翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
EC2 Image Builder の AWS マネージドポリシーを使用する
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) が更新されます。 AWS は、新しい AWS サービス が起動されたとき、または既存のサービスで新しいAPIオペレーションが使用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。
詳細については、「 ユーザーガイド」の「 AWS 管理ポリシーIAM」を参照してください。
AWSImageBuilderFullAccess ポリシー
この AWSImageBuilderFullAccess ポリシーは、アタッチされているロールの Image Builder リソースへのフルアクセスを許可し、ロールが Image Builder リソースを一覧表示、説明、作成、更新、削除できるようにします。このポリシー AWS サービス は、リソースの検証や、アカウントの現在のリソースを に表示するなど、必要な関連 にターゲットを絞ったアクセス許可も付与します AWS Management Console。
許可の詳細
このポリシーには、以下の権限が含まれています。
-
Image Builder — ロールが Image Builder リソースを一覧表示、説明、作成、更新、削除できるように、管理者権限が付与されます。
-
Amazon EC2 – リソースの存在を検証したり、アカウントに属するリソースのリストを取得したりするために必要な Amazon EC2 Describe アクションにアクセス許可が付与されます。
-
IAM – 名前に「imagebuilder」が含まれているインスタンスプロファイルを取得して使用したり、
iam:GetRoleAPIアクションを介して Image Builder サービスにリンクされたロールの存在を検証したり、Image Builder サービスにリンクされたロールを作成したりするためのアクセス許可が付与されます。 -
License Manager — リソースのライセンス構成またはライセンスを一覧表示するためのアクセス権が付与されます。
-
Amazon S3 — アカウントに属するバケットと、名前に「imagebuilder」が含まれる Image Builder バケットを一覧表示するためのアクセスが許可されます。
-
Amazon SNS – 「imagebuilder」を含むトピックの所有権を検証SNSするために、書き込みアクセス許可が Amazon に付与されます。
ポリシーの例
以下は AWSImageBuilderFullAccess ポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "arn:aws:sns:*:*:*imagebuilder*" }, { "Effect": "Allow", "Action": [ "license-manager:ListLicenseConfigurations", "license-manager:ListLicenseSpecificationsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" }, { "Effect": "Allow", "Action": [ "iam:GetInstanceProfile" ], "Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*" }, { "Effect": "Allow", "Action": [ "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:instance-profile/*imagebuilder*", "arn:aws:iam::*:role/*imagebuilder*" ], "Condition": { "StringEquals": { "iam:PassedToService": "ec2.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": "arn:aws:s3::*:*imagebuilder*" }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder", "Condition": { "StringLike": { "iam:AWSServiceName": "imagebuilder.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:DescribeSnapshots", "ec2:DescribeVpcs", "ec2:DescribeRegions", "ec2:DescribeVolumes", "ec2:DescribeSubnets", "ec2:DescribeKeyPairs", "ec2:DescribeSecurityGroups", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeLaunchTemplates" ], "Resource": "*" } ] }
AWSImageBuilderReadOnlyAccess ポリシー
この AWSImageBuilderReadOnlyAccess ポリシーは、Image Builder のすべてのリソースへの読み取り専用アクセスを提供します。Image Builder サービスにリンクされたロールが iam:GetRoleAPIアクションを介して存在することを確認するアクセス許可が付与されます。
許可の詳細
このポリシーには、以下の権限が含まれています。
-
Image Builder — Image Builder リソースへの読み取り専用アクセスに対してアクセスが許可されます。
-
IAM –
iam:GetRoleAPIアクションを介して Image Builder サービスにリンクされたロールが存在することを確認するためのアクセス許可が付与されます。
ポリシーの例
以下は AWSImageBuilderReadOnlyAccess ポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:Get*", "imagebuilder:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder" } ] }
AWSServiceRoleForImageBuilder ポリシー
このAWSServiceRoleForImageBuilderポリシーは、Image Builder AWS サービス がユーザーに代わって を呼び出すことを許可します。
許可の詳細
このポリシーは、ロールが Systems Manager で作成されたときに、Image Builder サービスリンクロールにアタッチされます。付与される特定の権限を確認するには、このセクションの「ポリシーの例」を参照してください。Image Builder サービスリンクロールの詳細については、Image Builder でIAMサービスにリンクされたロールを使用するを参照してください。
ポリシーには以下のアクセス権限が含まれています。
-
CloudWatch ログ – 名前が で始まるロググループに対して CloudWatch ログを作成してアップロードするためのアクセス許可が付与されます
/aws/imagebuilder/。 -
Amazon EC2 – Image Builder は、作成または使用されているイメージ、EC2インスタンス、およびボリュームに
CreatedBy: EC2 Image Builderまたは のタグが付けられていれば、関連するスナップショット、ボリューム、ネットワークインターフェイス、サブネット、セキュリティグループ、ライセンス設定、キーペアを使用して、アカウントでイメージを作成し、インスタンスを起動するためのアクセス許可が付与されますCreatedBy: EC2 Fast Launch。Image Builder は、Amazon EC2イメージ、インスタンス属性、インスタンスステータス、アカウントで使用できるインスタンスタイプ、起動テンプレート、サブネット、ホスト、および Amazon EC2リソースのタグに関する情報を取得できます。
Image Builder はイメージ設定を更新して、イメージに
CreatedBy: EC2 Image Builderのタグが付けられているアカウント内の Windows インスタンスの高速起動を有効または無効にすることができます。さらに、Image Builder は、アカウントで実行されているインスタンスの起動、停止、終了、Amazon EBSスナップショットの共有、イメージの作成と更新、テンプレートの起動、既存のイメージの登録解除、タグの追加、Ec2ImageBuilderCrossAccountDistributionAccessポリシー経由で にアクセス許可を付与したアカウント間でのイメージのレプリケートを行うことができます。前述のように、これらすべてのアクションには Image Builder のタグ付けが必要です。
-
Amazon ECR – Image Builder には、コンテナイメージの脆弱性スキャンに必要なリポジトリを作成し、作成したリソースにタグを付けてオペレーションの範囲を制限するためのアクセス許可が付与されます。また、Image Builder が脆弱性のスナップショットを取得した後、スキャンのために作成したコンテナイメージを削除するためのアクセス権も付与されます。
-
EventBridge – Image Builder には、 EventBridge ルールを作成および管理するためのアクセス許可が付与されます。
-
IAM – Image Builder は、アカウント内の任意のロールを Amazon EC2および VM Import/Export に渡すためのアクセス許可が付与されます。
-
Amazon Inspector — Image Builder には、Amazon Inspector がビルドインスタンスのスキャンをいつ完了するかを決定し、それを許可するように設定されたイメージの結果を収集するためのアクセス権限が付与されます。
-
AWS KMS — Amazon ボリュームを暗号化、復号、または再暗号化EBSするためのアクセスが Amazon に付与されますEBS。これは、Image Builder がイメージをビルドするときに暗号化されたボリュームが確実に機能するようにするために重要です。
-
License Manager — Image Builder には、
license-manager:UpdateLicenseSpecificationsForResourceを介して License Manager の仕様を更新するためのアクセス権が付与されます。 -
Amazon SNS – アカウント内のすべての Amazon SNSトピックに書き込みアクセス許可が付与されます。
-
Systems Manager — Image Builder には、Systems Manager コマンドとその呼び出しおよびインベントリエントリの一覧表示、インスタンス情報とオートメーションの実行ステータスの説明、およびコマンド呼び出しを取得するアクセス権限が付与されます。Image Builder は自動化シグナルを送信し、アカウント内の任意のリソースの自動化実行を停止することもできます。
Image Builder は、
AWS-RunPowerShellScript、AWS-RunShellScript、またはAWSEC2-RunSysprepのスクリプトファイルについて、"CreatedBy": "EC2 Image Builder"のタグが付けられたインスタンスに対して実行コマンドを発行することができます。Image Builder では、名前がImageBuilderで始まる自動化ドキュメントの Systems Manager 自動化実行をアカウント内で開始できます。Image Builder では、関連付けドキュメントが
AWS-GatherSoftwareInventoryである限り、アカウント内の任意のインスタンスの State Manager 関連付けを作成または削除したり、アカウントに Systems Manager サービスリンクロールを作成したりすることもできます。 -
AWS STS — Image Builder には、ロールの信頼ポリシーで許可されている任意のアカウントに、アカウントから指定された EC2ImageBuilderDistributionCrossAccountRole ロールを引き継ぐためのアクセス権限が付与されます。これは、クロスアカウントのイメージ配信に使用されます。
ポリシーの例
以下は AWSServiceRoleForImageBuilder ポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:launch-template/*", "arn:aws:license-manager:*:*:license-configuration:*" ] }, { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*:*:volume/*", "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringEquals": { "aws:RequestTag/CreatedBy": [ "EC2 Image Builder", "EC2 Fast Launch" ] } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn", "vmie.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:StopInstances", "ec2:StartInstances", "ec2:TerminateInstances" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ec2:CopyImage", "ec2:CreateImage", "ec2:CreateLaunchTemplate", "ec2:DeregisterImage", "ec2:DescribeImages", "ec2:DescribeInstanceAttribute", "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeInstanceTypes", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:ModifyImageAttribute", "ec2:DescribeImportImageTasks", "ec2:DescribeExportImageTasks", "ec2:DescribeSnapshots", "ec2:DescribeHosts" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:ModifySnapshotAttribute" ], "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "RunInstances", "CreateImage" ], "aws:RequestTag/CreatedBy": [ "EC2 Image Builder", "EC2 Fast Launch" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*:*:export-image-task/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:launch-template/*" ], "Condition": { "StringEquals": { "aws:RequestTag/CreatedBy": [ "EC2 Image Builder", "EC2 Fast Launch" ] } } }, { "Effect": "Allow", "Action": [ "license-manager:UpdateLicenseSpecificationsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:AddTagsToResource", "ssm:DescribeInstanceInformation", "ssm:GetAutomationExecution", "ssm:StopAutomationExecution", "ssm:ListInventoryEntries", "ssm:SendAutomationSignal", "ssm:DescribeInstanceAssociationsStatus", "ssm:DescribeAssociationExecutions", "ssm:GetCommandInvocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ssm:*:*:document/AWS-RunPowerShellScript", "arn:aws:ssm:*:*:document/AWS-RunShellScript", "arn:aws:ssm:*:*:document/AWSEC2-RunSysprep", "arn:aws:s3:::*" ] }, { "Effect": "Allow", "Action": [ "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringEquals": { "ssm:resourceTag/CreatedBy": [ "EC2 Image Builder" ] } } }, { "Effect": "Allow", "Action": "ssm:StartAutomationExecution", "Resource": "arn:aws:ssm:*:*:automation-definition/ImageBuilder*" }, { "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:DeleteAssociation" ], "Resource": [ "arn:aws:ssm:*:*:document/AWS-GatherSoftwareInventory", "arn:aws:ssm:*:*:association/*", "arn:aws:ec2:*:*:instance/*" ] }, { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "kms:EncryptionContextKeys": [ "aws:ebs:id" ] }, "StringLike": { "kms:ViaService": [ "ec2.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "ec2.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": true }, "StringLike": { "kms:ViaService": [ "ec2.*.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::*:role/EC2ImageBuilderDistributionCrossAccountRole" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" }, { "Effect": "Allow", "Action": [ "ec2:CreateLaunchTemplateVersion", "ec2:DescribeLaunchTemplates", "ec2:ModifyLaunchTemplate", "ec2:DescribeLaunchTemplateVersions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:ExportImage" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ec2:ExportImage" ], "Resource": "arn:aws:ec2:*:*:export-image-task/*" }, { "Effect": "Allow", "Action": [ "ec2:CancelExportTask" ], "Resource": "arn:aws:ec2:*:*:export-image-task/*", "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "ssm.amazonaws.com", "ec2fastlaunch.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:EnableFastLaunch" ], "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*:*:launch-template/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "inspector2:ListCoverage", "inspector2:ListFindings" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ecr:CreateRepository" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ecr:TagResource" ], "Resource": "arn:aws:ecr:*:*:repository/image-builder-*", "Condition": { "StringEquals": { "aws:RequestTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "ecr:BatchDeleteImage" ], "Resource": "arn:aws:ecr:*:*:repository/image-builder-*", "Condition": { "StringEquals": { "ecr:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Effect": "Allow", "Action": [ "events:DeleteRule", "events:DescribeRule", "events:PutRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": [ "arn:aws:events:*:*:rule/ImageBuilder-*" ] } ] }
Ec2ImageBuilderCrossAccountDistributionAccess ポリシー
Ec2ImageBuilderCrossAccountDistributionAccess ポリシーは、Image Builder がターゲットリージョンのアカウントにイメージを配信する権限を付与します。さらに、Image Builder はアカウントの任意の Amazon EC2イメージを記述、コピー、および適用できます。このポリシーは、 ec2:ModifyImageAttributeAPIアクションを介してAMIアクセス許可を変更する機能も付与します。
許可の詳細
このポリシーには、以下の権限が含まれています。
-
Amazon EC2 – Amazon には、イメージの属性をEC2記述、コピー、変更したり、アカウント内の Amazon EC2イメージのタグを作成したりするためのアクセス権が付与されます。
ポリシーの例
以下は Ec2ImageBuilderCrossAccountDistributionAccess ポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*::image/*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:CopyImage", "ec2:ModifyImageAttribute" ], "Resource": "*" } ] }
EC2ImageBuilderLifecycleExecutionPolicy ポリシー
このEC2ImageBuilderLifecycleExecutionPolicyポリシーは、Image Builder が Image Builder イメージリソースとその基盤となるリソース (、スナップショット) を非推奨、無効化、削除などのアクションを実行してAMIs、イメージライフサイクル管理タスクの自動ルールをサポートするアクセス許可を付与します。
許可の詳細
このポリシーには、以下の権限が含まれています。
-
Amazon EC2 – Amazon には、 でタグ付けされたアカウントで Amazon マシンイメージ (AMIs) に対して以下のアクションを実行EC2するためのアクセス許可が付与されます
CreatedBy: EC2 Image Builder。-
を有効または無効にしますAMI。
-
イメージ廃止を有効化および無効化する。
-
を記述して登録解除しますAMI。
-
AMI イメージ属性を記述および変更します。
-
に関連付けられているボリュームスナップショットを削除しますAMI。
-
リソースのタグを取得する。
-
のタグを追加または削除AMIして非推奨にします。
-
-
Amazon ECR – Amazon には、
LifecycleExecutionAccess: EC2 Image Builderタグを使用してECRリポジトリに対して次のバッチアクションを実行ECRするためのアクセス許可が付与されます。バッチアクションは、自動コンテナイメージライフサイクルルールをサポートします。-
ecr:BatchGetImage -
ecr:BatchDeleteImage
アクセスは、 でタグ付けされたリポジトリのECRリポジトリレベルで許可されます
LifecycleExecutionAccess: EC2 Image Builder。 -
-
AWS リソースグループ – Image Builder には、タグに基づいてリソースを取得するためのアクセス許可が付与されます。
-
EC2 Image Builder – Image Builder に Image Builder イメージリソースを削除するためのアクセス権が付与されます。
ポリシーの例
以下は EC2ImageBuilderLifecycleExecutionPolicy ポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Ec2ImagePermission", "Effect": "Allow", "Action": [ "ec2:EnableImage", "ec2:DeregisterImage", "ec2:EnableImageDeprecation", "ec2:DescribeImageAttribute", "ec2:DisableImage", "ec2:DisableImageDeprecation" ], "Resource": "arn:aws:ec2:*::image/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2DeleteSnapshotPermission", "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "StringEquals": { "aws:ResourceTag/CreatedBy": "EC2 Image Builder" } } }, { "Sid": "EC2TagsPermission", "Effect": "Allow", "Action": [ "ec2:DeleteTags", "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*::image/*" ], "Condition": { "StringEquals": { "aws:RequestTag/DeprecatedBy": "EC2 Image Builder", "aws:ResourceTag/CreatedBy": "EC2 Image Builder" }, "ForAllValues:StringEquals": { "aws:TagKeys": "DeprecatedBy" } } }, { "Sid": "ECRImagePermission", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:BatchDeleteImage" ], "Resource": "arn:aws:ecr:*:*:repository/*", "Condition": { "StringEquals": { "ecr:ResourceTag/LifecycleExecutionAccess": "EC2 Image Builder" } } }, { "Sid": "ImageBuilderEC2TagServicePermission", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "tag:GetResources", "imagebuilder:DeleteImage" ], "Resource": "*" } ] }
EC2InstanceProfileForImageBuilder ポリシー
このEC2InstanceProfileForImageBuilderポリシーは、EC2インスタンスが Image Builder と連携するために必要な最小限のアクセス許可を付与します。これには、Systems Manager エージェントを使用するために必要な権限は含まれていません。
許可の詳細
このポリシーには、以下の権限が含まれています。
-
CloudWatch ログ – 名前が で始まるロググループに対して CloudWatch ログを作成してアップロードするためのアクセス許可が付与されます
/aws/imagebuilder/。 -
Image Builder — すべてのImage Builder コンポーネントを取得するためのアクセス権が付与されます。
-
AWS KMS – Image Builder コンポーネントが で暗号化されている場合、そのコンポーネントを復号するためのアクセス許可が付与されます AWS KMS。
-
Amazon S3 — 名前が
ec2imagebuilder-で始まる Amazon S3 バケットに保存されているオブジェクトを取得するためのアクセスが許可されます。
ポリシーの例
以下は EC2InstanceProfileForImageBuilder ポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
EC2InstanceProfileForImageBuilderECRContainerBuilds ポリシー
このEC2InstanceProfileForImageBuilderECRContainerBuildsポリシーは、Image Builder を使用して Docker イメージを構築し、そのイメージを Amazon ECRコンテナリポジトリに登録して保存する際に、EC2インスタンスに必要な最小限のアクセス許可を付与します。これには、Systems Manager エージェントを使用するために必要な権限は含まれていません。
許可の詳細
このポリシーには、以下の権限が含まれています。
-
CloudWatch ログ – 名前が で始まるロググループに対して CloudWatch ログを作成してアップロードするためのアクセス許可が付与されます
/aws/imagebuilder/。 -
Amazon ECR – Amazon には、コンテナイメージECRを取得、登録、保存し、認証トークンを取得するためのアクセス許可が付与されます。
-
Image Builder — Image Builder コンポーネントまたはコンテナレシピを取得するためのアクセス権が付与されます。
-
AWS KMS – Image Builder コンポーネントまたはコンテナレシピが で暗号化されている場合、復号するためのアクセス許可が付与されます AWS KMS。
-
Amazon S3 — 名前が
ec2imagebuilder-で始まる Amazon S3 バケットに保存されているオブジェクトを取得するためのアクセスが許可されます。
ポリシーの例
以下は EC2InstanceProfileForImageBuilderECRContainerBuilds ポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "imagebuilder:GetComponent", "imagebuilder:GetContainerRecipe", "ecr:GetAuthorizationToken", "ecr:BatchGetImage", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:PutImage" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:imagebuilder:arn", "aws:CalledVia": [ "imagebuilder.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3:::ec2imagebuilder*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*" } ] }
Image Builder の AWS マネージドポリシーの更新
このセクションでは、このサービスがこれらの変更の追跡を開始してからの Image Builder の AWS マネージドポリシーの更新に関する情報を提供します。このページの変更に関する自動アラートを受け取るには、Image Builder ドキュメント履歴ページのRSSフィードをサブスクライブします。
| 変更 | 説明 | 日付 |
|---|---|---|
|
EC2ImageBuilderLifecycleExecutionPolicy - 新しいポリシー |
Image Builder は、イメージライフサイクル管理の権限を含む新しい |
2023 年 11 月 17 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder は、macOS サポートを提供するため、サービスロールに次の変更を加えました。
|
2023 年 8 月 28 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder は、Image Builder ワークフローが AMIとECRコンテナイメージビルドの両方の脆弱性結果を収集できるように、サービスロールに次の変更を加えました。新しいアクセス許可は、CVE検出およびレポート機能をサポートします。
|
2023 年 3 月 30 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder は、サービスロールに次の変更を加えました。
|
2022 年 3 月 22 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder は、サービスロールに次の変更を加えました。
|
2022 年 2 月 21 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder は、サービスロールに次の変更を加えました。
|
2021 年 11 月 20 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder には、複数のインベントリ関連付けによってイメージビルドが停止する問題を修正する新しい権限が追加されました。 |
2021 年 8 月 11 日 |
|
AWSImageBuilderFullAccess – 既存ポリシーへの更新 |
Image Builder は、フルアクセスロールに次の変更を加えました。
|
2021 年 4 月 13 日 |
|
Image Builder が変更の追跡を開始しました |
Image Builder が AWS マネージドポリシーの変更の追跡を開始しました。 |
2021 年 4 月 02 日 |
