Amazon EC2 Image Builder のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon EC2 Image Builder のアクション、リソース、および条件キー

Amazon EC2 Image Builder(サービスプレフィックス: imagebuilder)では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソース、アクション、条件コンテキストキーが用意されています。

参照:

Amazon EC2 Image Builder で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
CancelImageCreation イメージの作成をキャンセルするアクセス許可を付与します 書き込み

image*

CreateComponent 新しいコンポーネントを作成するアクセス許可を付与します 書き込み

component*

iam:CreateServiceLinkedRole

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

kmsKey

aws:RequestTag/${TagKey}

aws:TagKeys

CreateContainerRecipe 新しいコンテナレシピを作成するアクセス許可を付与します 書き込み

containerRecipe*

ecr:DescribeImages

ecr:DescribeRepositories

iam:CreateServiceLinkedRole

imagebuilder:GetComponent

imagebuilder:GetImage

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDistributionConfiguration 新しいディストリビューション設定を作成するアクセス許可を付与します 書き込み

distributionConfiguration*

iam:CreateServiceLinkedRole

imagebuilder:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImage 新しいイメージを作成するアクセス許可を付与します 書き込み

image*

iam:CreateServiceLinkedRole

imagebuilder:GetContainerRecipe

imagebuilder:GetDistributionConfiguration

imagebuilder:GetImageRecipe

imagebuilder:GetInfrastructureConfiguration

imagebuilder:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImagePipeline 新しいイメージパイプラインを作成するアクセス許可を付与します 書き込み

imagePipeline*

iam:CreateServiceLinkedRole

imagebuilder:GetContainerRecipe

imagebuilder:GetImageRecipe

imagebuilder:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImageRecipe 新しいイメージレシピを作成するアクセス許可を付与します 書き込み

imageRecipe*

ec2:DescribeImages

iam:CreateServiceLinkedRole

imagebuilder:GetComponent

imagebuilder:GetImage

imagebuilder:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateInfrastructureConfiguration 新しいインフラストラクチャ設定を作成するアクセス許可を付与します 書き込み

infrastructureConfiguration*

iam:CreateServiceLinkedRole

iam:PassRole

imagebuilder:TagResource

sns:Publish

aws:RequestTag/${TagKey}

aws:TagKeys

imagebuilder:CreatedResourceTagKeys

imagebuilder:CreatedResourceTag/<key>

DeleteComponent コンポーネントを削除するアクセス許可を付与します 書き込み

component*

DeleteContainerRecipe コンテナレシピを削除する権限を付与します。 書き込み

containerRecipe*

DeleteDistributionConfiguration ディストリビューション設定を削除するアクセス許可を付与します 書き込み

distributionConfiguration*

DeleteImage イメージを削除するアクセス許可を付与します 書き込み

image*

DeleteImagePipeline イメージパイプラインを削除するアクセス許可を付与します 書き込み

imagePipeline*

DeleteImageRecipe イメージレシピを削除するアクセス許可を付与します。 書き込み

imageRecipe*

DeleteInfrastructureConfiguration インフラストラクチャ設定を削除するアクセス許可を付与します 書き込み

infrastructureConfiguration*

GetComponent コンポーネントの詳細を表示するアクセス許可を付与します Read

component*

kms:Decrypt

GetComponentPolicy コンポーネントに関連付けられているリソースポリシーを表示するアクセス許可を付与します Read

component*

GetContainerRecipe コンテナレシピの詳細を表示するアクセス許可を付与します Read

containerRecipe*

GetContainerRecipePolicy コンテナレシピに関連付けられているリソースポリシーを表示するアクセス許可を付与します Read

containerRecipe*

GetDistributionConfiguration ディストリビューション設定の詳細を表示するアクセス許可を付与します Read

distributionConfiguration*

GetImage イメージの詳細を表示するアクセス許可を付与します Read

image*

aws:ResourceTag/${TagKey}

GetImagePipeline イメージパイプラインの詳細を表示するアクセス許可を付与します Read

imagePipeline*

GetImagePolicy イメージに関連付けられているリソースポリシーを表示するアクセス許可を付与します Read

image*

GetImageRecipe イメージレシピの詳細を表示するアクセス許可を付与します Read

imageRecipe*

GetImageRecipePolicy イメージレシピに関連付けられているリソースポリシーを表示するアクセス許可を付与します Read

imageRecipe*

GetInfrastructureConfiguration インフラストラクチャ設定の詳細を表示するアクセス許可を付与します Read

infrastructureConfiguration*

ImportComponent 新しいコンポーネントをインポートするためのアクセス権限を付与します 書き込み

component*

iam:CreateServiceLinkedRole

imagebuilder:TagResource

kms:Encrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

kmsKey

aws:RequestTag/${TagKey}

aws:TagKeys

ListComponentBuildVersions アカウントのコンポーネントビルドバージョンを一覧表示するアクセス許可を付与します リスト

componentVersion*

ListComponents アカウントが所有する、またはアカウントと共有するコンポーネントバージョンを一覧表示するアクセス許可を付与します リスト
ListContainerRecipes アカウントが所有するかアカウントと共有するコンテナレシピを一覧表示するアクセス許可を付与します リスト
ListDistributionConfigurations アカウントのディストリビューション設定を一覧表示するアクセス許可を付与します リスト
ListImageBuildVersions アカウントのイメージビルドバージョンを一覧表示するアクセス許可を付与します リスト

imageVersion*

ListImagePackages 指定したイメージにインストールされているパッケージのリストを返すアクセス許可を付与します リスト

image*

aws:ResourceTag/${TagKey}

ListImagePipelineImages 指定されたパイプラインによって作成されたイメージのリストを返すアクセス許可を付与します リスト

imagePipeline*

ListImagePipelines アカウントのイメージパイプラインを一覧表示するアクセス許可を付与します リスト
ListImageRecipes アカウントが所有する、またはアカウントと共有するイメージレシピを一覧表示するアクセス許可を付与します リスト
ListImages アカウントが所有する、またはアカウントと共有するイメージバージョンを一覧表示するアクセス許可を付与します リスト
ListInfrastructureConfigurations アカウントのインフラストラクチャ設定を一覧表示するアクセス許可を付与します リスト
ListTagsForResource Image Builder リソースのタグを一覧表示するアクセス許可を付与します Read

component

distributionConfiguration

image

imagePipeline

imageRecipe

infrastructureConfiguration

aws:ResourceTag/${TagKey}

PutComponentPolicy コンポーネントに関連付けられているリソースポリシーを設定するアクセス許可を付与します アクセス権限の管理

component*

PutContainerRecipePolicy コンテナレシピに関連付けられているリソースポリシーを設定するアクセス許可を付与します アクセス権限の管理

containerRecipe*

PutImagePolicy イメージに関連付けられたリソースポリシーを設定するアクセス許可を付与します アクセス権限の管理

image*

PutImageRecipePolicy イメージレシピに関連付けられているリソースポリシーを設定するアクセス許可を付与します アクセス権限の管理

imageRecipe*

StartImagePipelineExecution パイプラインから新しいイメージを作成するアクセス許可を付与します 書き込み

imagePipeline*

iam:CreateServiceLinkedRole

imagebuilder:GetImagePipeline

TagResource Image Builder リソースにタグを付けるアクセス許可を付与します タグ付け

component

containerRecipe

distributionConfiguration

image

imagePipeline

imageRecipe

infrastructureConfiguration

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource Image Builder リソースのタグを解除するアクセス許可を付与します タグ付け

component

containerRecipe

distributionConfiguration

image

imagePipeline

imageRecipe

infrastructureConfiguration

aws:ResourceTag/${TagKey}

aws:TagKeys

UpdateDistributionConfiguration 既存のディストリビューション設定を更新するアクセス許可を付与します 書き込み

distributionConfiguration*

UpdateImagePipeline 既存のイメージパイプラインを更新するアクセス許可を付与します 書き込み

imagePipeline*

UpdateInfrastructureConfiguration 既存のインフラストラクチャ設定を更新するアクセス許可を付与します 書き込み

infrastructureConfiguration*

iam:PassRole

sns:Publish

aws:ResourceTag/${TagKey}

imagebuilder:CreatedResourceTagKeys

imagebuilder:CreatedResourceTag/<key>

Amazon EC2 Image Builder で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
component arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}/${ComponentBuildVersion}

aws:ResourceTag/${TagKey}

componentVersion arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}

aws:ResourceTag/${TagKey}

distributionConfiguration arn:${Partition}:imagebuilder:${Region}:${Account}:distribution-configuration/${DistributionConfigurationName}

aws:ResourceTag/${TagKey}

image arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}/${ImageBuildVersion}

aws:ResourceTag/${TagKey}

imageVersion arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}

aws:ResourceTag/${TagKey}

imageRecipe arn:${Partition}:imagebuilder:${Region}:${Account}:image-recipe/${ImageRecipeName}/${ImageRecipeVersion}

aws:ResourceTag/${TagKey}

containerRecipe arn:${Partition}:imagebuilder:${Region}:${Account}:container-recipe/${ContainerRecipeName}/${ContainerRecipeVersion}

aws:ResourceTag/${TagKey}

imagePipeline arn:${Partition}:imagebuilder:${Region}:${Account}:image-pipeline/${ImagePipelineName}

aws:ResourceTag/${TagKey}

infrastructureConfiguration arn:${Partition}:imagebuilder:${Region}:${Account}:infrastructure-configuration/${ResourceId}

aws:ResourceTag/${TagKey}

kmsKey arn:${Partition}:kms:${Region}:${Account}:key/${KeyId}

Amazon EC2 Image Builder の条件キー

Amazon EC2 Image Builder では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアのプレゼンスによってアクションをフィルタリングします。 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーと値のペアによってアクションをフィルタリングします。 文字列
aws:TagKeys リクエスト内のタグキーのプレゼンスによってアクションをフィルタリングします。 文字列
imagebuilder:CreatedResourceTag/<key> Image Builder によって作成されたリソースにアタッチされたタグキーと値のペアによってアクセスをフィルタリングします 文字列
imagebuilder:CreatedResourceTagKeys リクエスト内のタグキーのプレゼンスによってアクセスをフィルタリングします 文字列