SSM エージェント の最小 S3 バケットアクセス許可について

このトピックでは、Systems Manager オペレーションを実行するために、SSM エージェント からアクセスが必要な場合がある Amazon Simple Storage Service (Amazon S3) バケットの詳細について説明します。これらのバケットはパブリックアクセス可能ですが、場合によっては、Systems Manager の EC2 インスタンスプロファイル、またはハイブリッド環境のインスタンスのサービスロールで明示的な許可を付与する必要がある場合があります。通常、Systems Manager オペレーションでプライベート VPC エンドポイントを使用している場合は、これらのアクセス許可を付与する必要があります。それ以外の場合、リソースからこれらのパブリックバケットにアクセスすることはできません。

これらのバケットへのアクセスを許可するには、カスタム S3 アクセス許可ポリシーを作成し、それをインスタンスプロファイル (EC2 インスタンスの場合) またはサービスロール (オンプレミスサーバーおよびハイブリッド環境の仮想マシン (VM の場合) にアタッチします。

SSM エージェント 更新の場合、インスタンスプロファイルがこれらのバケットへのアクセス許可を提供していない場合、 SSM エージェント は HTTP コールを実行して更新をダウンロードします。

注記

これらのアクセス許可では、SSM エージェント が必要とする AWS マネージドバケットへのアクセスのみが付与されます。また、その他の Amazon S3 オペレーションに必要なアクセス許可は付与されません。また、独自の S3 バケットへのアクセス許可は付与されません。

詳細については、以下のトピックを参照してください。

• Systems Manager の IAM インスタンスプロファイルを作成する

• ハイブリッド環境用の IAM サービスロールを作成する

必要なアクセス許可

次の表は、Systems Manager の使用に必要な各 Amazon S3 ポリシーについて説明しています。

SSM エージェント に必要な Amazon S3 アクセス許可

S3 バケット ARN	説明
arn:aws:s3:::aws-ssm-region/*	SSM ドキュメントで使用するために必要なモジュールを含む S3 バケットへのアクセスを提供します。 注記 中東 (バーレーン) リージョン (me-south-1) でのみ、このバケットは異なる命名規則を使用します。この AWS リージョンでのみ、代わりに次のバケットを使用します。 aws-patch-manager-me-south-1-a53fc9dce
arn:aws:s3:::aws-windows-downloads-region/*	Windows オペレーティングシステムをサポートする SSM ドキュメントの一部で必須です。
arn:aws:s3:::amazon-ssm-region/*	SSM エージェント インストールの更新のために必須です。これらのバケットには SSM エージェント インストールパッケージ、および AWS-UpdateSSMAgent ドキュメントとプラグインによって参照されるインストールマニフェストが含まれています。これらのアクセス許可が提供されていない場合、SSM エージェント は HTTP コールを実行してアップデートをダウンロードします。
arn:aws:s3:::amazon-ssm-packages-region/*	2.2.45.0 より前のバージョンの SSM エージェント を使用して、AWS-ConfigureAWSPackage ドキュメントを実行するために必要です。
arn:aws:s3:::region-birdwatcher-prod/*	SSM エージェント バージョン 2.2.45.0 以降で使用されるディストリビューションサービスへのアクセスが提供されます。このサービスは、AWS-ConfigureAWSPackage ドキュメントを実行するために使用されます。 このアクセス許可は、アフリカ (ケープタウン) リージョン (af-south-1) と 欧州 (ミラノ) リージョン (eu-south-1) を除くすべての AWS リージョンで必要です。
arn:aws:s3:::aws-ssm-distributor-file-region/*	SSM エージェント バージョン 2.2.45.0 以降で使用されるディストリビューションサービスへのアクセスが提供されます。このサービスは、AWS-ConfigureAWSPackage ドキュメントを実行するために使用されます。 このアクセス許可は、アフリカ (ケープタウン) リージョン (af-south-1) および 欧州 (ミラノ) リージョン (eu-south-1) に対してのみ必要です。
arn:aws:s3:::aws-ssm-document-attachments-region/*	Amazon が所有するディストリビューターパッケージを含む S3 バケットへのアクセスを提供します。
arn:aws:s3:::patch-baseline-snapshot-region/*	パッチベースラインのスナップショットを含む S3 バケットへのアクセスを提供します。これは、AWS-RunPatchBaseline SSM ドキュメントまたはレガシー AWS-ApplyPatchBaseline SSM ドキュメントを使用する場合に必要です。 注記 中東 (バーレーン) リージョン (me-south-1) でのみ、このバケットは異なる命名規則を使用します。この AWS リージョンでのみ、代わりに次のバケットを使用します。 patch-baseline-snapshot-me-south-1-uduvl7q8

リージョンは、AWS Systems Manager によってサポートされている AWS リージョンの ID (例: 米国東部 (オハイオ) リージョン の場合は us-east-2) を表します。サポートされるリージョンのリストについては、「アマゾン ウェブ サービス全般のリファレンスの「Systems Manager サービスエンドポイント」」のリージョン列を参照してください。

例

以下の例では、Systems Manager (us-east-2) で 米国東部 (オハイオ) リージョン オペレーションに必要な S3 バケットへのアクセスを提供する方法を示しています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::aws-ssm-us-east-2/*",
                "arn:aws:s3:::aws-windows-downloads-us-east-2/*",
                "arn:aws:s3:::amazon-ssm-us-east-2/*",
                "arn:aws:s3:::amazon-ssm-packages-us-east-2/*",
                "arn:aws:s3:::us-east-2-birdwatcher-prod/*",
                "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*"
            ]
        }
    ]
}

重要

このポリシーの特定のリージョンの代わりにワイルドカード文字 (*) を使用しないことをお勧めします。たとえば、arn:aws:s3:::aws-ssm-us-east-2/* を使用して、arn:aws:s3:::aws-ssm-*/* は使用しないでください。ワイルドカードを使用すると、アクセスを付与する S3 バケットへのアクセス権が付与される場合があります。複数のリージョンでインスタンスプロファイルを使用する場合は、各リージョンの最初の Statement ブロックを繰り返すことをお勧めします。