翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Identity and Access Management と Image Builder の統合
**Topics**
+ [オーディエンス](#security-iam-audience)
+ [アイデンティティを使用した認証](#security-iam-authentication)
+ [Image Builder と IAM ポリシーおよびロールとの連携](security_iam_service-with-iam.md)
+ [Image Builder で S3 バケットダウンロードアクセスのデータ境界を管理する](security-iam-data-perimeter.md)
+ [Image Builder のアイデンティティベースのポリシー](security-iam-identity-based-policies.md)
+ [カスタムワークフローの IAM アクセス許可](#security-iam-custom-workflows)
+ [Image Builder 内のリソースベースのポリシー](#security-iam-resource-based-policies)
+ [EC2 Image Builder の AWS マネージドポリシーを使用する](security-iam-awsmanpol.md)
+ [Image Builder での IAM サービスリンクロールの使用](image-builder-service-linked-role.md)
+ [Image Builder での IAM 問題のトラブルシューティング](security_iam_troubleshoot.md)
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[Image Builder での IAM 問題のトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[Image Builder と IAM ポリシーおよびロールとの連携](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[Image Builder のアイデンティティベースのポリシー](security_iam_service-with-iam.md#security_iam_id-based-policy-examples)」を参照)
## アイデンティティを使用した認証
でユーザーとプロセスに認証を提供する方法の詳細については AWS アカウント、*IAM ユーザーガイド*の[「アイデンティティ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」を参照してください。
## カスタムワークフローの IAM アクセス許可
などの特定のステップアクションでカスタムワークフローを使用する場合[RegisterImage](wfdoc-step-actions.md#wfdoc-step-action-register-image)、標準の Image Builder 管理ポリシーを超えて追加の IAM アクセス許可が必要になる場合があります。このセクションでは、カスタムワークフローステップアクションに必要な追加のアクセス許可について説明します。
### RegisterImage ステップアクションのアクセス許可
`RegisterImage` ステップアクションには、AMIsし、オプションでスナップショットタグを取得するための特定の Amazon EC2 アクセス許可が必要です。`includeSnapshotTags` パラメータを使用する場合は、スナップショットを記述するための追加のアクセス許可が必要です。
**RegisterImage ステップアクションに必要なアクセス許可:**
すべてのリソースで、次のアクションを許可します。
+ `ec2:RegisterImage`
+ `ec2:DescribeSnapshots`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RegisterImage",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::image/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "RegisterImage"
}
}
}
]
}
```
**アクセス許可の詳細:**
+ `ec2:RegisterImage` - スナップショットから新しい AMIs を登録するために必要です
+ `ec2:DescribeSnapshots` - `includeSnapshotTags: true`を使用して AMI タグとマージするためのスナップショットタグを取得する場合に必要です
+ `ec2:CreateTags` - Image Builder のデフォルトタグとマージされたスナップショットタグの両方を含む、登録された AMI にタグを適用するために必要です
**注記**
アクセス`ec2:DescribeSnapshots`許可は、 `includeSnapshotTags`パラメータが に設定されている場合にのみ使用されます`true`。この機能を使用しない場合は、このアクセス許可を省略できます。
**タグマージ動作:**
`includeSnapshotTags` を有効にすると、RegisterImage ステップアクションは次のようになります。
+ ブロックデバイスマッピングで指定された最初のスナップショットからタグを取得する
+ AWS 予約済みタグ (「aws:」で始まるキーを持つタグ) を除外する
+ スナップショットタグを Image Builder のデフォルトの AMI 登録タグとマージする
+ タグキーの競合時に Image Builder タグを優先する
## Image Builder 内のリソースベースのポリシー
コンポーネントの作成方法については、[コンポーネントを使用した Image Builder イメージのカスタマイズ](manage-components.md)を参照してください。
### Image Builder コンポーネントへのアクセスを特定の IP アドレスに制限する
以下の例では、コンポーネントに対して Image Builder 操作を実行する権限を任意のユーザーに付与しています。ただし、リクエストは条件で指定された IP アドレス範囲からのリクエストである必要があります。
このステートメントの条件では、54.240.143.\$1 の範囲のインターネットプロトコルバージョン 4 (IPv4) IP アドレスが許可されています。ただし、54.240.143.188 を除きます。
`Condition` ブロックは、 `IpAddress` `NotIpAddress`条件と `aws:SourceIp`条件キーを使用します。これは、 AWS全体の条件キーです。これらの条件キーの詳細については、「[ポリシーでの条件の指定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html)」を参照してください。`aws:sourceIp`IPv4 値は標準の CIDR 表記を使用します。詳細については、[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress)の *IP アドレス条件演算子* を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "IBPolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Action": "imagebuilder:GetComponent",
"Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
```
------