SSM Agent と AWS マネージド S3 バケットとの通信 - AWS Systems Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SSM Agent と AWS マネージド S3 バケットとの通信

さまざまな Systems Manager オペレーションを実行する過程で、 AWS Systems Manager エージェント (SSM Agent) は多数の Amazon Simple Storage Service (Amazon S3) バケットにアクセスします。これらの S3 バケットはパブリックにアクセス可能です。デフォルトで、SSM Agent は HTTP 呼び出しを使用してこれに接続します。

ただし、Systems Manager オペレーションで Virtual Private Cloud (VPC) エンドポイントを使用している場合は、Systems Manager の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスプロファイル、またはハイブリッドおよびマルチクラウド環境の non-EC2マシンのサービスロールで、明示的なアクセス許可を付与する必要があります。それ以外の場合、リソースからこれらのパブリックバケットにアクセスすることはできません。

VPC エンドポイントの使用中にこれらのバケットへのマネージドノードアクセスを許可するには、カスタム Amazon S3 許可ポリシーを作成し、それをインスタンスプロファイル (EC2 インスタンスの場合) またはサービスロール (非 EC2 ノードの場合) にアタッチします。

Systems Manager のオペレーションで仮想プライベートクラウド (VPC) エンドポイントを使用する方法については、「VPC エンドポイントの作成」を参照してください。

注記

これらのアクセス許可は、 に必要な AWS マネージドバケットへのアクセスのみを提供しますSSM Agent。また、その他の Amazon S3 オペレーションに必要なアクセス許可は付与されません。また、独自の S3 バケットへのアクセス許可は付与されません。

詳細については、次のトピックを参照してください。

必要なバケットアクセス許可

次の表は、各 S3 バケットについて説明しています。SSM Agent は Systems Manager のオペレーションで、このようなバケットにアクセスする必要があるかもしれません。

注記

region は、米国東部 (オハイオ) リージョンの AWS リージョン など AWS Systems Manager、 でサポートされている us-east-2の識別子を表します。サポートされている region 値の一覧については、「Amazon Web Services 全般のリファレンス」の「Systems Manager サービスエンドポイント」にある Region 列を参照してください。

SSM Agent が必要とする Amazon S3 のアクセス許可

S3 バケット ARN 説明

arn:aws:s3:::aws-windows-downloads-region/*

Windows Server オペレーティングシステムのみをサポートする一部の SSM ドキュメントに必要です。さらに、AWSEC2-ConfigureSTIG などのクロスプラットフォームサポート用のドキュメントもあります。

arn:aws:s3:::amazon-ssm-region/*

SSM Agent インストールの更新のために必須です。これらのバケットには SSM Agent インストールパッケージ、および AWS-UpdateSSMAgent ドキュメントとプラグインによって参照されるインストールマニフェストが含まれています。これらのアクセス許可が提供されていない場合、SSM Agent は HTTP コールを実行して更新プログラムをダウンロードします。

arn:aws:s3:::amazon-ssm-packages-region/*

2.2.45.0 より前のバージョンの SSM Agent を使用して、SSM ドキュメント AWS-ConfigureAWSPackage を実行するために必要です。

arn:aws:s3:::region-birdwatcher-prod/*

SSM Agent バージョン 2.2.45.0 以降で使用されるディストリビューションサービスへのアクセスが提供されます。このサービスは、AWS-ConfigureAWSPackage ドキュメントを実行するために使用されます。

このアクセス許可は、アフリカ (ケープタウン) リージョン (af-south-1) および欧州 (ミラノ) リージョン (eu-south-1) AWS リージョン を除くすべての で必要です。

arn:aws:s3:::aws-ssm-distributor-file-region/*

SSM Agent バージョン 2.2.45.0 以降で使用されるディストリビューションサービスへのアクセスが提供されます。このサービスは、SSM ドキュメント AWS-ConfigureAWSPackage を実行するために使用されます。

このアクセス許可は、アフリカ (ケープタウン) リージョン (af-south-1) および欧州 (ミラノ) リージョン (eu-south-1) にのみ必要です。

arn:aws:s3:::aws-ssm-document-attachments-region/*

が所有する の一Distributor機能 AWS Systems Managerである のパッケージを含む S3 バケットへのアクセスを提供します AWS。

arn:aws:s3:::patch-baseline-snapshot-region/*

パッチベースラインのスナップショットを含む S3 バケットへのアクセスを提供します。これは、次の SSM ドキュメントのいずれかを使用する場合に必要です。

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-ApplyPatchBaseline (レガシーの SSM ドキュメント)

注記

中東 (バーレーン) リージョン (me-south-1) のみ、この S3 バケットでは異なる命名規則が使用されています。この AWS リージョン でのみ、代わりに次のバケットを使用します。

  • patch-baseline-snapshot-me-south-1-uduvl7q8

アフリカ (ケープタウン) リージョン (af-south-1) のみ、この S3 バケットでは異なる命名規則が使用されています。この AWS リージョン でのみ、代わりに次のバケットを使用します。

  • patch-baseline-snapshot-af-south-1-tbxdb5b9

Linux と Windows Server マネージドノードの場合: arn:aws:s3:::aws-ssm-region/*

macOS の Amazon EC2 インスタンスの場合: arn:aws:s3:::aws-patchmanager-macos-region/*

特定の Systems Manager ドキュメント (SSM ドキュメント) で使用するために必要なモジュールを含む S3 バケットへのアクセスを付与します。例:

  • arn:aws:s3:::aws-ssm-us-east-2/*

  • aws-patchmanager-macos-us-east-2/*

例外

一部の の S3 バケット名は、ARN ARNs で示されているように、拡張命名規則 AWS リージョン を使用しています。これらのリージョンでは、代わりに以下の ARN を使用します。

  • 中東 (バーレーン) リージョン (me-south-1): aws-patch-manager-me-south-1-a53fc9dce

  • アフリカ (ケープタウン) リージョン (af-south-1): aws-patch-manager-af-south-1-bdd5f65a9

  • ヨーロッパ (ミラノ) リージョン (eu-south-1): aws-patch-manager-eu-south-1-c52f3f594

  • アジアパシフィック (大阪) リージョン (ap-northeast-3): aws-patch-manager-ap-northeast-3-67373598a

SSM ドキュメント

以下は、これらのバケットに格納されている一般的に使用される SSM ドキュメントの一部です。

Eclipse arn:aws:s3:::aws-ssm-region/:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-ConfigureWindowsUpdate

  • AWS-FindWindowsUpdates

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

  • AWS-UpdateSSMAgent

  • AWS-UpdateEC2Config

Eclipse arn:aws:s3:::aws-patchmanager-macos-region/:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

次の例は、米国東部 (オハイオ) リージョン (us-east-2) で Systems Manager の使用に必要な S3 バケットへのアクセス権を付与する方法を示しています。ほとんどの場合、VPC エンドポイントを使用する場合にのみ、インスタンスプロファイルまたはサービスロールでこれらのアクセス許可を明示的に指定する必要があります。

重要

このポリシーの特定のリージョンの代わりにワイルドカード文字 (*) を使用しないことをお勧めします。例えば、arn:aws:s3:::aws-ssm-us-east-2/* を使用して、arn:aws:s3:::aws-ssm-*/* は使用しないでください。ワイルドカードを使用すると、アクセスを付与する S3 バケットへのアクセス権が付与される場合があります。複数のリージョンでインスタンスプロファイルを使用する場合は、各リージョンの最初の Statement ブロックを繰り返すことをお勧めします。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-windows-downloads-us-east-2/*", "arn:aws:s3:::amazon-ssm-us-east-2/*", "arn:aws:s3:::amazon-ssm-packages-us-east-2/*", "arn:aws:s3:::us-east-2-birdwatcher-prod/*", "arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*", "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*", "arn:aws:s3:::aws-ssm-us-east-2/*", "arn:aws:s3:::aws-patchmanager-macos-us-east-2/*" ] } ] }