SSM エージェントの最小 S3 バケットアクセス許可について - AWS Systems Manager

SSM エージェントの最小 S3 バケットアクセス許可について

AWS Systems Manager エージェント (SSM エージェント) は、Systems Manager のオペレーションを実行するために Amazon Simple Storage Service (Amazon S3) バケットにアクセスする必要がある場合があります。この S3 バケットはパブリックにアクセス可能です。ただし、場合によっては、Systems Manager の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスプロファイル、またはハイブリッド環境のインスタンスのサービスロールで、明示的なアクセス許可を付与する必要がある場合があります。通常、Systems Manager のオペレーションでプライベート VPC エンドポイントを使用している場合は、これらのアクセス許可を付与する必要があります。それ以外の場合、リソースからこれらのパブリックバケットにアクセスすることはできません。

これらのバケットへのアクセスを許可するには、カスタム Amazon S3 アクセス許可ポリシーを作成し、それをインスタンスプロファイル (EC2 インスタンスの場合) またはサービスロール (オンプレミスサーバーおよびハイブリッド環境の仮想マシン) にアタッチします。

SSM エージェントの更新の場合、インスタンスプロファイルがこれらのバケットへのアクセス許可を提供していない場合、 SSM エージェントは HTTP コールを実行して更新をダウンロードします。

注記

これらのアクセス許可では、SSM エージェントが必要とする AWS マネージドバケットへのアクセスのみが付与されます。また、その他の Amazon S3 オペレーションに必要なアクセス許可は付与されません。また、独自の S3 バケットへのアクセス許可は付与されません。

詳細については、以下のトピックを参照してください。

必要なアクセス許可

次の表では、Systems Manager を使用するために必要な各 Amazon S3 ポリシーのアクセス許可について説明しています。

注記

region は、米国東部 (オハイオ) リージョンの us-east-2 のように、AWS Systems Manager でサポートされている AWS リージョンの識別子を表します。サポートされている region 値の一覧については、アマゾン ウェブ サービスの全般リファレンスの「Systems Manager サービスエンドポイント」にある Region 列を参照してください。

SSM エージェントが必要とする Amazon S3 のアクセス許可

S3 バケット ARN 説明

Linux および Windows Server インスタンスの場合: arn:aws:s3:::aws-ssm-region/*

macOS の Amazon EC2 インスタンスの場合: arn:aws:s3:::aws-patchmanager-macos-region/*

特定の Systems Manager ドキュメント (SSM ドキュメント) で使用するために必要なモジュールを含む S3 バケットへのアクセスを付与します。例: arn:aws:s3:::aws-ssm-us-east-2/* および aws-patchmanager-macos-us-east-2/*

例外

いくつかの AWS リージョンの S3 バケット名は、ARN で示すように、拡張命名規則を使用しています。これらのリージョンでは、代わりに以下の ARN を使用します。

  • 中東 (バーレーン) リージョン (me-south-1): aws-patch-manager-me-south-1-a53fc9dce

  • アフリカ (ケープタウン) リージョン (af-south-1): aws-patch-manager-af-south-1-bdd5f65a9

  • ヨーロッパ (ミラノ) リージョン (eu-south-1): aws-patch-manager-eu-south-1-c52f3f594

arn:aws:s3:::aws-windows-downloads-region/*

Windows オペレーティングシステムをサポートする SSM ドキュメントの一部で必須です。

arn:aws:s3:::amazon-ssm-region/* SSM エージェントのインストールを更新するために必要です。これらのバケットには SSM エージェントインストールパッケージ、および AWS-UpdateSSMAgent ドキュメントとプラグインによって参照されるインストールマニフェストが含まれています。これらのアクセス許可が提供されていない場合、SSM エージェントは HTTP コールを実行してアップデートをダウンロードします。
arn:aws:s3:::amazon-ssm-packages-region/*

2.2.45.0 より前のバージョンの SSM エージェントを使用して、SSM ドキュメント AWS-ConfigureAWSPackage を実行するために必要です。

arn:aws:s3:::region-birdwatcher-prod/*

SSM エージェントバージョン 2.2.45.0 以降で使用されるディストリビューションサービスへのアクセスが提供されます。このサービスは、AWS-ConfigureAWSPackage ドキュメントを実行するために使用されます。

このアクセス許可は、アフリカ (ケープタウン) リージョン (af-South-1) と欧州 (ミラノ) リージョン (eu-South-1) を除くすべての AWS リージョンで必要です。

arn:aws:s3:::aws-ssm-distributor-file-region/*

SSM エージェントバージョン 2.2.45.0 以降で使用されるディストリビューションサービスへのアクセスが提供されます。このサービスは、SSM ドキュメント AWS-ConfigureAWSPackage を実行するために使用されます。

このアクセス許可は、アフリカ (ケープタウン) リージョン (af-south-1) および欧州 (ミラノ) リージョン (eu-south-1) にのみ必要です。

arn:aws:s3:::aws-ssm-document-attachments-region/*

アマゾン ウェブ サービス (AWS) が所有する AWS Systems Manager の一機能である、Distributor 用のパッケージを含む S3 バケットへのアクセスを提供します。

arn:aws:s3:::patch-baseline-snapshot-region/*

パッチベースラインのスナップショットを含む S3 バケットへのアクセスを提供します。これは、SSM ドキュメント AWS-RunPatchBaseline またはレガシー SSM ドキュメント AWS-ApplyPatchBaseline を使用する場合に必要です。

注記

中東 (バーレーン) リージョン (me-south-1) のみ、この S3 バケットでは異なる命名規則が使用されています。この AWS リージョンでのみ、代わりに次のバケットを使用します。

  • patch-baseline-snapshot-me-south-1-uduvl7q8

次の例は、米国東部 (オハイオ) リージョン (us-east-2) で Systems Manager の使用に必要な S3 バケットへのアクセス権を付与する方法を示しています。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-ssm-us-east-2/*", "arn:aws:s3:::aws-windows-downloads-us-east-2/*", "arn:aws:s3:::amazon-ssm-us-east-2/*", "arn:aws:s3:::amazon-ssm-packages-us-east-2/*", "arn:aws:s3:::us-east-2-birdwatcher-prod/*", "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*" ] } ] }
重要

このポリシーの特定のリージョンの代わりにワイルドカード文字 (*) を使用しないことをお勧めします。たとえば、arn:aws:s3:::aws-ssm-us-east-2/* を使用して、arn:aws:s3:::aws-ssm-*/* は使用しないでください。ワイルドカードを使用すると、アクセスを付与する S3 バケットへのアクセス権が付与される場合があります。複数のリージョンでインスタンスプロファイルを使用する場合は、各リージョンの最初の Statement ブロックを繰り返すことをお勧めします。