翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Identity and Access Management と Image Builder の統合
トピック
対象者
AWS Identity and Access Management (IAM) の使用方法は、Image Builder で行う作業によって異なります。
サービスユーザー - 業務に Image Builder サービスを使用する場合、管理者が必要な認証情報と権限を提供します。より多くの Image Builder 機能を使用するようになると、追加のパーミッションが必要になる場合があります。アクセスの管理方法を理解すると、管理者に適切なアクセス許可をリクエストするのに役に立ちます。Image Builder の機能にアクセスできない場合は、Image Builder での IAM 問題のトラブルシューティング を参照してください。
サービス管理者 - 会社で Image Builder リソースを管理している場合、おそらく Image Builder にフルアクセスできます。サービス利用者がアクセスすべき Image Builder の機能やリソースを決定するのはあなたの仕事です。その後、IAM 管理者にリクエストを送信して、サービスユーザーの権限を変更する必要があります。このページの情報を点検して、IAM の基本概念を理解してください。Image Builder で IAM を使用する方法については、Image Builder と IAM ポリシーおよびロールとの連携 を参照してください。
IAM 管理者 - IAM 管理者であれば、Image Builder へのアクセスを管理するためのポリシーの書き方について詳しく知りたいかもしれません。IAM で使用できる Image Builder ID ベースのポリシーの例は、Image Builder のアイデンティティベースのポリシーを参照してください。
アイデンティティを使用した認証
でユーザーとプロセスに認証を提供する方法の詳細については AWS アカウント、「IAM ユーザーガイド」の「アイデンティティ」を参照してください。
Image Builder 内のリソースベースのポリシー
コンポーネントの作成方法については、コンポーネントを使用した Image Builder イメージのカスタマイズを参照してください。
Image Builder コンポーネントへのアクセスを特定の IP アドレスに制限する
以下の例では、コンポーネントに対して Image Builder 操作を実行する権限を任意のユーザーに付与しています。ただし、リクエストは条件で指定された IP アドレス範囲からのリクエストである必要があります。
このステートメントの条件では、54.240.143.* の範囲のインターネットプロトコルバージョン 4 (IPv4) IP アドレスが許可されています。ただし、54.240.143.188 を除きます。
Condition ブロックは、 NotIpAddress IpAddress条件と aws:SourceIp条件キーを使用します。これは、 AWS全体の条件キーです。これらの条件キーの詳細については、「ポリシーでの条件の指定」を参照してください。aws:sourceIpIPv4 値は標準の CIDR 表記を使用します。詳細については、IAM ユーザーガイドの IP アドレス条件演算子 を参照してください。
{ "Version": "2012-10-17", "Id": "IBPolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Allow", "Principal": "*", "Action": "imagebuilder.GetComponent:*", "Resource": "arn:aws:imagebuilder:::examplecomponent/*", "Condition": { "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}, "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} } } ] }
