翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
EC2 Image Builder の AWS マネージドポリシーを使用する
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) が更新されます。 AWS は、新しい AWS のサービス が起動されたとき、または既存のサービスで新しいAPIオペレーションが利用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。
詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。
AWSImageBuilderFullAccess ポリシー
AWSImageBuilderFullAccess ポリシーは、アタッチされているロールの Image Builder リソースへのフルアクセスを付与し、ロールが Image Builder リソースを一覧表示、説明、作成、更新、削除できるようにします。また、このポリシー AWS のサービス は、リソースの検証や、 でのアカウントの現在のリソースの表示など、必要な関連 にターゲットを絞ったアクセス許可を付与します AWS Management Console。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
Image Builder — ロールが Image Builder リソースを一覧表示、説明、作成、更新、削除できるように、管理者権限が付与されます。
-
Amazon EC2 – リソースの存在を検証したり、アカウントに属するリソースのリストを取得したりするために必要な Amazon EC2 Describe アクションへのアクセスが許可されます。
-
IAM – 名前に「imagebuilder」が含まれているインスタンスプロファイルを取得して使用し、
iam:GetRoleAPIアクションを介して Image Builder サービスにリンクされたロールの存在を検証し、Image Builder サービスにリンクされたロールを作成するためのアクセス許可が付与されます。 -
License Manager — リソースのライセンス構成またはライセンスを一覧表示するためのアクセス権が付与されます。
-
Amazon S3 — アカウントに属するバケットと、名前に「imagebuilder」が含まれる Image Builder バケットを一覧表示するためのアクセスが許可されます。
-
Amazon SNS – 「imagebuilder」を含むトピックのトピック所有権を検証SNSするために、書き込みアクセス許可が Amazon に付与されます。
このポリシーのアクセス許可を表示するには、「」を参照してください。 AWSImageBuilderFullAccess AWS 「 マネージドポリシーリファレンス」の「」。
AWSImageBuilderReadOnlyAccess ポリシー
AWSImageBuilderReadOnlyAccess ポリシーは、すべての Image Builder リソースへの読み取り専用アクセスを提供します。Image Builder のサービスにリンクされたロールが iam:GetRoleAPIアクションを介して存在することを確認するアクセス許可が付与されます。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
Image Builder — Image Builder リソースへの読み取り専用アクセスに対してアクセスが許可されます。
-
IAM –
iam:GetRoleAPIアクションを介して Image Builder サービスにリンクされたロールの存在を検証するためのアクセス許可が付与されます。
このポリシーのアクセス許可を表示するには、「」を参照してください。 AWSImageBuilderReadOnlyAccess AWS 「 マネージドポリシーリファレンス」の「」。
AWSServiceRoleForImageBuilder ポリシー
AWSServiceRoleForImageBuilder ポリシーは、Image Builder AWS のサービス がユーザーに代わって を呼び出すことを許可します。
アクセス許可の詳細
このポリシーは、ロールが Systems Manager で作成されたときに、Image Builder サービスリンクロールにアタッチされます。Image Builder サービスリンクロールの詳細については、Image Builder IAMのサービスにリンクされたロールを使用するを参照してください。
ポリシーには以下のアクセス権限が含まれています。
-
CloudWatch ログ – 名前が で始まる CloudWatch ロググループに対してログを作成してアップロードするためのアクセス許可が付与されます
/aws/imagebuilder/。 -
Amazon EC2 – Image Builder は、作成または使用されているイメージ、EC2インスタンス、およびボリュームに
CreatedBy: EC2 Image Builderまたは のタグが付いている限り、必要に応じて、関連するスナップショット、ボリューム、ネットワークインターフェイス、サブネット、セキュリティグループ、ライセンス設定、キーペアを使用して、アカウントでイメージを作成し、インスタンスを起動するためのアクセス許可が付与されますCreatedBy: EC2 Fast Launch。Image Builder は、Amazon EC2イメージ、インスタンス属性、インスタンスステータス、アカウントで使用できるインスタンスタイプ、起動テンプレート、サブネット、ホスト、および Amazon EC2リソースのタグに関する情報を取得できます。
Image Builder はイメージ設定を更新して、イメージに
CreatedBy: EC2 Image Builderのタグが付けられているアカウント内の Windows インスタンスの高速起動を有効または無効にすることができます。さらに、Image Builder は、アカウントで実行されているインスタンスの起動、停止、終了、Amazon EBSスナップショットの共有、イメージの作成と更新、テンプレートの起動、既存のイメージの登録解除、タグの追加、 経由でアクセス許可を付与したアカウント間でのイメージのレプリケートを行うことができます。 Ec2ImageBuilderCrossAccountDistributionAccess ポリシー。前述のように、これらすべてのアクションには Image Builder のタグ付けが必要です。
-
Amazon ECR – Image Builder には、コンテナイメージの脆弱性スキャンに必要なリポジトリを作成し、作成したリソースにタグを付けてオペレーションの範囲を制限するためのアクセス許可が付与されます。また、Image Builder が脆弱性のスナップショットを取得した後、スキャンのために作成したコンテナイメージを削除するためのアクセス権も付与されます。
-
EventBridge – Image Builder には、 EventBridge ルールを作成および管理するためのアクセス許可が付与されます。
-
IAM – Image Builder がアカウント内の任意のロールを Amazon EC2および VM Import/Export に渡すためのアクセス許可が付与されます。
-
Amazon Inspector — Image Builder には、Amazon Inspector がビルドインスタンスのスキャンをいつ完了するかを決定し、それを許可するように設定されたイメージの結果を収集するためのアクセス権限が付与されます。
-
AWS KMS – Amazon ボリュームを暗号化、復号、または再暗号化EBSするためのアクセスが Amazon に付与されますEBS。これは、Image Builder がイメージをビルドするときに暗号化されたボリュームが確実に機能するようにするために重要です。
-
License Manager — Image Builder には、
license-manager:UpdateLicenseSpecificationsForResourceを介して License Manager の仕様を更新するためのアクセス権が付与されます。 -
Amazon SNS – アカウント内のすべての Amazon SNSトピックに書き込みアクセス許可が付与されます。
-
Systems Manager - Image Builder には、Systems Manager のコマンドとその呼び出しの一覧の取得、インベントリエントリの一覧の取得、インスタンス情報とオートメーションの実行ステータスの記述、インスタンス配置のサポートに必要なホストの記述、およびコマンド呼び出しの詳細の取得を行うためのアクセス権限が付与されます。Image Builder は自動化シグナルを送信し、アカウント内の任意のリソースの自動化実行を停止することもできます。
Image Builder は、
AWS-RunPowerShellScript、AWS-RunShellScript、またはAWSEC2-RunSysprepのスクリプトファイルについて、"CreatedBy": "EC2 Image Builder"のタグが付けられたインスタンスに対して実行コマンドを発行することができます。Image Builder では、名前がImageBuilderで始まる自動化ドキュメントの Systems Manager 自動化実行をアカウント内で開始できます。Image Builder では、関連付けドキュメントが
AWS-GatherSoftwareInventoryである限り、アカウント内の任意のインスタンスの State Manager 関連付けを作成または削除したり、アカウントに Systems Manager サービスリンクロールを作成したりすることもできます。 -
AWS STS – Image Builder が という名前のロールを引き受けるためのアクセス許可が付与されます EC2ImageBuilderDistributionCrossAccountRole から、ロールの信頼ポリシーで許可されている任意のアカウントに。これは、クロスアカウントのイメージ配信に使用されます。
このポリシーのアクセス許可を表示するには、「」を参照してください。 AWSServiceRoleForImageBuilder AWS 「 マネージドポリシーリファレンス」の「」。
Ec2ImageBuilderCrossAccountDistributionAccess ポリシー
Ec2ImageBuilderCrossAccountDistributionAccess ポリシーは、Image Builder がターゲットリージョンのアカウント間でイメージを配布するためのアクセス許可を付与します。さらに、Image Builder はアカウント内の任意の Amazon EC2イメージを記述、コピー、およびタグを適用できます。このポリシーは、 ec2:ModifyImageAttributeAPIアクションを介してAMIアクセス許可を変更する機能も付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
Amazon EC2 – Amazon には、イメージの属性をEC2記述、コピー、変更したり、アカウント内の Amazon EC2イメージのタグを作成したりするためのアクセス許可が付与されます。
このポリシーのアクセス許可を表示するには、「」を参照してください。 Ec2ImageBuilderCrossAccountDistributionAccess AWS 「 マネージドポリシーリファレンス」の「」。
EC2ImageBuilderLifecycleExecutionPolicy ポリシー
EC2ImageBuilderLifecycleExecutionPolicy ポリシーは、Image Builder が Image Builder イメージリソースとその基盤となるリソース (、スナップショット) を非推奨、無効化、削除などのアクションを実行してAMIs、イメージライフサイクル管理タスクの自動ルールをサポートするアクセス許可を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
Amazon EC2 – Amazon は、 でタグ付けされたアカウントで Amazon マシンイメージ (AMIs) に対して以下のアクションを実行EC2するためのアクセス許可を付与されます
CreatedBy: EC2 Image Builder。-
を有効または無効にしますAMI。
-
イメージ廃止を有効化および無効化する。
-
を記述して登録解除しますAMI。
-
AMI イメージ属性を記述および変更します。
-
に関連付けられているボリュームスナップショットを削除しますAMI。
-
リソースのタグを取得する。
-
非推奨AMIにするために からタグを追加または削除します。
-
-
Amazon ECR – Amazon は
LifecycleExecutionAccess: EC2 Image Builder、 タグを使用してECRリポジトリに対して次のバッチアクションを実行ECRするためのアクセス許可が付与されます。バッチアクションは、自動コンテナイメージライフサイクルルールをサポートします。-
ecr:BatchGetImage -
ecr:BatchDeleteImage
アクセスは、 でタグ付けされたリポジトリのECRリポジトリレベルで許可されます
LifecycleExecutionAccess: EC2 Image Builder。 -
-
AWS リソースグループ – Image Builder には、タグに基づいてリソースを取得するためのアクセス許可が付与されます。
-
EC2 Image Builder – Image Builder には、Image Builder イメージリソースを削除するためのアクセス権が付与されます。
このポリシーのアクセス許可を表示するには、「」を参照してください。 EC2ImageBuilderLifecycleExecutionPolicy AWS 「 マネージドポリシーリファレンス」の「」。
EC2InstanceProfileForImageBuilder ポリシー
EC2InstanceProfileForImageBuilder ポリシーは、EC2インスタンスが Image Builder と連携するために必要な最小限のアクセス許可を付与します。これには、Systems Manager エージェントを使用するために必要な権限は含まれていません。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
CloudWatch ログ – 名前が で始まる CloudWatch すべてのロググループにログを作成してアップロードするためのアクセス許可が付与されます
/aws/imagebuilder/。 -
Image Builder – Image Builder または AWS Marketplace コンポーネントを取得するためのアクセス権が付与されます。
-
AWS KMS – Image Builder コンポーネントが で暗号化されている場合、そのコンポーネントを復号するためのアクセス許可が付与されます AWS KMS。
-
Amazon S3 — 名前が
ec2imagebuilder-で始まる Amazon S3 バケットに保存されているオブジェクトを取得するためのアクセスが許可されます。
このポリシーのアクセス許可を表示するには、「」を参照してください。 EC2InstanceProfileForImageBuilder AWS 「 マネージドポリシーリファレンス」の「」。
EC2InstanceProfileForImageBuilderECRContainerBuilds ポリシー
EC2InstanceProfileForImageBuilderECRContainerBuilds ポリシーは、Image Builder を使用して Docker イメージを構築し、そのイメージを Amazon ECRコンテナリポジトリに登録して保存するときに、EC2インスタンスに必要な最小限のアクセス許可を付与します。これには、Systems Manager エージェントを使用するために必要な権限は含まれていません。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
CloudWatch ログ – 名前が で始まる CloudWatch すべてのロググループにログを作成してアップロードするためのアクセス許可が付与されます
/aws/imagebuilder/。 -
Amazon ECR – Amazon には、コンテナイメージECRの取得、登録、保存、認可トークンの取得のためのアクセス許可が付与されます。
-
Image Builder — Image Builder コンポーネントまたはコンテナレシピを取得するためのアクセス権が付与されます。
-
AWS KMS – Image Builder コンポーネントまたはコンテナレシピが を介して暗号化されている場合、復号するためのアクセス許可が付与されます AWS KMS。
-
Amazon S3 — 名前が
ec2imagebuilder-で始まる Amazon S3 バケットに保存されているオブジェクトを取得するためのアクセスが許可されます。
このポリシーのアクセス許可を表示するには、「」を参照してください。 EC2InstanceProfileForImageBuilderECRContainerBuilds AWS 「 マネージドポリシーリファレンス」の「」。
Image Builder の AWS マネージドポリシーの更新
このセクションでは、このサービスがこれらの変更の追跡を開始してからの Image Builder の AWS マネージドポリシーの更新に関する情報を提供します。このページの変更に関する自動アラートについては、Image Builder ドキュメント履歴ページのRSSフィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
EC2InstanceProfileForImageBuilder - ポリシーを更新 |
Image Builder は、Image Builder が AWS Marketplace コンポーネントを取得できるように |
2024 年 12 月 2 日 |
|
EC2ImageBuilderLifecycleExecutionPolicy - 新しいポリシー |
Image Builder は、イメージライフサイクル管理の権限を含む新しい |
2023 年 11 月 17 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder でインスタンス配置のサポートを提供するために、サービスロールに次の変更が加えられました。
|
2023 年 10 月 19 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder でインスタンス配置のサポートを提供するために、サービスロールに次の変更が加えられました。
|
2023 年 9 月 28 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder は、Image Builder ワークフローが AMIとECRコンテナイメージビルドの両方の脆弱性結果を収集できるように、サービスロールに次の変更を加えました。新しいアクセス許可は、CVE検出およびレポート機能をサポートします。
|
2023 年 3 月 30 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder は、サービスロールに次の変更を加えました。
|
2022 年 3 月 22 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder は、サービスロールに次の変更を加えました。
|
2022 年 2 月 21 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder は、サービスロールに次の変更を加えました。
|
2021 年 11 月 20 日 |
|
AWSServiceRoleForImageBuilder – 既存ポリシーへの更新 |
Image Builder には、複数のインベントリ関連付けによってイメージビルドが停止する問題を修正する新しい権限が追加されました。 |
2021 年 8 月 11 日 |
|
AWSImageBuilderFullAccess – 既存ポリシーへの更新 |
Image Builder は、フルアクセスロールに次の変更を加えました。
|
2021 年 4 月 13 日 |
|
Image Builder が変更の追跡を開始しました |
Image Builder が AWS マネージドポリシーの変更の追跡を開始しました。 |
2021 年 4 月 02 日 |
