使用アイテム AWS EC2 Image Builder の マネージドポリシー - EC2 Image Builder
AWSImageBuilderFullAccessAWSImageBuilderReadOnlyAccessAWSServiceRoleForImageBuilderEc2ImageBuilderCrossAccountDistributionAccessEC2ImageBuilderLifecycleExecutionPolicyEC2InstanceProfileForImageBuilderEC2InstanceProfileForImageBuilderECRContainerBuildsポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

使用アイテム AWS EC2 Image Builder の マネージドポリシー

An AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです。 AWS. AWS マネージドポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。

次の点に注意してください。 AWS マネージドポリシーは、すべての で利用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があります。 AWS を使用する のお客様。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。

で定義されているアクセス許可は変更できません AWS マネージドポリシー。If AWS は、 で定義されているアクセス許可を更新します。 AWS 管理ポリシー、更新は、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、 を更新する可能性が最も高いです。 AWS 新しい のときの 管理ポリシー AWS のサービス が起動されるか、既存のサービスで新しいAPIオペレーションが使用可能になります。

詳細については、「」を参照してくださいAWSIAM ユーザーガイドの マネージドポリシー

AWSImageBuilderFullAccess ポリシー

AWSImageBuilderFullAccess ポリシーは、アタッチされているロールの Image Builder リソースへのフルアクセスを付与し、ロールが Image Builder リソースを一覧表示、説明、作成、更新、削除できるようにします。このポリシーは、関連する にターゲットを絞ったアクセス許可も付与します。 AWS のサービス リソースの検証や、 のアカウントの現在のリソースの表示などに必要な 。 AWS Management Console.

許可の詳細

このポリシーには、以下の権限が含まれています。

  • Image Builder — ロールが Image Builder リソースを一覧表示、説明、作成、更新、削除できるように、管理者権限が付与されます。

  • Amazon EC2 – リソースの存在を確認したり、アカウントに属するリソースのリストを取得したりするために必要な Amazon EC2 Describe アクションにアクセスが許可されます。

  • IAM – 名前に「imagebuilder」が含まれているインスタンスプロファイルを取得して使用し、 iam:GetRoleAPIアクションを介して Image Builder サービスにリンクされたロールの存在を確認し、Image Builder サービスにリンクされたロールを作成するためのアクセス許可が付与されます。

  • License Manager — リソースのライセンス構成またはライセンスを一覧表示するためのアクセス権が付与されます。

  • Amazon S3 — アカウントに属するバケットと、名前に「imagebuilder」が含まれる Image Builder バケットを一覧表示するためのアクセスが許可されます。

  • Amazon SNS – 「imagebuilder」を含むトピックの所有権を検証SNSするために、Amazon に書き込みアクセス許可が付与されます。

ポリシーの例

以下は、 の例です。AWSImageBuilderFullAccess ポリシー。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "imagebuilder:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:ListTopics"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": "arn:aws:sns:*:*:*imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "license-manager:ListLicenseConfigurations",
                "license-manager:ListLicenseSpecificationsForResource"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetInstanceProfile"
            ],
            "Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListInstanceProfiles",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::*:instance-profile/*imagebuilder*",
                "arn:aws:iam::*:role/*imagebuilder*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ec2.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3::*:*imagebuilder*"
        },
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "imagebuilder.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:DescribeSnapshots",
                "ec2:DescribeVpcs",
                "ec2:DescribeRegions",
                "ec2:DescribeVolumes",
                "ec2:DescribeSubnets",
                "ec2:DescribeKeyPairs",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeInstanceTypeOfferings",
                "ec2:DescribeLaunchTemplates"
            ],
            "Resource": "*"
        }
    ]
}

AWSImageBuilderReadOnlyAccess ポリシー

AWSImageBuilderReadOnlyAccess ポリシーは、すべての Image Builder リソースへの読み取り専用アクセスを提供します。Image Builder サービスにリンクされたロールが iam:GetRoleAPIアクションを介して存在することを確認するアクセス許可が付与されます。

許可の詳細

このポリシーには、以下の権限が含まれています。

  • Image Builder — Image Builder リソースへの読み取り専用アクセスに対してアクセスが許可されます。

  • IAMiam:GetRoleAPIアクションを介して Image Builder サービスにリンクされたロールが存在することを確認するためのアクセス許可が付与されます。

ポリシーの例

以下は、 の例です。AWSImageBuilderReadOnlyAccess ポリシー。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "imagebuilder:Get*",
                "imagebuilder:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder"
        }
    ]
}

AWSServiceRoleForImageBuilder ポリシー

AWSServiceRoleForImageBuilder ポリシーにより、Image Builder は を呼び出すことができます AWS のサービス ユーザーに代わって。

許可の詳細

このポリシーは、ロールが Systems Manager で作成されたときに、Image Builder サービスリンクロールにアタッチされます。Image Builder サービスリンクロールの詳細については、Image Builder のサービスIAMにリンクされたロールを使用するを参照してください。

ポリシーには以下のアクセス権限が含まれています。

  • CloudWatch ログ – 名前が で始まるロググループに対して CloudWatch ログを作成してアップロードするためのアクセス許可が付与されます/aws/imagebuilder/

  • Amazon EC2 – Image Builder は、作成または使用されているイメージ、EC2インスタンス、およびボリュームが CreatedBy: EC2 Image Builderまたは でタグ付けされている限り、関連するスナップショット、ボリューム、ネットワークインターフェイス、サブネット、セキュリティグループ、ライセンス設定、キーペアを使用して、アカウントでイメージを作成し、インスタンスを起動するためのアクセス許可を付与されますCreatedBy: EC2 Fast Launch

    Image Builder は、Amazon EC2イメージ、インスタンス属性、インスタンスステータス、アカウントで使用できるインスタンスタイプ、起動テンプレート、サブネット、ホスト、および Amazon EC2リソースのタグに関する情報を取得できます。

    Image Builder はイメージ設定を更新して、イメージに CreatedBy: EC2 Image Builder のタグが付けられているアカウント内の Windows インスタンスの高速起動を有効または無効にすることができます。

    さらに、Image Builder は、アカウントで実行されているインスタンスの起動、停止、終了、Amazon EBSスナップショットの共有、イメージの作成と更新、テンプレートの起動、既存のイメージの登録解除、タグの追加、 経由で にアクセス許可を付与したアカウント間でのイメージのレプリケートを行うことができます。 Ec2ImageBuilderCrossAccountDistributionAccess ポリシー。前述のように、これらすべてのアクションには Image Builder のタグ付けが必要です。

  • Amazon ECR – Image Builder には、コンテナイメージの脆弱性スキャンに必要なリポジトリを作成し、作成したリソースにタグを付けてオペレーションの範囲を制限するためのアクセス許可が付与されます。また、Image Builder が脆弱性のスナップショットを取得した後、スキャンのために作成したコンテナイメージを削除するためのアクセス権も付与されます。

  • EventBridge – Image Builder には、 EventBridge ルールを作成および管理するためのアクセス許可が付与されます。

  • IAM – Image Builder は、アカウント内の任意のロールを Amazon EC2および VM Import/Export に渡すためのアクセス許可が付与されます。

  • Amazon Inspector — Image Builder には、Amazon Inspector がビルドインスタンスのスキャンをいつ完了するかを決定し、それを許可するように設定されたイメージの結果を収集するためのアクセス権限が付与されます。

  • AWS KMS — Amazon ボリュームを暗号化、復号、または再暗号化EBSするためのアクセスが Amazon に付与されますEBS。これは、Image Builder がイメージをビルドするときに暗号化されたボリュームが確実に機能するようにするために重要です。

  • License Manager — Image Builder には、license-manager:UpdateLicenseSpecificationsForResource を介して License Manager の仕様を更新するためのアクセス権が付与されます。

  • Amazon SNS – アカウント内のすべての Amazon SNSトピックに書き込みアクセス許可が付与されます。

  • Systems Manager – Image Builder には、Systems Manager コマンドとその呼び出しの一覧表示、インベントリエントリ 、インスタンス情報とオートメーション実行ステータスの記述、インスタンスプレイスメントサポートのホストの記述、コマンド呼び出しの詳細の取得を行うためのアクセス許可が付与されます。Image Builder は自動化シグナルを送信し、アカウント内の任意のリソースの自動化実行を停止することもできます。

    Image Builder は、AWS-RunPowerShellScriptAWS-RunShellScript、または AWSEC2-RunSysprep のスクリプトファイルについて、"CreatedBy": "EC2 Image Builder" のタグが付けられたインスタンスに対して実行コマンドを発行することができます。Image Builder では、名前が ImageBuilder で始まる自動化ドキュメントの Systems Manager 自動化実行をアカウント内で開始できます。

    Image Builder では、関連付けドキュメントが AWS-GatherSoftwareInventory である限り、アカウント内の任意のインスタンスの State Manager 関連付けを作成または削除したり、アカウントに Systems Manager サービスリンクロールを作成したりすることもできます。

  • AWS STS — Image Builder が という名前のロールを引き受けるためのアクセス権が付与されます EC2ImageBuilderDistributionCrossAccountRole アカウントから、ロールの信頼ポリシーで許可されている任意のアカウントへ。これは、クロスアカウントのイメージ配信に使用されます。

このポリシーのアクセス許可を表示するには、「」を参照してください。 AWSServiceRoleForImageBuilder ()AWS マネージドポリシーリファレンス

Ec2ImageBuilderCrossAccountDistributionAccess ポリシー

Ec2ImageBuilderCrossAccountDistributionAccess ポリシーは、Image Builder がターゲットリージョンのアカウント間でイメージを配信するためのアクセス許可を付与します。さらに、Image Builder はアカウント内の任意の Amazon EC2イメージを記述、コピー、および適用できます。このポリシーは、 ec2:ModifyImageAttributeAPIアクションを介してAMIアクセス許可を変更する機能も付与します。

許可の詳細

このポリシーには、以下の権限が含まれています。

  • Amazon EC2 – Amazon には、イメージの属性EC2を記述、コピー、変更したり、アカウント内の Amazon EC2イメージのタグを作成したりするためのアクセス許可が付与されます。

ポリシーの例

以下は、 の例です。Ec2ImageBuilderCrossAccountDistributionAccess ポリシー。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*::image/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:CopyImage",
                "ec2:ModifyImageAttribute"
            ],
            "Resource": "*"
        }
    ]
}

EC2ImageBuilderLifecycleExecutionPolicy ポリシー

EC2ImageBuilderLifecycleExecutionPolicy ポリシーは、Image Builder が Image Builder イメージリソースとその基盤となるリソース (、スナップショット) を非推奨、無効化、削除などのアクションを実行しAMIs、イメージライフサイクル管理タスクの自動ルールをサポートするアクセス許可を付与します。

許可の詳細

このポリシーには、以下の権限が含まれています。

  • Amazon EC2 – Amazon には、 でタグ付けされたアカウントで Amazon マシンイメージ (AMIs) に対して次のアクションを実行EC2するためのアクセス許可が付与されますCreatedBy: EC2 Image Builder

    • を有効または無効にしますAMI。

    • イメージ廃止を有効化および無効化する。

    • を記述して登録解除しますAMI。

    • AMI イメージ属性を記述および変更します。

    • に関連付けられているボリュームスナップショットを削除しますAMI。

    • リソースのタグを取得する。

    • のタグを追加または削除AMIして非推奨にします。

  • Amazon ECR – Amazon には、 LifecycleExecutionAccess: EC2 Image Builder タグを使用してECRリポジトリに対して次のバッチアクションを実行ECRするためのアクセス許可が付与されます。バッチアクションは、自動コンテナイメージライフサイクルルールをサポートします。

    • ecr:BatchGetImage

    • ecr:BatchDeleteImage

    アクセスは、 でタグ付けされたリポジトリのECRリポジトリレベルで許可されますLifecycleExecutionAccess: EC2 Image Builder

  • AWS リソースグループ – Image Builder には、タグに基づいてリソースを取得するためのアクセス許可が付与されます。

  • EC2 Image Builder – Image Builder に Image Builder イメージリソースを削除するためのアクセス許可が付与されます。

ポリシーの例

以下は、 の例です。EC2ImageBuilderLifecycleExecutionPolicy ポリシー。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2ImagePermission",
            "Effect": "Allow",
            "Action": [
                "ec2:EnableImage",
                "ec2:DeregisterImage",
                "ec2:EnableImageDeprecation",
                "ec2:DescribeImageAttribute",
                "ec2:DisableImage",
                "ec2:DisableImageDeprecation"
            ],
            "Resource": "arn:aws:ec2:*::image/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CreatedBy": "EC2 Image Builder"
                }
            }
        },
        {
            "Sid": "EC2DeleteSnapshotPermission",
            "Effect": "Allow",
            "Action": "ec2:DeleteSnapshot",
            "Resource": "arn:aws:ec2:*::snapshot/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CreatedBy": "EC2 Image Builder"
                }
            }
        },
        {
            "Sid": "EC2TagsPermission",
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteTags",
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*::image/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/DeprecatedBy": "EC2 Image Builder",
                    "aws:ResourceTag/CreatedBy": "EC2 Image Builder"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "DeprecatedBy"
                }
            }
        },
        {
            "Sid": "ECRImagePermission",
            "Effect": "Allow",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:BatchDeleteImage"
            ],
            "Resource": "arn:aws:ecr:*:*:repository/*",
            "Condition": {
                "StringEquals": {
                    "ecr:ResourceTag/LifecycleExecutionAccess": "EC2 Image Builder"
                }
            }
        },
        {
            "Sid": "ImageBuilderEC2TagServicePermission",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "tag:GetResources",
                "imagebuilder:DeleteImage"
            ],
            "Resource": "*"
        }
    ]
}

EC2InstanceProfileForImageBuilder ポリシー

EC2InstanceProfileForImageBuilder ポリシーは、EC2インスタンスが Image Builder と連携するために必要な最小限のアクセス許可を付与します。これには、Systems Manager エージェントを使用するために必要な権限は含まれていません。

許可の詳細

このポリシーには、以下の権限が含まれています。

  • CloudWatch ログ – 名前が で始まるロググループに対して CloudWatch ログを作成してアップロードするためのアクセス許可が付与されます/aws/imagebuilder/

  • Image Builder — すべてのImage Builder コンポーネントを取得するためのアクセス権が付与されます。

  • AWS KMS — Image Builder コンポーネントが で暗号化されている場合、そのコンポーネントを復号するためのアクセス許可が付与されます。 AWS KMS.

  • Amazon S3 — 名前が ec2imagebuilder- で始まる Amazon S3 バケットに保存されているオブジェクトを取得するためのアクセスが許可されます。

ポリシーの例

以下は、 の例です。EC2InstanceProfileForImageBuilder ポリシー。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "imagebuilder:GetComponent"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": "aws:imagebuilder:arn",
                    "aws:CalledVia": [
                        "imagebuilder.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::ec2imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*"
        }
    ]
}

EC2InstanceProfileForImageBuilderECRContainerBuilds ポリシー

EC2InstanceProfileForImageBuilderECRContainerBuilds ポリシーは、Image Builder を使用して Docker イメージを構築し、そのイメージを Amazon ECRコンテナリポジトリに登録して保存する際に、EC2インスタンスに必要な最小限のアクセス許可を付与します。これには、Systems Manager エージェントを使用するために必要な権限は含まれていません。

許可の詳細

このポリシーには、以下の権限が含まれています。

  • CloudWatch ログ – 名前が で始まるロググループに対して CloudWatch ログを作成してアップロードするためのアクセス許可が付与されます/aws/imagebuilder/

  • Amazon ECR – Amazon には、コンテナイメージECRを取得、登録、保存し、認証トークンを取得するためのアクセス許可が付与されます。

  • Image Builder — Image Builder コンポーネントまたはコンテナレシピを取得するためのアクセス権が付与されます。

  • AWS KMS — Image Builder コンポーネントまたはコンテナレシピが で暗号化されている場合、復号するためのアクセス許可が付与されます。 AWS KMS.

  • Amazon S3 — 名前が ec2imagebuilder- で始まる Amazon S3 バケットに保存されているオブジェクトを取得するためのアクセスが許可されます。

ポリシーの例

以下は、 の例です。EC2InstanceProfileForImageBuilderECRContainerBuilds ポリシー。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "imagebuilder:GetComponent",
                "imagebuilder:GetContainerRecipe",
                "ecr:GetAuthorizationToken",
                "ecr:BatchGetImage",
                "ecr:InitiateLayerUpload",
                "ecr:UploadLayerPart",
                "ecr:CompleteLayerUpload",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetDownloadUrlForLayer",
                "ecr:PutImage"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "kms:EncryptionContextKeys": "aws:imagebuilder:arn",
                    "aws:CalledVia": [
                        "imagebuilder.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::ec2imagebuilder*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/imagebuilder/*"
        }
    ]
}

Image Builder の への更新 AWS 管理ポリシー

このセクションでは、 の更新について説明します。 AWS Image Builder の マネージドポリシーは、このサービスがこれらの変更の追跡を開始してからです。このページの変更に関する自動アラートを受け取るには、Image Builder ドキュメント履歴ページのRSSフィードをサブスクライブします。

変更 説明 日付

EC2ImageBuilderLifecycleExecutionPolicy - 新しいポリシー

Image Builder は、イメージライフサイクル管理の権限を含む新しい EC2ImageBuilderLifecycleExecutionPolicy ポリシーを追加しました。

 2023 年 11 月 17 日

AWSServiceRoleForImageBuilder – 既存ポリシーへの更新

Image Builder は、インスタンス配置のサポートを提供するために、サービスロールに次の変更を加えました。

  • ec2:DescribeHosts Enable Image Builder が をポーリング hostId して、インスタンスを起動するための有効な状態になっているタイミングを判断するように追加しました。

  • Image Builder がコマンド呼び出しの詳細を取得するために使用するメソッドを改善する ssm:GetCommandInvocation, APIアクションを追加しました。

 2023 年 10 月 19 日

AWSServiceRoleForImageBuilder – 既存ポリシーへの更新

Image Builder は、インスタンス配置のサポートを提供するために、サービスロールに次の変更を加えました。

  • ec2:DescribeHosts Enable Image Builder が をポーリング hostId して、インスタンスを起動するための有効な状態になっているタイミングを判断するように追加しました。

  • Image Builder がコマンド呼び出しの詳細を取得するために使用するメソッドを改善する ssm:GetCommandInvocation, APIアクションを追加しました。

 2023 年 9 月 28 日

AWSServiceRoleForImageBuilder – 既存ポリシーへの更新

Image Builder は、Image Builder ワークフローが AMIとECRコンテナイメージビルドの両方の脆弱性結果を収集できるように、サービスロールに次の変更を加えました。新しいアクセス許可は、CVE検出およびレポート機能をサポートします。

  • Inspector2: ListCoverage および Inspector2: を追加しました。ListFindings これにより、Image Builder は Amazon Inspector がテストインスタンススキャンを完了するタイミングを判断し、それを許可するように設定されたイメージの検出結果を収集できます。

  • ecr: を追加CreateRepositoryしました。Image Builder がリポジトリに CreatedBy: EC2 Image Builder () のタグを付けることを要件としましたtag-on-create。また、同じ CreatedBy タグ制約を持つ ecr:TagResource ( に必要 tag-on-create) と、リポジトリ名を で始める必要がある追加の制約が追加されましたimage-builder-*。名前の制約は、権限の昇格を防ぎ、Image Builder が作成しなかったリポジトリへの変更を防ぎます。

  • でタグ付けされたECRリポジトリBatchDeleteImage に ecr:for を追加しましたCreatedBy: EC2 Image Builder。この権限では、リポジトリ名が image-builder-* で始まる必要があります。

  • Image Builder が名前に を含む Amazon EventBridge マネージドルールを作成および管理するためのイベントアクセス許可を追加ImageBuilder-*しました。

 2023 年 3 月 30 日

AWSServiceRoleForImageBuilder – 既存ポリシーへの更新

Image Builder は、サービスロールに次の変更を加えました。

  • ec2:RunInstance call のリソースとして License Manager ライセンスを追加し、ライセンス設定に関連付けられたベースイメージの使用をお客様に許可AMIsしました。

 2022 年 3 月 22 日

AWSServiceRoleForImageBuilder – 既存ポリシーへの更新

Image Builder は、サービスロールに次の変更を加えました。

  • Windows インスタンスの高速起動を有効または無効にする EC2 EnableFastLaunch APIアクションのアクセス許可を追加しました。

  • ec2:CreateTags action とリソースタグの条件の範囲を厳しくしました。

 2022 年 2 月 21 日

AWSServiceRoleForImageBuilder – 既存ポリシーへの更新

Image Builder は、サービスロールに次の変更を加えました。

  • VM をインポートし、AMIそこからベースを作成するために VMIEサービスを呼び出すアクセス許可を追加しました。

  • ec2:CreateTags action およびリソースタグ条件の範囲を厳しくしました。

 2021 年 11 月 20 日

AWSServiceRoleForImageBuilder – 既存ポリシーへの更新

Image Builder には、複数のインベントリ関連付けによってイメージビルドが停止する問題を修正する新しい権限が追加されました。

 2021 年 8 月 11 日

AWSImageBuilderFullAccess – 既存ポリシーへの更新

Image Builder は、フルアクセスロールに次の変更を加えました。

  • ec2:DescribeInstanceTypeOffereingsを許可するパーミッションを追加。

  • Image Builder コンソールがアカウントで使用可能なインスタンスタイプを正確に反映できるようにするため ec2:DescribeInstanceTypeOffereings の呼び出し権限を追加しました。

 2021 年 4 月 13 日

Image Builder が変更の追跡を開始しました

Image Builder が の変更の追跡を開始しました AWS マネージドポリシー。

 2021 年 4 月 02 日