Amazon EC2 Image Builder のアクション、リソース、および条件キー - サービス認可リファレンス

Amazon EC2 Image Builder のアクション、リソース、および条件キー

Amazon EC2 Image Builder(サービスプレフィックス: imagebuilder)では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソース、アクション、条件コンテキストキーが用意されています。

参照:

Amazon EC2 Image Builder で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
CancelImageCreation イメージの作成をキャンセルする許可を付与 書き込み

image*

CancelLifecycleExecution ライフサイクル実行をキャンセルするためのアクセス許可を付与 書き込み

lifecycleExecution*

CreateComponent 新しいコンポーネントを作成する許可を付与 書き込み

component*

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

CreateContainerRecipe 新しいコンテナ recipe を作成する許可を付与 書き込み

containerRecipe*

aws:RequestTag/${TagKey}

aws:TagKeys

ecr:DescribeImages

ecr:DescribeRepositories

iam:CreateServiceLinkedRole

imagebuilder:GetComponent

imagebuilder:GetImage

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

CreateDistributionConfiguration 新しいディストリビューション設定を作成する許可を付与 書き込み

distributionConfiguration*

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

imagebuilder:TagResource

CreateImage 新しいイメージを作成する許可を付与 書き込み

image*

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

iam:PassRole

imagebuilder:GetContainerRecipe

imagebuilder:GetDistributionConfiguration

imagebuilder:GetImageRecipe

imagebuilder:GetInfrastructureConfiguration

imagebuilder:GetWorkflow

imagebuilder:TagResource

CreateImagePipeline 新しいイメージパイプラインを作成する許可を付与 書き込み

imagePipeline*

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

iam:PassRole

imagebuilder:GetContainerRecipe

imagebuilder:GetDistributionConfiguration

imagebuilder:GetImageRecipe

imagebuilder:GetInfrastructureConfiguration

imagebuilder:GetWorkflow

imagebuilder:TagResource

CreateImageRecipe 新しいイメージ recipe を作成する許可を付与 書き込み

imageRecipe*

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:DescribeImages

iam:CreateServiceLinkedRole

imagebuilder:GetComponent

imagebuilder:GetImage

imagebuilder:TagResource

CreateInfrastructureConfiguration 新しいインフラストラクチャ設定を作成する許可を付与 書き込み

infrastructureConfiguration*

aws:RequestTag/${TagKey}

aws:TagKeys

imagebuilder:CreatedResourceTagKeys

imagebuilder:CreatedResourceTag/<key>

imagebuilder:Ec2MetadataHttpTokens

imagebuilder:StatusTopicArn

iam:CreateServiceLinkedRole

iam:PassRole

imagebuilder:TagResource

sns:Publish

CreateLifecyclePolicy 新しいライフサイクルポリシーを作成するためのアクセス許可を付与 書き込み

lifecyclePolicy*

aws:RequestTag/${TagKey}

aws:TagKeys

imagebuilder:LifecyclePolicyResourceType

iam:PassRole

imagebuilder:TagResource

CreateWorkflow 新しいワークフローを作成する許可を付与 書き込み

workflow*

aws:RequestTag/${TagKey}

aws:TagKeys

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

s3:GetObject

s3:ListBucket

DeleteComponent コンポーネントを削除する許可を付与 書き込み

component*

DeleteContainerRecipe コンテナ recipe を削除する権限を付与します。 書き込み

containerRecipe*

DeleteDistributionConfiguration ディストリビューション設定を削除する許可を付与 書き込み

distributionConfiguration*

DeleteImage イメージを削除する許可を付与 書き込み

image*

DeleteImagePipeline イメージパイプラインを削除する許可を付与 書き込み

imagePipeline*

DeleteImageRecipe イメージ recipe を削除する許可を付与。 書き込み

imageRecipe*

DeleteInfrastructureConfiguration インフラストラクチャ設定を削除する許可を付与 書き込み

infrastructureConfiguration*

DeleteLifecyclePolicy ライフサイクルポリシーを削除するアクセス許可を付与 書き込み

lifecyclePolicy*

DeleteWorkflow ワークフローを削除するアクセス許可を与えます。 書き込み

workflow*

GetComponent コンポーネントの詳細を表示する許可を付与 読み込み

component*

kms:Decrypt

GetComponentPolicy コンポーネントに関連付けられているリソースポリシーを表示する許可を付与 読み込み

component*

GetContainerRecipe コンテナ recipe の詳細を表示する許可を付与 読み込み

containerRecipe*

GetContainerRecipePolicy コンテナ recipe に関連付けられているリソースポリシーを表示する許可を付与 読み込み

containerRecipe*

GetDistributionConfiguration ディストリビューション設定の詳細を表示する許可を付与 読み込み

distributionConfiguration*

GetImage イメージの詳細を表示する許可を付与 読み込み

image*

aws:ResourceTag/${TagKey}

GetImagePipeline イメージパイプラインの詳細を表示する許可を付与 読み込み

imagePipeline*

GetImagePolicy イメージに関連付けられているリソースポリシーを表示する許可を付与 読み込み

image*

GetImageRecipe イメージ recipe の詳細を表示する許可を付与 読み込み

imageRecipe*

GetImageRecipePolicy イメージ recipe に関連付けられているリソースポリシーを表示する許可を付与 読み込み

imageRecipe*

GetInfrastructureConfiguration インフラストラクチャ設定の詳細を表示する許可を付与 読み取り

infrastructureConfiguration*

GetLifecycleExecution ライフサイクル実行に関する詳細を表示するためのアクセス許可を付与 読み取り

lifecycleExecution*

GetLifecyclePolicy ライフサイクルポリシーに関する詳細を表示するためのアクセス許可を付与 読み取り

lifecyclePolicy*

GetWorkflow ワークフローの詳細を表示するアクセス許可を付与 読み取り

workflow*

kms:Decrypt

GetWorkflowExecution ワークフロー実行の詳細を表示するアクセス許可を付与 読み取り

workflowExecution*

GetWorkflowStepExecution ワークフローステップ実行の詳細を表示するアクセス許可を付与 読み取り

workflowStepExecution*

ImportComponent 新しいコンポーネントをインポートする許可を付与 書き込み

component*

aws:RequestTag/${TagKey}

aws:TagKeys

iam:CreateServiceLinkedRole

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

ImportVmImage 画像をインポートする許可を付与します 書き込み

imageVersion*

aws:RequestTag/${TagKey}

aws:TagKeys

ec2:DescribeImages

ec2:DescribeImportImageTasks

iam:CreateServiceLinkedRole

ListComponentBuildVersions アカウントのコンポーネントビルドバージョンを一覧表示する許可を付与 リスト

componentVersion*

ListComponents アカウントが所有する、またはアカウントと共有するコンポーネントバージョンを一覧表示する許可を付与 リスト
ListContainerRecipes アカウントが所有するかアカウントと共有するコンテナ recipe を一覧表示する許可を付与 リスト
ListDistributionConfigurations アカウントのディストリビューション設定を一覧表示する許可を付与 リスト
ListImageBuildVersions アカウントのイメージビルドバージョンを一覧表示する許可を付与 リスト

imageVersion*

ListImagePackages 指定したイメージにインストールされているパッケージのリストを返すアクセス許可を付与 リスト

image*

aws:ResourceTag/${TagKey}

ListImagePipelineImages 指定したパイプラインによって作成されたイメージのリストを返すアクセス許可を付与 リスト

imagePipeline*

ListImagePipelines アカウントのイメージパイプラインを一覧表示する許可を付与 リスト
ListImageRecipes アカウントが所有する、またはアカウントと共有するイメージ recipe を一覧表示する許可を付与 リスト
ListImageScanFindingAggregations アカウントのイメージスキャンによる結果の集計を一覧表示するアクセス許可を付与 リスト

image

imagePipeline

ListImageScanFindings アカウント内のイメージに対するイメージスキャンの結果を一覧表示するアクセス許可を付与 リスト

image

inspector2:ListFindings

imagePipeline

ListImages アカウントが所有する、またはアカウントと共有するイメージバージョンを一覧表示する許可を付与 リスト
ListInfrastructureConfigurations アカウントのインフラストラクチャ設定を一覧表示する許可を付与 リスト
ListLifecycleExecutionResources 指定されたライフサイクル実行用のリソースを一覧表示するためのアクセス許可を付与 リスト

lifecycleExecution*

ListLifecycleExecutions 指定されたリソースのライフサイクル実行を一覧表示するためのアクセス許可を付与 リスト

image

lifecyclePolicy

ListLifecyclePolicies アカウントのライフサイクルポリシーを一覧表示するためのアクセス許可を付与 リスト
ListTagsForResource Image Builder リソースのタグを一覧表示する許可を付与 読み取り

component

aws:ResourceTag/${TagKey}

containerRecipe

aws:ResourceTag/${TagKey}

distributionConfiguration

aws:ResourceTag/${TagKey}

image

aws:ResourceTag/${TagKey}

imagePipeline

aws:ResourceTag/${TagKey}

imageRecipe

aws:ResourceTag/${TagKey}

infrastructureConfiguration

aws:ResourceTag/${TagKey}

lifecyclePolicy

aws:ResourceTag/${TagKey}

workflow

aws:ResourceTag/${TagKey}

ListWaitingWorkflowSteps 発信者アカウントに待機中のワークフローステップを一覧表示する許可を付与 リスト
ListWorkflowBuildVersions アカウントのワークフロービルドバージョンを一覧表示する許可を付与 リスト

workflowVersion*

ListWorkflowExecutions 指定したイメージでのワークフロー実行を一覧表示する許可を付与 リスト

image*

ListWorkflowStepExecutions 指定したワークフローのワークフローステップ実行を一覧表示するアクセス許可を付与 リスト

workflowExecution*

ListWorkflows アカウントが所有する、またはアカウントと共有するワークフローバージョンを一覧表示する許可を付与 リスト
PutComponentPolicy コンポーネントに関連付けられているリソースポリシーを設定する許可を付与 Permissions management

component*

PutContainerRecipePolicy コンテナ recipe に関連付けられているリソースポリシーを設定する許可を付与 Permissions management

containerRecipe*

PutImagePolicy イメージに関連付けられたリソースポリシーを設定する許可を付与 Permissions management

image*

PutImageRecipePolicy イメージ recipe に関連付けられているリソースポリシーを設定する許可を付与 権限の管理

imageRecipe*

SendWorkflowStepAction ワークフローステップにアクションを送信するための許可を付与 書き込み

image*

workflowStepExecution*

StartImagePipelineExecution パイプラインから新しいイメージを作成する許可を付与 書き込み

imagePipeline*

iam:CreateServiceLinkedRole

imagebuilder:GetImagePipeline

StartResourceStateUpdate 指定されたリソースの状態の更新を開始するためのアクセス許可を付与 書き込み

image*

TagResource Image Builder リソースにタグを付けるアクセス許可を付与します タグ付け

component

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

containerRecipe

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

distributionConfiguration

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

image

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

imagePipeline

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

imageRecipe

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

infrastructureConfiguration

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

lifecyclePolicy

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

workflow

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource Image Builder リソースのタグを解除する許可を付与 タグ付け

component

aws:ResourceTag/${TagKey}

aws:TagKeys

containerRecipe

aws:ResourceTag/${TagKey}

aws:TagKeys

distributionConfiguration

aws:ResourceTag/${TagKey}

aws:TagKeys

image

aws:ResourceTag/${TagKey}

aws:TagKeys

imagePipeline

aws:ResourceTag/${TagKey}

aws:TagKeys

imageRecipe

aws:ResourceTag/${TagKey}

aws:TagKeys

infrastructureConfiguration

aws:ResourceTag/${TagKey}

aws:TagKeys

lifecyclePolicy

aws:ResourceTag/${TagKey}

aws:TagKeys

workflow

aws:ResourceTag/${TagKey}

aws:TagKeys

UpdateDistributionConfiguration 既存のディストリビューション設定を更新する許可を付与 書き込み

distributionConfiguration*

UpdateImagePipeline 既存のイメージパイプラインを更新する許可を付与 書き込み

imagePipeline*

iam:CreateServiceLinkedRole

iam:PassRole

imagebuilder:GetContainerRecipe

imagebuilder:GetDistributionConfiguration

imagebuilder:GetImageRecipe

imagebuilder:GetInfrastructureConfiguration

imagebuilder:GetWorkflow

UpdateInfrastructureConfiguration 既存のインフラストラクチャ設定を更新する許可を付与 書き込み

infrastructureConfiguration*

aws:ResourceTag/${TagKey}

imagebuilder:CreatedResourceTagKeys

imagebuilder:CreatedResourceTag/<key>

imagebuilder:Ec2MetadataHttpTokens

imagebuilder:StatusTopicArn

iam:PassRole

sns:Publish

UpdateLifecyclePolicy 既存のライフサイクルポリシーを更新するためのアクセス許可を付与 書き込み

lifecyclePolicy*

imagebuilder:LifecyclePolicyResourceType

iam:PassRole

Amazon EC2 Image Builder で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
component arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}/${ComponentBuildVersion}

aws:ResourceTag/${TagKey}

componentVersion arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}

aws:ResourceTag/${TagKey}

distributionConfiguration arn:${Partition}:imagebuilder:${Region}:${Account}:distribution-configuration/${DistributionConfigurationName}

aws:ResourceTag/${TagKey}

image arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}/${ImageBuildVersion}

aws:ResourceTag/${TagKey}

imageVersion arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}

aws:ResourceTag/${TagKey}

imageRecipe arn:${Partition}:imagebuilder:${Region}:${Account}:image-recipe/${ImageRecipeName}/${ImageRecipeVersion}

aws:ResourceTag/${TagKey}

containerRecipe arn:${Partition}:imagebuilder:${Region}:${Account}:container-recipe/${ContainerRecipeName}/${ContainerRecipeVersion}

aws:ResourceTag/${TagKey}

imagePipeline arn:${Partition}:imagebuilder:${Region}:${Account}:image-pipeline/${ImagePipelineName}

aws:ResourceTag/${TagKey}

infrastructureConfiguration arn:${Partition}:imagebuilder:${Region}:${Account}:infrastructure-configuration/${ResourceId}

aws:ResourceTag/${TagKey}

kmsKey arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}
lifecycleExecution arn:${Partition}:imagebuilder:${Region}:${Account}:lifecycle-execution/${LifecycleExecutionId}
lifecyclePolicy arn:${Partition}:imagebuilder:${Region}:${Account}:lifecycle-policy/${LifecyclePolicyName}

aws:ResourceTag/${TagKey}

workflow arn:${Partition}:imagebuilder:${Region}:${Account}:workflow/${WorkflowType}/${WorkflowName}/${WorkflowVersion}/${WorkflowBuildVersion}

aws:ResourceTag/${TagKey}

workflowVersion arn:${Partition}:imagebuilder:${Region}:${Account}:workflow/${WorkflowType}/${WorkflowName}/${WorkflowVersion}

aws:ResourceTag/${TagKey}

workflowExecution arn:${Partition}:imagebuilder:${Region}:${Account}:workflow-execution/${WorkflowExecutionId}
workflowStepExecution arn:${Partition}:imagebuilder:${Region}:${Account}:workflow-step-execution/${WorkflowStepExecutionId}

Amazon EC2 Image Builder の条件キー

Amazon EC2 Image Builder では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアが存在するかどうかでアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーおよび値のペアでアクセスをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします ArrayOfString
imagebuilder:CreatedResourceTag/<key> Image Builder によって作成されたリソースにアタッチされたタグキーと値のペアによってアクセスをフィルタリングします 文字列
imagebuilder:CreatedResourceTagKeys リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします ArrayOfString
imagebuilder:Ec2MetadataHttpTokens リクエストで指定された EC2 インスタンスメタデータの HTTP トークンの要件により、アクセスをフィルタリングします 文字列
imagebuilder:LifecyclePolicyResourceType リクエストで指定されたライフサイクルポリシーのリソースタイプでアクセスをフィルタリングします 文字列
imagebuilder:StatusTopicArn ターミナル状態通知が発行されるリクエスト内の SNS トピック Arn により、アクセスをフィルタリングします ARN