、および認証トークンの取得を行うためのアクセス権限が付与されます。
-
Image Builder — Image Builder コンポーネントまたはコンテナレシピを取得するためのアクセス権が付与されます。
-
AWS KMS— Image Builder コンポーネントまたはコンテナレシピがで暗号化されている場合、それを復号化するためのアクセス権が付与されます。 AWS KMS
-
Amazon S3 — 名前が
ec2imagebuilder-で始まる Amazon S3 バケットに保存されているオブジェクトを取得するためのアクセスが許可されます。
ポリシーの例
以下はEC2InstanceProfileForImageBuilderECRContainerBuildsポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent", "imagebuilder:GetContainerRecipe", "ecr:GetAuthorizationToken", "ecr:BatchGetImage", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:PutImage" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
Image Builder AWS 管理ポリシーの更新
このセクションでは、このサービスが変更の追跡を開始してからの Image Builder AWS の管理ポリシーの更新に関する情報を提供します。このページの変更に関する自動通知については、 ドキュメントの履歴ページの RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
EC2ImageBuilderLifecycleExecutionPolicy - 新しいポリシー |
Image Builder は、イメージライフサイクル管理の権限を含む新しい |
2023 年 11 月 17 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder は、macOS サポートを提供するため、サービスロールに次の変更を加えました。
|
2023 年 8 月 28 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder はサービスロールに以下の変更を加え、Image Builder ワークフローが AMI と ECR の両方のコンテナイメージビルドの脆弱性結果を収集できるようにしました。新しい権限は CVE 検出およびレポート機能をサポートします。
|
2023 年 3 月 30 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder は、サービスロールに次の変更を加えました。
|
2022 年 3 月 22 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder は、サービスロールに次の変更を加えました。
|
2022 年 2 月 21 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder は、サービスロールに次の変更を加えました。
|
2021 年 11 月 20 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder には、複数のインベントリ関連付けによってイメージビルドが停止する問題を修正する新しい権限が追加されました。 |
2021 年 8 月 11 日 |
|
AWSImageBuilderFullAccess – 既存ポリシーへの更新 |
Image Builder は、サービスロールに次の変更を加えました。
|
2021 年 4 月 13 日 |
|
Image Builder が変更の追跡を開始しました |
Image Builder AWS は管理ポリシーの変更の追跡を開始しました。 |
2021 年 4 月 02 日 |
