AWS ドキュメント » AWS Systems Manager » ユーザーガイド » SSM エージェント の使用 » SSM エージェント の最小 S3 バケットアクセス許可について

SSM エージェント の最小 S3 バケットアクセス許可について

このトピックでは、Systems Manager オペレーションを実行するために、SSM エージェント からアクセスが必要な場合がある Amazon Simple Storage Service (Amazon S3) バケットの詳細について説明します。これらのバケットはパブリックアクセス可能ですが、場合によっては、Systems Manager の EC2 インスタンスプロファイル、またはハイブリッド環境のインスタンスのサービスロールで明示的な許可を付与する必要がある場合があります。通常、Systems Manager オペレーションでプライベート VPC エンドポイントを使用している場合は、これらのアクセス許可を付与する必要があります。それ以外の場合、リソースからこれらのパブリックバケットにアクセスすることはできません。

これらのバケットへのアクセスを許可するには、カスタム S3 アクセス許可ポリシーを作成し、それをインスタンスプロファイル (EC2 インスタンスの場合) またはサービスロール (オンプレミスサーバーおよびハイブリッド環境の仮想マシン (VM の場合) にアタッチします。

注記

これらのアクセス許可では、SSM エージェント が必要とする AWS マネージドバケットへのアクセスのみが付与されます。また、その他の Amazon S3 オペレーションに必要なアクセス許可は付与されません。また、独自の S3 バケットへのアクセス許可は付与されません。

詳細については、以下のトピックを参照してください。

• Systems Manager の IAM インスタンスプロファイルの作成

• ハイブリッド環境の IAM サービスロールを作成する

必要なアクセス許可

次の表は、Systems Manager の使用に必要な各 Amazon S3 ポリシーについて説明しています。

SSM エージェント に必要な Amazon S3 アクセス許可

アクセス権限	説明
arn:aws:s3:::aws-ssm-region/*	SSM ドキュメントで使用するために必要なモジュールを含む Amazon S3 バケットへのアクセスを提供します。
arn:aws:s3:::aws-windows-downloads-region/*	Windows オペレーティングシステムをサポートする SSM ドキュメントの一部で必須です。
arn:aws:s3:::amazon-ssm-region/*	SSM エージェント インストールの更新のために必須です。これらのバケットには SSM エージェント インストールパッケージ、および AWS-UpdateSSMAgent ドキュメントとプラグインによって参照されるインストールマニフェストが含まれています。
arn:aws:s3:::amazon-ssm-packages-region/*	2.2.45.0 より前のバージョンの SSM エージェント を使用して、AWS-ConfigureAWSPackage ドキュメントを実行するために必要です。
arn:aws:s3:::region-birdwatcher-prod/*	SSM エージェント バージョン 2.2.45.0 以降で使用されるディストリビューションサービスへのアクセスが提供されます。このサービスは、AWS-ConfigureAWSPackage ドキュメントを実行するために使用されます。
arn:aws:s3:::patch-baseline-snapshot-region/*	パッチベースラインのスナップショットを含む Amazon S3 バケットへのアクセスを提供します。AWS-RunPatchBaseline と AWS-ApplyPatchBaseline のドキュメントを使用する場合、これは必須です。

リージョンは、AWS Systems Manager によってサポートされている AWS リージョンのリージョン ID (例: US East (Ohio) Region の場合は us-east-2) を表します。サポートされているリージョンのリストについては、AWS General Referenceの AWS Systems Manager リージョンとエンドポイントの表でリージョン列を参照してください。

例

以下の例では、US East (Ohio) Region (us-east-2) で Systems Manager オペレーションに必要な Amazon S3 バケットへのアクセスを提供する方法を示しています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::aws-ssm-us-east-2/*",
                "arn:aws:s3:::aws-windows-downloads-us-east-2/*",
                "arn:aws:s3:::amazon-ssm-us-east-2/*",
                "arn:aws:s3:::amazon-ssm-packages-us-east-2/*",
                "arn:aws:s3:::us-east-2-birdwatcher-prod/*",
                "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*"
            ]
        }
    ]
}

重要

このポリシーの特定のリージョンの代わりにワイルドカード文字 (*) を使用しないことをお勧めします。たとえば、arn:aws:s3:::aws-ssm-us-east-2/* を使用して、arn:aws:s3:::aws-ssm-*/* は使用しないでください。ワイルドカードを使用すると、アクセスを付与する Amazon S3 バケットへのアクセス権が付与される場合があります。複数のリージョンでインスタンスプロファイルを使用する場合は、各リージョンの最初の Statement ブロックを繰り返すことをお勧めします。