Identity and Access Management と Image Builder の統合

トピック

• 対象者

• アイデンティティを使用した認証

• Image Builder と IAM ポリシーおよびロールとの連携

• Image Builder で S3 バケットダウンロードアクセスのデータ境界を管理する

• Image Builder のアイデンティティベースのポリシー

• カスタムワークフローの IAM アクセス許可

• Image Builder 内のリソースベースのポリシー

• EC2 Image Builder の AWS マネージドポリシーを使用する

• Image Builder での IAM サービスリンクロールの使用

• Image Builder での IAM 問題のトラブルシューティング

対象者

AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。

• サービスユーザー - 機能にアクセスできない場合は、管理者に許可をリクエストします (「Image Builder での IAM 問題のトラブルシューティング」を参照)

• サービス管理者 - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「Image Builder と IAM ポリシーおよびロールとの連携」を参照)

• IAM 管理者 - アクセスを管理するポリシーを記述します (「Image Builder のアイデンティティベースのポリシー」を参照)

アイデンティティを使用した認証

でユーザーとプロセスに認証を提供する方法の詳細については AWS アカウント、IAM ユーザーガイドの「アイデンティティ」を参照してください。

カスタムワークフローの IAM アクセス許可

などの特定のステップアクションでカスタムワークフローを使用する場合RegisterImage、標準の Image Builder 管理ポリシーを超えて追加の IAM アクセス許可が必要になる場合があります。このセクションでは、カスタムワークフローステップアクションに必要な追加のアクセス許可について説明します。

RegisterImage ステップアクションのアクセス許可

RegisterImage ステップアクションには、AMIsし、オプションでスナップショットタグを取得するための特定の Amazon EC2 アクセス許可が必要です。includeSnapshotTags パラメータを使用する場合は、スナップショットを記述するための追加のアクセス許可が必要です。

RegisterImage ステップアクションに必要なアクセス許可:

すべてのリソースで、次のアクションを許可します。

• ec2:RegisterImage

• ec2:DescribeSnapshots

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:RegisterImage",
                "ec2:DescribeSnapshots"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*::image/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "RegisterImage"
                }
            }
        }
    ]
}

アクセス許可の詳細:

• ec2:RegisterImage - スナップショットから新しい AMIs を登録するために必要です

• ec2:DescribeSnapshots - includeSnapshotTags: trueを使用して AMI タグとマージするためのスナップショットタグを取得する場合に必要です

• ec2:CreateTags - Image Builder のデフォルトタグとマージされたスナップショットタグの両方を含む、登録された AMI にタグを適用するために必要です

注記

アクセスec2:DescribeSnapshots許可は、 includeSnapshotTagsパラメータが に設定されている場合にのみ使用されますtrue。この機能を使用しない場合は、このアクセス許可を省略できます。

タグマージ動作:

includeSnapshotTags を有効にすると、RegisterImage ステップアクションは次のようになります。

• ブロックデバイスマッピングで指定された最初のスナップショットからタグを取得する

• AWS 予約済みタグ (「aws:」で始まるキーを持つタグ) を除外する

• スナップショットタグを Image Builder のデフォルトの AMI 登録タグとマージする

• タグキーが競合する場合は、Image Builder タグを優先する

Image Builder 内のリソースベースのポリシー

コンポーネントの作成方法については、コンポーネントを使用した Image Builder イメージのカスタマイズを参照してください。

Image Builder コンポーネントへのアクセスを特定の IP アドレスに制限する

以下の例では、コンポーネントに対して Image Builder 操作を実行する権限を任意のユーザーに付与しています。ただし、リクエストは条件で指定された IP アドレス範囲からのリクエストである必要があります。

このステートメントの条件では、54.240.143.* の範囲のインターネットプロトコルバージョン 4 (IPv4) IP アドレスが許可されています。ただし、54.240.143.188 を除きます。

Condition ブロックは、 IpAddress NotIpAddress条件と aws:SourceIp条件キーを使用します。これは、 AWS全体の条件キーです。これらの条件キーの詳細については、「ポリシーでの条件の指定」を参照してください。aws:sourceIpIPv4 値は標準の CIDR 表記を使用します。詳細については、IAM ユーザーガイドの IP アドレス条件演算子 を参照してください。

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Id": "IBPolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Action": "imagebuilder:GetComponent",
      "Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}