翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Identity and Access Management と Image Builder の統合
**Topics**
+ [オーディエンス](#security-iam-audience)
+ [アイデンティティを使用した認証](#security-iam-authentication)
+ [Image Builder と IAM ポリシーおよびロールとの連携](security_iam_service-with-iam.md)
+ [Image Builder で S3 バケットダウンロードアクセスのデータ境界を管理する](security-iam-data-perimeter.md)
+ [Image Builder のアイデンティティベースのポリシー](security-iam-identity-based-policies.md)
+ [カスタムワークフローの IAM アクセス許可](#security-iam-custom-workflows)
+ [Image Builder 内のリソースベースのポリシー](#security-iam-resource-based-policies)
+ [EC2 Image Builder の AWS マネージドポリシーを使用する](security-iam-awsmanpol.md)
+ [Image Builder での IAM サービスリンクロールの使用](image-builder-service-linked-role.md)
+ [Image Builder での IAM 問題のトラブルシューティング](security_iam_troubleshoot.md)
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[Image Builder での IAM 問題のトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[Image Builder と IAM ポリシーおよびロールとの連携](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[Image Builder のアイデンティティベースのポリシー](security_iam_service-with-iam.md#security_iam_id-based-policy-examples)」を参照)
## アイデンティティを使用した認証
でユーザーとプロセスに認証を提供する方法の詳細については AWS アカウント、*IAM ユーザーガイド*の[「アイデンティティ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」を参照してください。
# Image Builder と IAM ポリシーおよびロールとの連携
IAM を使用して Image Builder へのアクセスを管理する前に、Image Builder で使用できる IAM 機能について確認してください。
Image Builder およびその他の AWS のサービスがほとんどの IAM 機能と連携する方法の概要については、「IAM *ユーザーガイド*」の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## Image Builder のアイデンティティベースのポリシー
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### Image Builder のアイデンティティベースのポリシー例
Image Builder ID ベースのポリシーの例を見るには、[Image Builder のアイデンティティベースのポリシー](#security_iam_id-based-policy-examples)を参照してください。
## Image Builder 内のリソースベースのポリシー
**リソースベースのポリシーのサポート:** あり
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM *ロールの信頼ポリシー*や Amazon S3 *バケットポリシー*があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。
クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。詳細については、IAM ユーザーガイド**の[IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)を参照してください。
## Image Builder ポリシーアクション
**ポリシーアクションのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Image Builder のアクションの一覧は、Service Authorization Reference の [EC2 Image Builder で定義されたアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions)を参照してください。
Image Builder のポリシーアクションは、アクションの前に次の接頭辞を使用します:
```
imagebuilder
```
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。
```
"Action": [
"imagebuilder:action1",
"imagebuilder:action2"
]
```
Image Builder ID ベースのポリシーの例を見るには、[Image Builder のアイデンティティベースのポリシー](#security_iam_id-based-policy-examples)を参照してください。
## Image Builder ポリシーリソース
**ポリシーリソースのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
Image Builder のリソースタイプとその ARN の一覧は、Service Authorization Reference の [Resources defined by EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-resources-for-iam-policies) を参照してください。各リソースの ARN をどのアクションで指定できるかについては、[EC2 Image Builder で定義されているアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions)を参照してください。
Image Builder ID ベースのポリシーの例を見るには、[Image Builder のアイデンティティベースのポリシー](#security_iam_id-based-policy-examples)を参照してください。
## Image Builder のポリシー条件キー
**サービス固有のポリシー条件キーのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Image Builder の条件キーの一覧は、*Service Authorization Reference* の [Condition keys for EC2 Image Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-policy-keys) を参照してください。どのアクションとリソースで条件キーを使用できるかについては、[EC2 Image Builder で定義されたアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2imagebuilder.html#amazonec2imagebuilder-actions-as-permissions)を参照してください。
Image Builder ID ベースのポリシーの例を見るには、[Image Builder のアイデンティティベースのポリシー](#security_iam_id-based-policy-examples)を参照してください。
## Image Builder の ACL
**ACL のサポート:** なし
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
## Image Builder 付き
**ABAC (ポリシー内のタグ) のサポート:** 一部
属性ベースのアクセスコントロール (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。
タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。
ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
## Image Builder での一時的な認証情報の使用
**一時的な認証情報のサポート:** あり
一時的な認証情報は AWS 、リソースへの短期的なアクセスを提供し、フェデレーションまたはスイッチロールの使用時に自動的に作成されます。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## Image Builder のクロスサービスプリンシパル権限
**転送アクセスセッション (FAS) のサポート:** あり
転送アクセスセッション (FAS) は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする を使用します。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。
## Image Builder のサービスリンクロール
**サービスロールのサポート:** あり
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。
**警告**
サービスロールの権限を変更すると、Image Builder の機能が壊れる可能性があります。サービスロールの編集は、Image Builder のガイダンスに従って行ってください。
## Image Builder のサービスリンクロール
**サービスリンクロールのサポート:** あり
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集することはできません。
Image Builder サービスリンクロールの詳細については、[Image Builder での IAM サービスリンクロールの使用](image-builder-service-linked-role.md) を参照してください。
## Image Builder のアイデンティティベースのポリシー
IAM アイデンティティベースポリシーでは、許可または拒否されるアクションとリソースを指定し、アクションが許可または拒否される条件も指定できます。Image Builder は、特定のアクション、リソース、条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、*IAM ユーザーガイドの*「[Amazon EC2 Image Builder のアクション、リソース、および条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2imagebuilder.html)」を参照してください。
### アクション
Image Builder のポリシーアクションは、アクションの前に以下の接頭辞を使用します: `imagebuilder:`。ポリシーステートメントには`Action` または `NotAction` 要素を含める必要があります。Image Builder は、このサービスで実行できるタスクを記述した独自のアクションセットを定義しています。
単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。
```
"Action": [
"imagebuilder:action1",
"imagebuilder:action2"
]
```
ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`List` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "imagebuilder:List*"
```
Image Builder のアクションのリストは、IAM ユーザーガイドの [AWS のサービスのアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)を参照してください。
### ポリシーを使用したアクセスの管理
ポリシーを作成し、IAM ID または AWS リソースにアタッチ AWS して でアクセスを管理する方法の詳細については、*IAM ユーザーガイド*の[「ポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)」を参照してください。
インスタンスプロファイルに関連付ける IAM ロールには、イメージに含まれるビルドコンポーネントとテストコンポーネントを実行する権限が必要です。インスタンスプロファイルに関連付けられている IAM ロールに対し、次の IAM ロールポリシーをアタッチする必要があります。
+ EC2InstanceProfileForImageBuilder
+ EC2InstanceProfileForImageBuilderECRContainerBuilds
+ AmazonSSMManagedInstanceCore
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
ARN は、リソースを識別し、名前が一意であることを確認するのに役立つ複数のノードで構成されます。名前の最後のノードには、リソースタイプ、名前、および ID の書式設定のいくつかのバリエーションが含まれます。Image Builder がリソースを作成するときは、次の形式を使用します。
`arn:aws:imagebuilder:region:owner:resource-type/resource-name/version/build-version`
**注記**
ビルドバージョンは、必ずしもリソース ARN に含まれているわけではありません。ただし、[GetComponent](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_GetComponent.html) などの一部の API オペレーションでは、取得するリソースを一意に識別するためにビルドバージョンが必要です。
ベースイメージやコンポーネントなど、Image Builder がレシピで使用するリソースの場合、所有者ノードは次のいずれかになります。
+ リソース所有者のアカウント番号
+ Amazon マネージドリソースの場合: `aws`
+ AWS Marketplace リソースの場合: `aws-marketplace`
次の例は、Linux に Amazon CloudWatch エージェントをインストールするためのマネージドコンポーネントの ARN を示しています。
```
arn:aws:imagebuilder:us-east-1:aws:component/amazon-cloudwatch-agent-linux/1.0.1/1
```
この例では、 からの架空のマネージドコンポーネントの ARN を示しています AWS Marketplace。
```
arn:aws:imagebuilder:us-east-1:aws-marketplace:component/example-linux-software-component/1.0.1
```
所有権フィルターの使用など、コンポーネントのリストを取得する方法の詳細については、「」を参照してください[Image Builder コンポーネントの一覧表示](component-details.md#list-components)。
**ARN の例**
以下は、IAM ポリシーで指定できるリソース ARNs の例です。
+ インスタンス ARN
```
"Resource": "arn:aws:imagebuilder:us-east-1:111122223333:instance/i-1234567890abcdef0"
```
+ 特定のアカウントのすべてのインスタンスを指定するワイルドカード (\$1) の例
```
"Resource": "arn:aws:imagebuilder:us-east-1:111122223333:instance/*"
```
+ マネージドイメージワークフローのすべてのバージョンを指定するワイルドカード (\$1) の例
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:workflow/build/build-image/*"
```
+ マネージドイメージ ARN
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:image/amazon-linux-2-arm64/2024.12.17/1"
```
+ マネージドイメージのすべてのバージョンを指定するワイルドカード (\$1) の例
```
"Resource": "arn:aws:imagebuilder:us-east-1:aws:image/amazon-linux-2-arm64/x.x.x"
```
EC2 Image Builder API アクションの多くは、複数のリソースを使用します。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
]
```
### 条件キー
Image Builder はサービス固有の条件キーを提供し、いくつかのグローバル条件キーの使用をサポートします。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。以下のサービス別条件キーがある。
#### imagebuilder:CreatedResourceTagKeys
[文字列演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)で動作します。
リクエストにタグキーがあるかどうかでアクセスをフィルタするには、このキーを使用します。これにより、Image Builder が作成するリソースを管理できます。
**利用可能性** - このキーは`CreateInfrastrucutreConfiguration`と`UpdateInfrastructureConfiguration`の API でのみ利用可能です。
#### imagebuilder:CreatedResourceTag/
[文字列演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)で動作します。
このキーを使用して、Image Builder が作成したリソースに添付されているタグのキーと値のペアでアクセスをフィルタリングします。これにより、定義済みのタグを使用して Image Builder リソースを管理できます。
**利用可能性** - このキーは`CreateInfrastrucutreConfiguration`と`UpdateInfrastructureConfiguration`の API でのみ利用可能です。
#### imagebuilder:LifecyclePolicyResourceType
[文字列演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)で動作します。
このキーを使用して、リクエストで指定されたライフサイクルリソースタイプでアクセスをフィルタリングします。
このキーの値は、 `AMI_IMAGE`または のいずれかです`CONTAINER_IMAGE`。
**利用可能性** - このキーは`CreateLifecyclePolicy`と`UpdateLifecyclePolicy`の API でのみ利用可能です。
#### imagebuilder:Ec2MetadataHttpTokens
[文字列演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)で動作します。
このキーを使用して、リクエストで指定された EC2 インスタンスメタデータの HTTP トークン要件によってアクセスをフィルタリングします。
このキーの値は`optional`か`required`のどちらかなります。
**利用可能性** - このキーは`CreateInfrastrucutreConfiguration`と`UpdateInfrastructureConfiguration`の API でのみ利用可能です。
#### imagebuilder:StatusTopicArn
[文字列演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)で動作します。
このキーを使用して、端末の状態通知を公開するリクエストで、SNS トピック ARN によるアクセスをフィルタリングします。
**利用可能性** - このキーは`CreateInfrastrucutreConfiguration`と`UpdateInfrastructureConfiguration`の API でのみ利用可能です。
### 例
Image Builder ID ベースのポリシーの例を見るには、[Image Builder のアイデンティティベースのポリシー](security-iam-identity-based-policies.md)を参照してください。
## Image Builder 内のリソースベースのポリシー
リソースベースのポリシーは、指定されたプリンシパルが Image Builder リソースに対して、どのようなアクションをどのような条件で実行できるかを指定するものです。Image Builder は、コンポーネント、イメージ、およびイメージレシピのリソースベースのアクセス権限ポリシーをサポートします。リソースベースのポリシーでは、リソースごとに他の アカウントに使用許可を付与することができます。リソースベースのポリシーを使用して、 AWS サービスがコンポーネント、イメージ、イメージレシピにアクセスすることを許可することもできます。
リソースベースのポリシーをコンポーネント、イメージ、またはイメージレシピにアタッチする方法については、「[Image Builder リソースを と共有する AWS RAM](manage-shared-resources.md)」を参照してください。
**注記**
Image Builder を使用してリソースポリシーを更新すると、更新は RAM コンソールに表示されます。
## Image Builder タグに基づく認可
タグを Image Builder リソースに添付したり、リクエストでタグを Image Builder に渡すことができます。タグに基づいてアクセスを管理するには、`imagebuilder:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。Image Builder リソースのタグ付けの詳細については、[からリソースにタグを付ける AWS CLI](tag-resources.md#cli-tag-resource)を参照してください。
## Image Builder IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可 AWS アカウント を持つ 内のエンティティです。
### Image Builder での一時的な認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
### サービスリンクロール
[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると AWS のサービス 、 は他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。管理者権限を持つユーザーは、サービスリンクロールの権限を表示することはできますが、編集することはできません。
Image Builder はサービスリンクロールをサポートします。Image Builder サービスリンクロールの作成または管理については、[Image Builder での IAM サービスリンクロールの使用](image-builder-service-linked-role.md)を参照してください。
### サービス役割
この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。これは、管理者権限を持つユーザーがこのロールの権限を変更できることを意味します。ただし、それにより、サービスの機能が損なわれる場合があります。
# Image Builder で S3 バケットダウンロードアクセスのデータ境界を管理する
EC2 Image Builder は、アカウントで Image Builder ワークロードを実行するために必要なダウンロード可能なリソースを含む AWS サービス所有の S3 バケットの 2 つのクラスを維持します。データ境界を使用して環境内の Amazon S3 へのアクセスを制御する場合は、これらのバケットへのアクセスを明示的に許可する必要がある場合があります。これらのバケットを許可リストに登録するには、Amazon S3 へのアクセス制御の方法に応じて、バケット ARN またはバケット URL を使用します。
**コンポーネント管理ブートストラップスクリプト (必須)**
この S3 バケットには、イメージの作成に使用される EC2 インスタンスで AWSTOE アプリケーションをセットアップするためのブートストラップスクリプトが含まれています。Image Builder では、新しいイメージのビルドとテストをサポートするために、スクリプトをダウンロードするためのアクセスが必要です。
+ **S3 バケット ARN:** `arn::s3:::ec2imagebuilder-managed-resources--prod`
+ **S3 バケット URL:** `https://ec2imagebuilder-managed-resources-.s3..`
**マネージドコンポーネント**
この S3 バケットには、Amazon マネージドコンポーネントのパッケージペイロードが含まれています。Image Builder には、レシピで設定されているマネージドコンポーネントをダウンロードするためのアクセスが必要です。
+ **S3 バケット ARN:** `arn::s3:::ec2imagebuilder-toe--prod`
+ **S3 バケット URL:** `https://ec2imagebuilder-toe-.s3..`
# Image Builder のアイデンティティベースのポリシー
**Topics**
+ [アイデンティティベースポリシーのベストプラクティス](#security-iam-service-policy-best-practices)
+ [Image Builder コンソールの使用](#sec-iam-id-based-policies-using-console)
## アイデンティティベースポリシーのベストプラクティス
アイデンティティベースのポリシーは、アカウント内の Image Builder リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## Image Builder コンソールの使用
EC2 Image Builder のコンソールにアクセスするには、最低限の権限が必要です。これらの権限により、 AWS アカウントにある Image Builder リソースの一覧を表示し、詳細を確認することができます。最小限必要な許可よりも厳しく制限されたアイデンティティベースポリシーを作成すると、そのポリシーを添付したエンティティ (IAM ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
IAM エンティティが Image Builder コンソールを使用できるようにするには、次のいずれかの管理 AWS ポリシーをアタッチする必要があります。
+ [AWSImageBuilderReadOnlyAccess ポリシー](security-iam-awsmanpol.md#sec-iam-manpol-AWSImageBuilderReadOnlyAccess)
+ [AWSImageBuilderFullAccess ポリシー](security-iam-awsmanpol.md#sec-iam-manpol-AWSImageBuilderFullAccess)
Image Builder のマネージドポリシーの詳細については、[EC2 Image Builder の AWS マネージドポリシーを使用する](security-iam-awsmanpol.md) を参照してください。
**重要**
Image Builder サービスリンクロールを作成するには、**AWSImageBuilderFullAccess**ポリシーが必要です。このポリシーを IAM エンティティにアタッチするときは、以下のカスタムポリシーもアタッチする必要があります。また、使用したくて、リソース名には `imagebuilder` が含まれていないリソースを含める必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:*:*:*imagebuilder*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetInstanceProfile"
],
"Resource": "arn:aws:iam::*:instance-profile/*imagebuilder*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:instance-profile/*imagebuilder*",
"arn:aws:iam::*:role/*imagebuilder*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ec2.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:s3::*:*imagebuilder*"
}
]
}
```
------
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
## カスタムワークフローの IAM アクセス許可
などの特定のステップアクションでカスタムワークフローを使用する場合[RegisterImage](wfdoc-step-actions.md#wfdoc-step-action-register-image)、標準の Image Builder 管理ポリシーを超えて追加の IAM アクセス許可が必要になる場合があります。このセクションでは、カスタムワークフローステップアクションに必要な追加のアクセス許可について説明します。
### RegisterImage ステップアクションのアクセス許可
`RegisterImage` ステップアクションには、AMIsし、オプションでスナップショットタグを取得するための特定の Amazon EC2 アクセス許可が必要です。`includeSnapshotTags` パラメータを使用する場合は、スナップショットを記述するための追加のアクセス許可が必要です。
**RegisterImage ステップアクションに必要なアクセス許可:**
すべてのリソースで、次のアクションを許可します。
+ `ec2:RegisterImage`
+ `ec2:DescribeSnapshots`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RegisterImage",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*::image/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "RegisterImage"
}
}
}
]
}
```
**アクセス許可の詳細:**
+ `ec2:RegisterImage` - スナップショットから新しい AMIs を登録するために必要です
+ `ec2:DescribeSnapshots` - `includeSnapshotTags: true`を使用して AMI タグとマージするためのスナップショットタグを取得する場合に必要です
+ `ec2:CreateTags` - Image Builder のデフォルトタグとマージされたスナップショットタグの両方を含む、登録された AMI にタグを適用するために必要です
**注記**
アクセス`ec2:DescribeSnapshots`許可は、 `includeSnapshotTags`パラメータが に設定されている場合にのみ使用されます`true`。この機能を使用しない場合は、このアクセス許可を省略できます。
**タグマージ動作:**
`includeSnapshotTags` を有効にすると、RegisterImage ステップアクションは次のようになります。
+ ブロックデバイスマッピングで指定された最初のスナップショットからタグを取得する
+ AWS 予約済みタグ (「aws:」で始まるキーを持つタグ) を除外する
+ スナップショットタグを Image Builder のデフォルトの AMI 登録タグとマージする
+ タグキーの競合時に Image Builder タグを優先する
## Image Builder 内のリソースベースのポリシー
コンポーネントの作成方法については、[コンポーネントを使用した Image Builder イメージのカスタマイズ](manage-components.md)を参照してください。
### Image Builder コンポーネントへのアクセスを特定の IP アドレスに制限する
以下の例では、コンポーネントに対して Image Builder 操作を実行する権限を任意のユーザーに付与しています。ただし、リクエストは条件で指定された IP アドレス範囲からのリクエストである必要があります。
このステートメントの条件では、54.240.143.\$1 の範囲のインターネットプロトコルバージョン 4 (IPv4) IP アドレスが許可されています。ただし、54.240.143.188 を除きます。
`Condition` ブロックは、 `IpAddress` `NotIpAddress`条件と `aws:SourceIp`条件キーを使用します。これは、 AWS全体の条件キーです。これらの条件キーの詳細については、「[ポリシーでの条件の指定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html)」を参照してください。`aws:sourceIp`IPv4 値は標準の CIDR 表記を使用します。詳細については、[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress)の *IP アドレス条件演算子* を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "IBPolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Action": "imagebuilder:GetComponent",
"Resource": "arn:aws:imagebuilder:*::examplecomponent/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
```
------
# EC2 Image Builder の AWS マネージドポリシーを使用する
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を提供するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AWSImageBuilderFullAccess ポリシー
この **AWSImageBuilderFullAccess** ポリシーは、アタッチされているロールの Image Builder リソースへのフルアクセスを許可し、ロールが Image Builder リソースを一覧表示、説明、作成、更新、削除できるようにします。このポリシーは、リソースの検証や、 のアカウントの現在のリソースの表示など、 AWS のサービス 必要な関連 にターゲットを絞ったアクセス許可も付与します AWS マネジメントコンソール。
### アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
+ **Image Builder** — ロールが Image Builder リソースを一覧表示、説明、作成、更新、削除できるように、管理者権限が付与されます。
+ **Amazon EC2** — リソースの存在を確認したり、アカウントに属するリソースのリストを取得したりするために必要な Amazon EC2 Describe アクションへのアクセスが許可されます。
+ **IAM** — 名前に「imagebuilder」が含まれるインスタンスプロファイルの取得と使用、`iam:GetRole` API アクションによる Image Builder サービスリンクロールの存在の確認、および Image Builder サービスリンクロールの作成を行うためのアクセス権が付与されます。
+ **License Manager** — リソースのライセンス構成またはライセンスを一覧表示するためのアクセス権が付与されます。
+ **Amazon S3** — アカウントに属するバケットと、名前に「imagebuilder」が含まれる Image Builder バケットを一覧表示するためのアクセスが許可されます。
+ **Amazon SNS** —「imagebuilder」を含むトピックの所有権を確認するための書き込み権限が Amazon SNS に付与されます。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderFullAccess.html)」を参照してください。
## AWSImageBuilderReadOnlyAccess ポリシー
この **AWSImageBuilderReadOnlyAccess** ポリシーは、Image Builder のすべてのリソースへの読み取り専用アクセスを提供します。`iam:GetRole` API アクションにより、Image Builder サービスリンクロールが存在することを確認する権限が付与されます。
### アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
+ **Image Builder** — Image Builder リソースへの読み取り専用アクセスに対してアクセスが許可されます。
+ **IAM** — `iam:GetRole` API アクションにより、Image Builder サービスリンクロールの存在を確認するためのアクセス権限が付与されます。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSImageBuilderReadOnlyAccess.html)」を参照してください。
## AWSServiceRoleForImageBuilder ポリシー
この**AWSServiceRoleForImageBuilder**ポリシーにより、Image Builder AWS のサービス はユーザーに代わって を呼び出すことができます。
### アクセス許可の詳細
このポリシーは、ロールが Systems Manager で作成されたときに、Image Builder サービスリンクロールにアタッチされます。Image Builder サービスリンクロールの詳細については、[Image Builder での IAM サービスリンクロールの使用](image-builder-service-linked-role.md)を参照してください。
ポリシーには以下のアクセス権限が含まれています。
+ **CloudWatch Logs** — 名前が `/aws/imagebuilder/` で始まる任意のロググループに CloudWatch Logs を作成してアップロードするためのアクセス権が付与されます。
+ **Amazon EC2** – Image Builder には、アカウントで EC2 インスタンスを作成および起動するイメージ (AMIs) を作成、スナップショット作成、登録するためのアクセス権が付与されます。Image Builder は、作成または使用されているイメージ、インスタンス、ボリュームが `CreatedBy: EC2 Image Builder`または でタグ付けされている限り、必要に応じて関連するスナップショット、ボリューム、ネットワークインターフェイス、サブネット、セキュリティグループ、ライセンス設定、キーペアを使用します`CreatedBy: EC2 Fast Launch`。
Image Builder は、Amazon EC2 イメージ、インスタンス属性、インスタンスステータス、アカウントで使用できるインスタンスタイプ、起動テンプレート、サブネット、ホスト、Amazon EC2 リソースのタグに関する情報を取得できます。
Image Builder はイメージ設定を更新して、イメージに `CreatedBy: EC2 Image Builder` のタグが付けられているアカウント内の Windows インスタンスの高速起動を有効または無効にすることができます。
さらに、Image Builder では、アカウントで実行されているインスタンスの起動、停止、終了、Amazon EBS スナップショットの共有、イメージの作成と更新、テンプレートの起動、既存のイメージの登録解除、タグの追加、**Ec2ImageBuilderCrossAccountDistributionAccess** ポリシーによってアクセス権限を付与したアカウント間でのイメージの複製を行うことができます。前述のように、これらすべてのアクションには Image Builder のタグ付けが必要です。
+ **Amazon ECR** — Image Builder には、コンテナイメージの脆弱性スキャンに必要なリポジトリを作成し、作成したリソースにタグを付けて操作の範囲を制限するためのアクセス権限が付与されます。また、Image Builder が脆弱性のスナップショットを取得した後、スキャンのために作成したコンテナイメージを削除するためのアクセス権も付与されます。
+ **EventBridge** — Image Builder に EventBridge ルールを作成および管理するためのアクセス権限が付与されます。
+ **IAM** — Image Builder には、アカウント内の任意のロールを Amazon EC2 と VM Import/Export に渡すためのアクセス権限が付与されます。
+ **Amazon Inspector** — Image Builder には、Amazon Inspector がビルドインスタンスのスキャンをいつ完了するかを決定し、それを許可するように設定されたイメージの結果を収集するためのアクセス権限が付与されます。
+ **AWS KMS** — Amazon EBS には Amazon EBS ボリュームを暗号化、復号化、または再暗号化するためのアクセス権限が付与されます。これは、Image Builder がイメージをビルドするときに暗号化されたボリュームが確実に機能するようにするために重要です。
+ **License Manager** — Image Builder には、`license-manager:UpdateLicenseSpecificationsForResource` を介して License Manager の仕様を更新するためのアクセス権が付与されます。
+ **Amazon SNS** — アカウント内のすべての Amazon SNS トピックに書き込み権限が付与されます。
+ **Systems Manager** - Image Builder には、Systems Manager のコマンドとその呼び出しの一覧の取得、インベントリエントリの一覧の取得、インスタンス情報とオートメーションの実行ステータスの記述、インスタンス配置のサポートに必要なホストの記述、およびコマンド呼び出しの詳細の取得を行うためのアクセス権限が付与されます。Image Builder は自動化シグナルを送信し、アカウント内の任意のリソースの自動化実行を停止することもできます。
Image Builder は、`AWS-RunPowerShellScript`、`AWS-RunShellScript`、または `AWSEC2-RunSysprep` のスクリプトファイルについて、`"CreatedBy": "EC2 Image Builder"` のタグが付けられたインスタンスに対して実行コマンドを発行することができます。Image Builder では、名前が `ImageBuilder` で始まる自動化ドキュメントの Systems Manager 自動化実行をアカウント内で開始できます。
Image Builder では、関連付けドキュメントが `AWS-GatherSoftwareInventory` である限り、アカウント内の任意のインスタンスの State Manager 関連付けを作成または削除したり、アカウントに Systems Manager サービスリンクロールを作成したりすることもできます。
Image Builder は、パブリックパラメータストアパラメータを読み取り、プレフィックスが のプライベートパラメータを読み取りおよび更新できるため、Image Builder が新しいビルドから作成する出力 AMI IDs でパラメータ値を更新`/imagebuilder/`できます。
+ **AWS STS** — Image Builder には、ロールの信頼ポリシーで許可されている任意のアカウントに、アカウントから指定された **EC2ImageBuilderDistributionCrossAccountRole** ロールを引き継ぐためのアクセス権限が付与されます。これは、クロスアカウントのイメージ配信に使用されます。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForImageBuilder.html)」を参照してください。
## Ec2ImageBuilderCrossAccountDistributionAccess ポリシー
**Ec2ImageBuilderCrossAccountDistributionAccess** ポリシーは、Image Builder がターゲットリージョンのアカウントにイメージを配信する権限を付与します。さらに、Image Builder はアカウント内の任意の Amazon EC2 イメージにタグを記述、コピー、および適用できます。このポリシーでは、`ec2:ModifyImageAttribute` API アクションを使用して AMI の権限を変更する機能も付与されます。
### アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
+ **Amazon EC2** — Amazon EC2 には、イメージの属性を記述、コピー、変更したり、アカウント内の任意の Amazon EC2 イメージのタグを作成したりするためのアクセス権限が付与されます。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2ImageBuilderCrossAccountDistributionAccess.html)」を参照してください。
## EC2ImageBuilderLifecycleExecutionPolicy ポリシー
**EC2ImageBuilderLifecycleExecutionPolicy** ポリシーは、イメージライフサイクル管理タスクの自動ルールをサポートするために、Image Builder イメージリソースとその基盤となるリソース (AMI、スナップショット) の非推奨、無効化、削除などのアクションを実行する権限を Image Builder に付与します。
### アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
+ **Amazon EC2** – Amazon EC2 には、`CreatedBy: EC2 Image Builder` のタグが付けられたアカウントの Amazon マシンイメージ (AMI) に対して以下のアクションを実行するためのアクセス権限が付与されます。
+ AMI を有効化および無効化する。
+ イメージ廃止を有効化および無効化する。
+ AMI の記述と登録解除をする。
+ AMI イメージ属性を記述および変更する。
+ AMI に関連付けられているボリュームスナップショットを削除する。
+ リソースのタグを取得する。
+ AMI のタグを追加または削除して廃止する。
+ **Amazon ECR** – Amazon ECR には、`LifecycleExecutionAccess: EC2 Image Builder` タグ付きの ECR リポジトリに対して以下のバッチアクションを実行するためのアクセス権限が付与されます。バッチアクションは、自動コンテナイメージライフサイクルルールをサポートします。
+ `ecr:BatchGetImage`
+ `ecr:BatchDeleteImage`
`LifecycleExecutionAccess: EC2 Image Builder` のタグが付けられた ECR リポジトリには、リポジトリレベルでアクセス権限が付与されます。
+ **AWS リソースグループ** – Image Builder がタグに基づいてリソースを取得するためのアクセス許可が付与されます。
+ **EC2 Image Builder** – Image Builder には、Image Builder イメージリソースを削除するためのアクセス権限が付与されます。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2ImageBuilderLifecycleExecutionPolicy.html)」を参照してください。
## EC2InstanceProfileForImageBuilder ポリシー
この **EC2InstanceProfileForImageBuilder** ポリシーは、EC2 インスタンスが Image Builder と連携するために必要な最小限のアクセス権限を付与します。これには、Systems Manager エージェントを使用するために必要な権限は含まれていません。
### アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
+ **CloudWatch Logs** — 名前が `/aws/imagebuilder/` で始まる任意のロググループに CloudWatch Logs を作成してアップロードするためのアクセス権が付与されます。
+ **Amazon EC2** – ボリュームとスナップショットを記述し、Image Builder が作成したボリュームまたはスナップショットリソースのスナップショットを作成し、Image Builder リソースのタグを作成するためのアクセス権が付与されます。
+ **Image Builder** – Image Builder または AWS Marketplace コンポーネントを取得するためのアクセス権が付与されます。
+ **AWS KMS** – Image Builder コンポーネントが を介して暗号化されている場合、そのコンポーネントを復号するためのアクセス許可が付与されます AWS KMS。
+ **Amazon S3** – 名前が で始まる Amazon S3 バケットに保存されているオブジェクト`ec2imagebuilder-`、または ISO ファイル拡張子を持つリソースを取得するためのアクセス許可が付与されます。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilder.html)」を参照してください。
## EC2InstanceProfileForImageBuilderECRContainerBuilds ポリシー
この **EC2InstanceProfileForImageBuilderECRContainerBuilds** ポリシーは、Image Builder を使用して Docker イメージを構築し、そのイメージを Amazon ECR コンテナリポジトリに登録して保存する場合に、EC2 インスタンスに必要な最小限のアクセス権限を付与します。これには、Systems Manager エージェントを使用するために必要な権限は含まれていません。
### アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
+ **CloudWatch Logs** — 名前が `/aws/imagebuilder/` で始まる任意のロググループに CloudWatch Logs を作成してアップロードするためのアクセス権が付与されます。
+ **Amazon ECR** - Amazon ECR には、コンテナイメージの取得、登録、保存、および認可トークンの取得を行うためのアクセス権限が付与されます。
+ **Image Builder** — Image Builder コンポーネントまたはコンテナレシピを取得するためのアクセス権が付与されます。
+ **AWS KMS** — Image Builder コンポーネントまたはコンテナレシピが を介して暗号化されている場合、復号するためのアクセス許可が付与されます AWS KMS。
+ **Amazon S3** — 名前が `ec2imagebuilder-` で始まる Amazon S3 バケットに保存されているオブジェクトを取得するためのアクセスが許可されます。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2InstanceProfileForImageBuilderECRContainerBuilds.html)」を参照してください。
## Image Builder の AWS マネージドポリシーの更新
このセクションでは、このサービスがこれらの変更の追跡を開始してからの Image Builder の AWS マネージドポリシーの更新に関する情報を提供します。このページの変更に関する自動通知については、[ ドキュメントの履歴ページ](doc-history.md)の RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) - 既存ポリシーへの更新 | Image Builder は、サービスロールに次の変更を加えました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 2026 年 2 月 26 日 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 既存ポリシーへの更新 | Image Builder は、レシピ内およびイメージ配布中の AWS Systems Manager (SSM) パラメータストアパラメータの使用をサポートするために、サービスロールに次の変更を加えました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 2025 年 7 月 23 日 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder) – 既存ポリシーへの更新 | Image Builder は、ISO ファイルのダウンロード用にさらに多くのファイル拡張子をサポートするために、インスタンスプロファイルポリシーに次の変更を加えました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 2025 年 5 月 19 日 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 既存ポリシーへの更新 | Image Builder は、Microsoft クライアント OS ISO ファイルをベースイメージとしてインポートできるように、サービスロールに次の変更を加えました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 2024 年 12 月 30 日 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder) – 既存ポリシーへの更新 | Image Builder は、ディスクイメージファイルからのイメージ作成をサポートするために、インスタンスプロファイルポリシーに次の変更を加えました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 2024 年 12 月 30 日 |
| [EC2InstanceProfileForImageBuilder](#sec-iam-manpol-EC2InstanceProfileForImageBuilder) - ポリシーを更新 | Image Builder は、Image Builder が AWS Marketplace コンポーネントを取得できるように`EC2InstanceProfileForImageBuilder`ポリシーを更新しました。 | 2024 年 12 月 2 日 |
| [EC2ImageBuilderLifecycleExecutionPolicy](#sec-iam-manpol-EC2ImageBuilderLifecycleExecutionPolicy) - 新しいポリシー | Image Builder は、イメージライフサイクル管理の権限を含む新しい `EC2ImageBuilderLifecycleExecutionPolicy` ポリシーを追加しました。 | 2023 年 11 月 17 日 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 既存ポリシーへの更新 | Image Builder でインスタンス配置のサポートを提供するために、サービスロールに次の変更が加えられました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 2023 年 10 月 19 日 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 既存ポリシーへの更新 | Image Builder でインスタンス配置のサポートを提供するために、サービスロールに次の変更が加えられました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 2023 年 9 月 28 日 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 既存ポリシーへの更新 | Image Builder はサービスロールに以下の変更を加え、Image Builder ワークフローが AMI と ECR の両方のコンテナイメージビルドの脆弱性結果を収集できるようにしました。新しい権限は CVE 検出およびレポート機能をサポートします。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 2023 年 3 月 30 日 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 既存ポリシーへの更新 | Image Builder は、サービスロールに次の変更を加えました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 2022 年 3 月 22 日 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 既存ポリシーへの更新 | Image Builder は、サービスロールに次の変更を加えました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 2022 年 2 月 21 日 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 既存ポリシーへの更新 | Image Builder は、サービスロールに次の変更を加えました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 2021 年 11 月 20 日 |
| [AWSServiceRoleForImageBuilder](#sec-iam-manpol-AWSServiceRoleForImageBuilder) – 既存ポリシーへの更新 | Image Builder には、複数のインベントリ関連付けによってイメージビルドが停止する問題を修正する新しい権限が追加されました。 | 2021 年 8 月 11 日 |
| [AWSImageBuilderFullAccess](#sec-iam-manpol-AWSImageBuilderFullAccess) – 既存ポリシーへの更新 | Image Builder は、フルアクセスロールに次の変更を加えました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/imagebuilder/latest/userguide/security-iam-awsmanpol.html) | 2021 年 4 月 13 日 |
| Image Builder が変更の追跡を開始しました | Image Builder は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2021 年 4 月 02 日 |
# Image Builder での IAM サービスリンクロールの使用
EC2 Image Builder は AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、Image Builder に直接リンクされた独自のタイプの IAM ロールです。サービスにリンクされたロールは Image Builder によって事前定義されており、サービスが AWS のサービス ユーザーに代わって他の を呼び出すために必要なすべてのアクセス許可が含まれています。
サービスリンクロールは、必要なパーミッションを手動で追加する必要がないため、Image Builder のセットアップをより効率的にします。Image Builder は、サービスリンクロールの権限を定義し、他に定義されていない限り、Image Builder だけがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれます。アクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールをサポートする他のサービスについては、「[IAM と連携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」の「**サービスにリンクされたロール**」列が「**はい**」になっているサービスを検索してください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。
## Image Builder のサービスリンクロールの権限
Image Builder は、**AWSServiceRoleForImageBuilder**サービスにリンクされたロールを使用して、EC2 Image Builder がユーザーに代わって AWS リソースにアクセスできるようにします。サービスリンクロールは、ロールを引き受ける上で imagebuilder.amazonaws.com サービスを信頼します。
サービスにリンクされたこのロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で最初の Image Builder イメージを作成すると、Image Builder によってサービスにリンクされたロールが作成されます。
次のアクションは新しいイメージを作成します。
+ Image Builder コンソールのパイプラインウィザードを実行して、カスタムイメージを作成します。
+ 次のいずれかの API アクション、または対応する AWS CLI コマンドを使用します。
+ **[CreateImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_CreateImage.html)** API アクション (**[create-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/create-image.html)** の AWS CLI)。
+ **[ImportVmImage](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_ImportVmImage.html)** API アクション (**[import-vm-image](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/import-vm-image.html)** の AWS CLI)。
+ **[StartImagePipelineExecution](https://docs.aws.amazon.com/imagebuilder/latest/APIReference/API_StartImagePipelineExecution.html)** API アクション (**[start-image-pipeline-execution](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/start-image-pipeline-execution.html)** の AWS CLI)。
**重要**
サービスリンクロールがアカウントから削除された場合、同じ手順で再度作成することができます。最初の EC2 Image Builder リソースを作成すると、Image Builder はサービスリンクロールを再度作成します。
**AWSServiceRoleForImageBuilder** の権限を確認するには、[AWSServiceRoleForImageBuilder ポリシー](security-iam-awsmanpol.md#sec-iam-manpol-AWSServiceRoleForImageBuilder) ページを参照してください。サービスリンクロールの権限の設定の詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの権限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Image Builder サービスリンクロールをアカウントから削除します
IAM コンソール、、または AWS API を使用して AWS CLI、Image Builder のサービスにリンクされたロールをアカウントから手動で削除できます。ただし、その前に、それを参照する Image Builder リソースが有効になっていないことを確認する必要があります。
**注記**
リソースを削除しようとしたときに Image Builder サービスがロールを使用している場合、削除に失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。
**`AWSServiceRoleForImageBuilder` ロールが使用する Image Builder リソースをクリーンアップする**
1. 開始する前に、パイプラインビルドが実行されていないことを確認してください。実行中のビルドをキャンセルするには、 AWS CLIから `cancel-image-creation` コマンドを使用します。
```
aws imagebuilder cancel-image-creation --image-build-version-arn arn:aws:imagebuilder:us-east-1:123456789012:image-pipeline/sample-pipeline
```
1. すべてのパイプラインスケジュールを手動ビルドプロセスを使用するように変更するか、今後使用しない場合は削除してください。リソースの削除については、[未使用または古くなった Image Builder リソースの削除](delete-resources.md)を参照してください。
**IAM を使用して、サービスリンクロールを削除する**
IAM コンソール、 AWS CLI、または AWS API を使用して、アカウントから`AWSServiceRoleForImageBuilder`ロールを削除できます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## Image Builder サービスリンクロールでサポートされるリージョン
Image Builder は、サービスが利用可能なすべての AWS リージョンでサービスにリンクされたロールの使用をサポートしています。サポートされている AWS リージョンのリストについては、「」を参照してください[AWS リージョンとエンドポイント](what-is-image-builder.md#image-builder-regions)。
# Image Builder での IAM 問題のトラブルシューティング
**Topics**
+ [Image Builder でアクションを実行する権限がありません](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がありません](#security_iam_troubleshoot-passrole)
+ [自分の 以外のユーザーに Image Builder リソース AWS アカウント へのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## Image Builder でアクションを実行する権限がありません
アクションを実行する権限がないというエラーが表示された場合は、そのアクションを実行できるようにポリシーを更新する必要があります。
次のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して、ある `my-example-widget` リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要な `imagebuilder:GetWidget` アクセス許可を持っていない場合に発生するものです。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: imagebuilder:GetWidget on resource: my-example-widget
```
この場合、`imagebuilder:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスを許可するように、`mateojackson` ユーザーのポリシーを更新する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン認証情報を提供した担当者が管理者です。
## iam:PassRole を実行する権限がありません
`iam:PassRole` のアクションを実行する権限がないというエラーが表示された場合、Image Builder にロールを渡せるようにポリシーを更新する必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、既存のロールをそのサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
次の例のエラーは、`marymajor`という IAM ユーザーがコンソールを使用して Image Builder でアクションを実行しようとしたときに発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## 自分の 以外のユーザーに Image Builder リソース AWS アカウント へのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ Image Builder がこれらの機能をサポートしているかどうかについては、[Image Builder と IAM ポリシーおよびロールとの連携](security_iam_service-with-iam.md)を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、IAM *ユーザーガイド*の[「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、「*IAM ユーザーガイド*」の「[IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)」を参照してください。