SSM Agent と AWS マネージド S3 バケットとの通信 - AWS Systems Manager

SSM Agent と AWS マネージド S3 バケットとの通信

さまざまな Systems Manager のオペレーションを実行する過程で、AWS Systems Manager Agent (SSM Agent) は多数の Amazon Simple Storage Service (Amazon S3) バケットにアクセスします。これらの S3 バケットはパブリックにアクセス可能です。デフォルトで、SSM Agent は HTTP 呼び出しを使用してこれに接続します。

ただし、Systems Manager のオペレーションで仮想プライベートクラウド (VPC) エンドポイントを使用している場合は、Systems Manager の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスプロファイル、またはハイブリッド環境のインスタンスのサービスロールで、明示的なアクセス許可を付与する必要があります。それ以外の場合、リソースからこれらのパブリックバケットにアクセスすることはできません。

VPC エンドポイントの使用中にこれらのバケットにマネージドノードのアクセスを許可する場合、カスタム Amazon S3 許可ポリシーを作成してインスタンスプロファイル (EC2 インスタンスの場合) またはサービスロール (AWS IoT Greengrass コアデバイスとハイブリッド環境のオンプレミスサーバー、エッジデバイス、仮想マシンの場合) に添付します。

注記

これらのアクセス許可では、SSM Agent が必要とする AWS マネージドバケットへのアクセスのみが付与されます。また、その他の Amazon S3 オペレーションに必要なアクセス許可は付与されません。また、独自の S3 バケットへのアクセス許可は付与されません。

詳細については、以下のトピックを参照してください。

必要なバケットアクセス許可

次の表は、各 S3 バケットについて説明しています。SSM Agent は Systems Manager のオペレーションで、このようなバケットにアクセスする必要があるかもしれません。

注記

リージョンは、米国東部 (オハイオ) リージョンの us-east-2 のように、AWS Systems Manager でサポートされている AWS リージョン の識別子を表します。サポートされている region 値の一覧については、アマゾン ウェブ サービスの全般リファレンスの「Systems Manager サービスエンドポイント」にある Region 列を参照してください。

が必要とする Amazon S3 のアクセス許可SSM Agent

S3 バケット ARN 説明

arn:aws:s3:::aws-windows-downloads-region/*

Windows オペレーティングシステムのみをサポートする SSM ドキュメントの一部で必須です。

arn:aws:s3:::amazon-ssm-region/*

SSM Agent インストールの更新のために必須です。これらのバケットには SSM Agent インストールパッケージ、および AWS-UpdateSSMAgent ドキュメントとプラグインによって参照されるインストールマニフェストが含まれています。これらのアクセス許可が提供されていない場合、SSM Agent は HTTP コールを実行して更新プログラムをダウンロードします。

arn:aws:s3:::amazon-ssm-packages-region/*

2.2.45.0 より前のバージョンの SSM Agent を使用して、SSM ドキュメント AWS-ConfigureAWSPackage を実行するために必要です。

arn:aws:s3:::region-birdwatcher-prod/*

SSM Agent バージョン 2.2.45.0 以降で使用されるディストリビューションサービスへのアクセスが提供されます。このサービスは、AWS-ConfigureAWSPackage ドキュメントを実行するために使用されます。

このアクセス許可は、アフリカ (ケープタウン) リージョン (af-South-1) と欧州 (ミラノ) リージョン (eu-South-1) を除くすべての AWS リージョン で必要です。

arn:aws:s3:::aws-ssm-distributor-file-region/*

SSM Agent バージョン 2.2.45.0 以降で使用されるディストリビューションサービスへのアクセスが提供されます。このサービスは、SSM ドキュメント AWS-ConfigureAWSPackage を実行するために使用されます。

このアクセス許可は、アフリカ (ケープタウン) リージョン (af-south-1) および欧州 (ミラノ) リージョン (eu-south-1) にのみ必要です。

arn:aws:s3:::aws-ssm-document-attachments-region/*

AWS Systems Manager の一機能であり、AWS が所有する Distributor のパッケージが含まれている S3 バケットへのアクセスを提供します。

arn:aws:s3:::patch-baseline-snapshot-region/*

パッチベースラインのスナップショットを含む S3 バケットへのアクセスを提供します。これは、次の SSM ドキュメントのいずれかを使用する場合に必要です。

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-ApplyPatchBaseline (レガシーの SSM ドキュメント)

注記

中東 (バーレーン) リージョン (me-south-1) のみ、この S3 バケットでは異なる命名規則が使用されています。この AWS リージョン でのみ、代わりに次のバケットを使用します。

  • patch-baseline-snapshot-me-south-1-uduvl7q8

アフリカ (ケープタウン) リージョン (af-south-1) のみ、この S3 バケットでは異なる命名規則が使用されています。この AWS リージョン でのみ、代わりに次のバケットを使用します。

  • patch-baseline-snapshot-af-south-1-tbxdb5b9

Linux と Windows Server マネージドノードの場合: arn:aws:s3:::aws-ssm-region/*

macOS の Amazon EC2 インスタンスの場合: arn:aws:s3:::aws-patchmanager-macos-region/*

特定の Systems Manager ドキュメント (SSM ドキュメント) で使用するために必要なモジュールを含む S3 バケットへのアクセスを付与します。例:

  • arn:aws:s3:::aws-ssm-us-east-2/*

  • aws-patchmanager-macos-us-east-2/*

例外

いくつかの AWS リージョン の S3 バケット名は、ARN で示すように、拡張命名規則を使用しています。これらのリージョンでは、代わりに以下の ARN を使用します。

  • 中東 (バーレーン) リージョン (me-south-1): aws-patch-manager-me-south-1-a53fc9dce

  • アフリカ (ケープタウン) リージョン (af-south-1): aws-patch-manager-af-south-1-bdd5f65a9

  • ヨーロッパ (ミラノ) リージョン (eu-south-1): aws-patch-manager-eu-south-1-c52f3f594

  • アジアパシフィック (大阪) リージョン (ap-northeast-3): aws-patch-manager-ap-northeast-3-67373598a

SSM ドキュメント

以下は、これらのバケットに格納されている一般的に使用される SSM ドキュメントの一部です。

Eclipse arn:aws:s3:::aws-ssm-region/:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-ConfigureWindowsUpdate

  • AWS-FindWindowsUpdates

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

  • AWS-UpdateSSMAgent

  • AWS-UpdateEC2Config

Eclipse arn:aws:s3:::aws-patchmanager-macos-region/:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

次の例は、米国東部 (オハイオ) リージョン (us-east-2) で Systems Manager の使用に必要な S3 バケットへのアクセス権を付与する方法を示しています。ほとんどの場合、VPC エンドポイントを使用する場合にのみ、インスタンスプロファイルまたはサービスロールでこれらのアクセス許可を明示的に指定する必要があります。

重要

このポリシーの特定のリージョンの代わりにワイルドカード文字 (*) を使用しないことをお勧めします。例えば、arn:aws:s3:::aws-ssm-us-east-2/* を使用して、arn:aws:s3:::aws-ssm-*/* は使用しないでください。ワイルドカードを使用すると、アクセスを付与する S3 バケットへのアクセス権が付与される場合があります。複数のリージョンでインスタンスプロファイルを使用する場合は、各リージョンの最初の Statement ブロックを繰り返すことをお勧めします。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-windows-downloads-us-east-2/*", "arn:aws:s3:::amazon-ssm-us-east-2/*", "arn:aws:s3:::amazon-ssm-packages-us-east-2/*", "arn:aws:s3:::us-east-2-birdwatcher-prod/*", "arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*", "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*", "arn:aws:s3:::aws-ssm-us-east-2/*", "arn:aws:s3:::aws-patchmanager-macos-us-east-2/*" ] } ] }