Amazon EC2 Image Builder のアクション、リソース、および条件キー
Amazon EC2 Image Builder(サービスプレフィックス: imagebuilder
)では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソース、アクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
トピック
Amazon EC2 Image Builder で定義されるアクション
IAM ポリシーステートメントの Action
エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource
要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource
要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition
要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
---|---|---|---|---|---|
CancelImageCreation | イメージの作成をキャンセルする許可を付与 | 書き込み | |||
CancelLifecycleExecution | ライフサイクル実行をキャンセルするためのアクセス許可を付与 | 書き込み | |||
CreateComponent | 新しいコンポーネントを作成する許可を付与 | 書き込み |
iam:CreateServiceLinkedRole imagebuilder:TagResource kms:Encrypt kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext |
||
CreateContainerRecipe | 新しいコンテナ recipe を作成する許可を付与 | 書き込み |
ecr:DescribeImages ecr:DescribeRepositories iam:CreateServiceLinkedRole imagebuilder:GetComponent imagebuilder:GetImage imagebuilder:TagResource kms:Encrypt kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext |
||
CreateDistributionConfiguration | 新しいディストリビューション設定を作成する許可を付与 | 書き込み |
iam:CreateServiceLinkedRole imagebuilder:TagResource |
||
CreateImage | 新しいイメージを作成する許可を付与 | 書き込み |
iam:CreateServiceLinkedRole iam:PassRole imagebuilder:GetContainerRecipe imagebuilder:GetDistributionConfiguration imagebuilder:GetImageRecipe imagebuilder:GetInfrastructureConfiguration imagebuilder:GetWorkflow imagebuilder:TagResource |
||
CreateImagePipeline | 新しいイメージパイプラインを作成する許可を付与 | 書き込み |
iam:CreateServiceLinkedRole iam:PassRole imagebuilder:GetContainerRecipe imagebuilder:GetDistributionConfiguration imagebuilder:GetImageRecipe imagebuilder:GetInfrastructureConfiguration imagebuilder:GetWorkflow imagebuilder:TagResource |
||
CreateImageRecipe | 新しいイメージ recipe を作成する許可を付与 | 書き込み |
ec2:DescribeImages iam:CreateServiceLinkedRole imagebuilder:GetComponent imagebuilder:GetImage imagebuilder:TagResource |
||
CreateInfrastructureConfiguration | 新しいインフラストラクチャ設定を作成する許可を付与 | 書き込み |
imagebuilder:CreatedResourceTagKeys imagebuilder:CreatedResourceTag/<key> |
iam:CreateServiceLinkedRole iam:PassRole imagebuilder:TagResource sns:Publish |
|
CreateLifecyclePolicy | 新しいライフサイクルポリシーを作成するためのアクセス許可を付与 | 書き込み |
iam:PassRole imagebuilder:TagResource |
||
CreateWorkflow | 新しいワークフローを作成する許可を付与 | 書き込み |
imagebuilder:TagResource kms:Encrypt kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext s3:GetObject s3:ListBucket |
||
DeleteComponent | コンポーネントを削除する許可を付与 | 書き込み | |||
DeleteContainerRecipe | コンテナ recipe を削除する権限を付与します。 | 書き込み | |||
DeleteDistributionConfiguration | ディストリビューション設定を削除する許可を付与 | 書き込み | |||
DeleteImage | イメージを削除する許可を付与 | 書き込み | |||
DeleteImagePipeline | イメージパイプラインを削除する許可を付与 | 書き込み | |||
DeleteImageRecipe | イメージ recipe を削除する許可を付与。 | 書き込み | |||
DeleteInfrastructureConfiguration | インフラストラクチャ設定を削除する許可を付与 | 書き込み | |||
DeleteLifecyclePolicy | ライフサイクルポリシーを削除するアクセス許可を付与 | 書き込み | |||
DeleteWorkflow | ワークフローを削除するアクセス許可を与えます。 | 書き込み | |||
GetComponent | コンポーネントの詳細を表示する許可を付与 | 読み込み |
kms:Decrypt |
||
GetComponentPolicy | コンポーネントに関連付けられているリソースポリシーを表示する許可を付与 | 読み込み | |||
GetContainerRecipe | コンテナ recipe の詳細を表示する許可を付与 | 読み込み | |||
GetContainerRecipePolicy | コンテナ recipe に関連付けられているリソースポリシーを表示する許可を付与 | 読み込み | |||
GetDistributionConfiguration | ディストリビューション設定の詳細を表示する許可を付与 | 読み込み | |||
GetImage | イメージの詳細を表示する許可を付与 | 読み込み | |||
GetImagePipeline | イメージパイプラインの詳細を表示する許可を付与 | 読み込み | |||
GetImagePolicy | イメージに関連付けられているリソースポリシーを表示する許可を付与 | 読み込み | |||
GetImageRecipe | イメージ recipe の詳細を表示する許可を付与 | 読み込み | |||
GetImageRecipePolicy | イメージ recipe に関連付けられているリソースポリシーを表示する許可を付与 | 読み込み | |||
GetInfrastructureConfiguration | インフラストラクチャ設定の詳細を表示する許可を付与 | 読み取り | |||
GetLifecycleExecution | ライフサイクル実行に関する詳細を表示するためのアクセス許可を付与 | 読み取り | |||
GetLifecyclePolicy | ライフサイクルポリシーに関する詳細を表示するためのアクセス許可を付与 | 読み取り | |||
GetWorkflow | ワークフローの詳細を表示するアクセス許可を付与 | 読み取り |
kms:Decrypt |
||
GetWorkflowExecution | ワークフロー実行の詳細を表示するアクセス許可を付与 | 読み取り | |||
GetWorkflowStepExecution | ワークフローステップ実行の詳細を表示するアクセス許可を付与 | 読み取り | |||
ImportComponent | 新しいコンポーネントをインポートする許可を付与 | 書き込み |
iam:CreateServiceLinkedRole imagebuilder:TagResource kms:Encrypt kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext |
||
ImportVmImage | 画像をインポートする許可を付与します | 書き込み |
ec2:DescribeImages ec2:DescribeImportImageTasks iam:CreateServiceLinkedRole |
||
ListComponentBuildVersions | アカウントのコンポーネントビルドバージョンを一覧表示する許可を付与 | リスト | |||
ListComponents | アカウントが所有する、またはアカウントと共有するコンポーネントバージョンを一覧表示する許可を付与 | リスト | |||
ListContainerRecipes | アカウントが所有するかアカウントと共有するコンテナ recipe を一覧表示する許可を付与 | リスト | |||
ListDistributionConfigurations | アカウントのディストリビューション設定を一覧表示する許可を付与 | リスト | |||
ListImageBuildVersions | アカウントのイメージビルドバージョンを一覧表示する許可を付与 | リスト | |||
ListImagePackages | 指定したイメージにインストールされているパッケージのリストを返すアクセス許可を付与 | リスト | |||
ListImagePipelineImages | 指定したパイプラインによって作成されたイメージのリストを返すアクセス許可を付与 | リスト | |||
ListImagePipelines | アカウントのイメージパイプラインを一覧表示する許可を付与 | リスト | |||
ListImageRecipes | アカウントが所有する、またはアカウントと共有するイメージ recipe を一覧表示する許可を付与 | リスト | |||
ListImageScanFindingAggregations | アカウントのイメージスキャンによる結果の集計を一覧表示するアクセス許可を付与 | リスト | |||
ListImageScanFindings | アカウント内のイメージに対するイメージスキャンの結果を一覧表示するアクセス許可を付与 | リスト |
inspector2:ListFindings |
||
ListImages | アカウントが所有する、またはアカウントと共有するイメージバージョンを一覧表示する許可を付与 | リスト | |||
ListInfrastructureConfigurations | アカウントのインフラストラクチャ設定を一覧表示する許可を付与 | リスト | |||
ListLifecycleExecutionResources | 指定されたライフサイクル実行用のリソースを一覧表示するためのアクセス許可を付与 | リスト | |||
ListLifecycleExecutions | 指定されたリソースのライフサイクル実行を一覧表示するためのアクセス許可を付与 | リスト | |||
ListLifecyclePolicies | アカウントのライフサイクルポリシーを一覧表示するためのアクセス許可を付与 | リスト | |||
ListTagsForResource | Image Builder リソースのタグを一覧表示する許可を付与 | 読み取り | |||
ListWaitingWorkflowSteps | 発信者アカウントに待機中のワークフローステップを一覧表示する許可を付与 | リスト | |||
ListWorkflowBuildVersions | アカウントのワークフロービルドバージョンを一覧表示する許可を付与 | リスト | |||
ListWorkflowExecutions | 指定したイメージでのワークフロー実行を一覧表示する許可を付与 | リスト | |||
ListWorkflowStepExecutions | 指定したワークフローのワークフローステップ実行を一覧表示するアクセス許可を付与 | リスト | |||
ListWorkflows | アカウントが所有する、またはアカウントと共有するワークフローバージョンを一覧表示する許可を付与 | リスト | |||
PutComponentPolicy | コンポーネントに関連付けられているリソースポリシーを設定する許可を付与 | Permissions management | |||
PutContainerRecipePolicy | コンテナ recipe に関連付けられているリソースポリシーを設定する許可を付与 | Permissions management | |||
PutImagePolicy | イメージに関連付けられたリソースポリシーを設定する許可を付与 | Permissions management | |||
PutImageRecipePolicy | イメージ recipe に関連付けられているリソースポリシーを設定する許可を付与 | 権限の管理 | |||
SendWorkflowStepAction | ワークフローステップにアクションを送信するための許可を付与 | 書き込み | |||
StartImagePipelineExecution | パイプラインから新しいイメージを作成する許可を付与 | 書き込み |
iam:CreateServiceLinkedRole imagebuilder:GetImagePipeline |
||
StartResourceStateUpdate | 指定されたリソースの状態の更新を開始するためのアクセス許可を付与 | 書き込み | |||
TagResource | Image Builder リソースにタグを付けるアクセス許可を付与します | タグ付け | |||
UntagResource | Image Builder リソースのタグを解除する許可を付与 | タグ付け | |||
UpdateDistributionConfiguration | 既存のディストリビューション設定を更新する許可を付与 | 書き込み | |||
UpdateImagePipeline | 既存のイメージパイプラインを更新する許可を付与 | 書き込み |
iam:CreateServiceLinkedRole iam:PassRole imagebuilder:GetContainerRecipe imagebuilder:GetDistributionConfiguration imagebuilder:GetImageRecipe imagebuilder:GetInfrastructureConfiguration imagebuilder:GetWorkflow |
||
UpdateInfrastructureConfiguration | 既存のインフラストラクチャ設定を更新する許可を付与 | 書き込み |
imagebuilder:CreatedResourceTagKeys imagebuilder:CreatedResourceTag/<key> |
iam:PassRole sns:Publish |
|
UpdateLifecyclePolicy | 既存のライフサイクルポリシーを更新するためのアクセス許可を付与 | 書き込み |
iam:PassRole |
Amazon EC2 Image Builder で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource
エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
リソースタイプ | ARN | 条件キー |
---|---|---|
component |
arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}/${ComponentBuildVersion}
|
|
componentVersion |
arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}
|
|
distributionConfiguration |
arn:${Partition}:imagebuilder:${Region}:${Account}:distribution-configuration/${DistributionConfigurationName}
|
|
image |
arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}/${ImageBuildVersion}
|
|
imageVersion |
arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}
|
|
imageRecipe |
arn:${Partition}:imagebuilder:${Region}:${Account}:image-recipe/${ImageRecipeName}/${ImageRecipeVersion}
|
|
containerRecipe |
arn:${Partition}:imagebuilder:${Region}:${Account}:container-recipe/${ContainerRecipeName}/${ContainerRecipeVersion}
|
|
imagePipeline |
arn:${Partition}:imagebuilder:${Region}:${Account}:image-pipeline/${ImagePipelineName}
|
|
infrastructureConfiguration |
arn:${Partition}:imagebuilder:${Region}:${Account}:infrastructure-configuration/${ResourceId}
|
|
kmsKey |
arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}
|
|
lifecycleExecution |
arn:${Partition}:imagebuilder:${Region}:${Account}:lifecycle-execution/${LifecycleExecutionId}
|
|
lifecyclePolicy |
arn:${Partition}:imagebuilder:${Region}:${Account}:lifecycle-policy/${LifecyclePolicyName}
|
|
workflow |
arn:${Partition}:imagebuilder:${Region}:${Account}:workflow/${WorkflowType}/${WorkflowName}/${WorkflowVersion}/${WorkflowBuildVersion}
|
|
workflowVersion |
arn:${Partition}:imagebuilder:${Region}:${Account}:workflow/${WorkflowType}/${WorkflowName}/${WorkflowVersion}
|
|
workflowExecution |
arn:${Partition}:imagebuilder:${Region}:${Account}:workflow-execution/${WorkflowExecutionId}
|
|
workflowStepExecution |
arn:${Partition}:imagebuilder:${Region}:${Account}:workflow-step-execution/${WorkflowStepExecutionId}
|
Amazon EC2 Image Builder の条件キー
Amazon EC2 Image Builder では、IAM ポリシーの Condition
要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
条件キー | 説明 | [Type] (タイプ) |
---|---|---|
aws:RequestTag/${TagKey} | リクエスト内のタグキーと値のペアが存在するかどうかでアクションをフィルタリングします | 文字列 |
aws:ResourceTag/${TagKey} | リソースにアタッチされているタグキーおよび値のペアでアクセスをフィルタリングします | 文字列 |
aws:TagKeys | リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします | ArrayOfString |
imagebuilder:CreatedResourceTag/<key> | Image Builder によって作成されたリソースにアタッチされたタグキーと値のペアによってアクセスをフィルタリングします | 文字列 |
imagebuilder:CreatedResourceTagKeys | リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします | ArrayOfString |
imagebuilder:Ec2MetadataHttpTokens | リクエストで指定された EC2 インスタンスメタデータの HTTP トークンの要件により、アクセスをフィルタリングします | 文字列 |
imagebuilder:LifecyclePolicyResourceType | リクエストで指定されたライフサイクルポリシーのリソースタイプでアクセスをフィルタリングします | 文字列 |
imagebuilder:StatusTopicArn | ターミナル状態通知が発行されるリクエスト内の SNS トピック Arn により、アクセスをフィルタリングします | ARN |