翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EC2 Image Builder のアクション、リソース、および条件キー
Amazon EC2 Image Builder(サービスプレフィックス: imagebuilder)では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソース、アクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
トピック
Amazon EC2 Image Builder で定義されるアクション
IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
Actions テーブルのアクセスレベル列は、アクションの分類方法 (List、Read、Permissions Management、Tagging) を示しています。このように分類することで、ポリシーで使用する際にアクションで付与するアクセスレベルを理解しやすくなります。アクセスレベルの詳細については、ポリシー概要の「アクセスレベル」を参照してください。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
Actions テーブルの Dependent actions 列には、アクションを正常に呼び出すために必要な追加のアクセス許可が表示されます。これらのアクセス許可は、アクション自体のアクセス許可に加えて必要になる場合があります。アクションが依存アクションを指定すると、それらの依存関係は、テーブルにリストされている最初のリソースだけでなく、そのアクションに定義された追加のリソースに適用される場合があります。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| CancelImageCreation | イメージの作成をキャンセルする許可を付与 | 書き込み | |||
| CancelLifecycleExecution | ライフサイクル実行をキャンセルするためのアクセス許可を付与 | 書き込み | |||
| CreateComponent | 新しいコンポーネントを作成する許可を付与 | 書き込み |
imagebuilder:TagResource kms:Encrypt kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext s3:GetObject s3:ListBucket |
||
| CreateContainerRecipe | 新しいコンテナ recipe を作成する許可を付与 | 書き込み |
ec2:DescribeImages ecr:DescribeImages ecr:DescribeRepositories imagebuilder:GetComponent imagebuilder:GetImage imagebuilder:TagResource kms:Encrypt kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext s3:GetObject s3:ListBucket ssm:GetParameter |
||
| CreateDistributionConfiguration | 新しいディストリビューション設定を作成する許可を付与 | 書き込み |
ec2:CreateLaunchTemplateVersion ec2:DescribeLaunchTemplates ec2:ModifyLaunchTemplate imagebuilder:TagResource s3:ListBucket ssm:GetParameter |
||
| CreateImage | 新しいイメージを作成する許可を付与 | 書き込み |
ecr:BatchGetRepositoryScanningConfiguration ecr:DescribeRepositories iam:CreateServiceLinkedRole iam:PassRole imagebuilder:GetContainerRecipe imagebuilder:GetDistributionConfiguration imagebuilder:GetImageRecipe imagebuilder:GetInfrastructureConfiguration imagebuilder:GetWorkflow imagebuilder:TagResource inspector2:BatchGetAccountStatus |
||
| CreateImagePipeline | 新しいイメージパイプラインを作成する許可を付与 | 書き込み |
ecr:BatchGetRepositoryScanningConfiguration ecr:DescribeRepositories iam:CreateServiceLinkedRole iam:PassRole imagebuilder:GetContainerRecipe imagebuilder:GetDistributionConfiguration imagebuilder:GetImageRecipe imagebuilder:GetInfrastructureConfiguration imagebuilder:GetWorkflow imagebuilder:TagResource inspector2:BatchGetAccountStatus |
||
| CreateImageRecipe | 新しいイメージ recipe を作成する許可を付与 | 書き込み |
ec2:DescribeImages imagebuilder:GetComponent imagebuilder:GetImage imagebuilder:TagResource ssm:GetParameter |
||
| CreateInfrastructureConfiguration | 新しいインフラストラクチャ設定を作成する許可を付与 | 書き込み |
ec2:DescribeAvailabilityZones ec2:DescribeHosts iam:PassRole imagebuilder:TagResource resource-groups:GetGroup sns:Publish |
||
|
imagebuilder:CreatedResourceTagKeys imagebuilder:CreatedResourceTag/${TagKey} |
|||||
| CreateLifecyclePolicy | 新しいライフサイクルポリシーを作成するためのアクセス許可を付与 | 書き込み |
iam:PassRole imagebuilder:TagResource |
||
| CreateWorkflow | 新しいワークフローを作成する許可を付与 | 書き込み |
imagebuilder:TagResource kms:Encrypt kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext s3:GetObject s3:ListBucket |
||
| DeleteComponent | コンポーネントを削除する許可を付与 | 書き込み | |||
| DeleteContainerRecipe | コンテナ recipe を削除する権限を付与します。 | 書き込み | |||
| DeleteDistributionConfiguration | ディストリビューション設定を削除する許可を付与 | 書き込み | |||
| DeleteImage | イメージを削除する許可を付与 | 書き込み | |||
| DeleteImagePipeline | イメージパイプラインを削除する許可を付与 | 書き込み | |||
| DeleteImageRecipe | イメージ recipe を削除する許可を付与。 | 書き込み | |||
| DeleteInfrastructureConfiguration | インフラストラクチャ設定を削除する許可を付与 | 書き込み | |||
| DeleteLifecyclePolicy | ライフサイクルポリシーを削除するアクセス許可を付与 | 書き込み | |||
| DeleteWorkflow | ワークフローを削除するアクセス許可を与えます。 | 書き込み | |||
| GetComponent | コンポーネントの詳細を表示する許可を付与 | 読み込み |
kms:Decrypt |
||
| GetComponentPolicy | コンポーネントに関連付けられているリソースポリシーを表示する許可を付与 | 読み込み | |||
| GetContainerRecipe | コンテナ recipe の詳細を表示する許可を付与 | 読み込み | |||
| GetContainerRecipePolicy | コンテナ recipe に関連付けられているリソースポリシーを表示する許可を付与 | 読み込み | |||
| GetDistributionConfiguration | ディストリビューション設定の詳細を表示する許可を付与 | 読み込み | |||
| GetImage | イメージの詳細を表示する許可を付与 | 読み込み | |||
| GetImagePipeline | イメージパイプラインの詳細を表示する許可を付与 | 読み込み | |||
| GetImagePolicy | イメージに関連付けられているリソースポリシーを表示する許可を付与 | 読み込み | |||
| GetImageRecipe | イメージ recipe の詳細を表示する許可を付与 | 読み込み | |||
| GetImageRecipePolicy | イメージ recipe に関連付けられているリソースポリシーを表示する許可を付与 | 読み込み | |||
| GetInfrastructureConfiguration | インフラストラクチャ設定の詳細を表示する許可を付与 | 読み取り | |||
| GetLifecycleExecution | ライフサイクル実行に関する詳細を表示するためのアクセス許可を付与 | 読み取り | |||
| GetLifecyclePolicy | ライフサイクルポリシーに関する詳細を表示するためのアクセス許可を付与 | 読み取り | |||
| GetMarketplaceResource | Marketplace が提供するリソースを取得する許可を付与 | 読み取り | |||
| GetWorkflow | ワークフローの詳細を表示するアクセス許可を付与 | 読み取り |
kms:Decrypt |
||
| GetWorkflowExecution | ワークフロー実行の詳細を表示するアクセス許可を付与 | 読み取り | |||
| GetWorkflowStepExecution | ワークフローステップ実行の詳細を表示するアクセス許可を付与 | 読み取り |
kms:Decrypt |
||
| ImportComponent | 新しいコンポーネントをインポートする許可を付与 | 書き込み |
imagebuilder:TagResource kms:Encrypt kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext s3:GetObject s3:ListBucket |
||
| ImportDiskImage | ディスクイメージをインポートするアクセス許可を付与します | 書き込み |
iam:CreateServiceLinkedRole iam:PassRole imagebuilder:GetInfrastructureConfiguration imagebuilder:GetWorkflow imagebuilder:TagResource s3:GetObject s3:ListBucket |
||
| ImportVmImage | 画像をインポートする許可を付与します | 書き込み |
ec2:DescribeImages ec2:DescribeImportImageTasks iam:CreateServiceLinkedRole imagebuilder:TagResource |
||
| ListComponentBuildVersions | アカウントのコンポーネントビルドバージョンを一覧表示する許可を付与 | リスト | |||
| ListComponents | アカウントが所有する、またはアカウントと共有するコンポーネントバージョンを一覧表示する許可を付与 | リスト | |||
| ListContainerRecipes | アカウントが所有するかアカウントと共有するコンテナ recipe を一覧表示する許可を付与 | リスト | |||
| ListDistributionConfigurations | アカウントのディストリビューション設定を一覧表示する許可を付与 | リスト | |||
| ListImageBuildVersions | アカウントのイメージビルドバージョンを一覧表示する許可を付与 | リスト | |||
| ListImagePackages | 指定したイメージにインストールされているパッケージのリストを返すアクセス許可を付与 | リスト | |||
| ListImagePipelineImages | 指定したパイプラインによって作成されたイメージのリストを返すアクセス許可を付与 | リスト | |||
| ListImagePipelines | アカウントのイメージパイプラインを一覧表示する許可を付与 | リスト | |||
| ListImageRecipes | アカウントが所有する、またはアカウントと共有するイメージ recipe を一覧表示する許可を付与 | リスト | |||
| ListImageScanFindingAggregations | アカウントのイメージスキャンによる結果の集計を一覧表示するアクセス許可を付与 | リスト | |||
| ListImageScanFindings | アカウント内のイメージに対するイメージスキャンの結果を一覧表示するアクセス許可を付与 | リスト |
inspector2:ListFindings |
||
| ListImages | アカウントが所有する、またはアカウントと共有するイメージバージョンを一覧表示する許可を付与 | リスト | |||
| ListInfrastructureConfigurations | アカウントのインフラストラクチャ設定を一覧表示する許可を付与 | リスト | |||
| ListLifecycleExecutionResources | 指定されたライフサイクル実行用のリソースを一覧表示するためのアクセス許可を付与 | リスト | |||
| ListLifecycleExecutions | 指定されたリソースのライフサイクル実行を一覧表示するためのアクセス許可を付与 | リスト | |||
| ListLifecyclePolicies | アカウントのライフサイクルポリシーを一覧表示するためのアクセス許可を付与 | リスト | |||
| ListTagsForResource | Image Builder リソースのタグを一覧表示する許可を付与 | 読み取り | |||
| ListWaitingWorkflowSteps | 発信者アカウントに待機中のワークフローステップを一覧表示する許可を付与 | リスト | |||
| ListWorkflowBuildVersions | アカウントのワークフロービルドバージョンを一覧表示する許可を付与 | リスト | |||
| ListWorkflowExecutions | 指定したイメージでのワークフロー実行を一覧表示する許可を付与 | リスト | |||
| ListWorkflowStepExecutions | 指定したワークフローのワークフローステップ実行を一覧表示するアクセス許可を付与 | リスト |
kms:Decrypt |
||
| ListWorkflows | アカウントが所有する、またはアカウントと共有するワークフローバージョンを一覧表示する許可を付与 | リスト | |||
| PutComponentPolicy | コンポーネントに関連付けられているリソースポリシーを設定する許可を付与 | Permissions management | |||
| PutContainerRecipePolicy | コンテナ recipe に関連付けられているリソースポリシーを設定する許可を付与 | Permissions management | |||
| PutImagePolicy | イメージに関連付けられたリソースポリシーを設定する許可を付与 | Permissions management | |||
| PutImageRecipePolicy | イメージ recipe に関連付けられているリソースポリシーを設定する許可を付与 | 権限の管理 | |||
| SendWorkflowStepAction | ワークフローステップにアクションを送信するための許可を付与 | 書き込み | |||
| StartImagePipelineExecution | パイプラインから新しいイメージを作成する許可を付与 | 書き込み |
iam:CreateServiceLinkedRole imagebuilder:GetImagePipeline imagebuilder:TagResource |
||
| StartResourceStateUpdate | 指定されたリソースの状態の更新を開始するためのアクセス許可を付与 | 書き込み | |||
| TagResource | Image Builder リソースにタグを付けるアクセス許可を付与します | タグ付け | |||
| UntagResource | Image Builder リソースのタグを解除する許可を付与 | タグ付け | |||
| UpdateDistributionConfiguration | 既存のディストリビューション設定を更新する許可を付与 | 書き込み |
ec2:CreateLaunchTemplateVersion ec2:DescribeLaunchTemplates ec2:ModifyLaunchTemplate s3:ListBucket ssm:GetParameter |
||
| UpdateImagePipeline | 既存のイメージパイプラインを更新する許可を付与 | 書き込み |
ecr:BatchGetRepositoryScanningConfiguration ecr:DescribeRepositories iam:CreateServiceLinkedRole iam:PassRole imagebuilder:GetContainerRecipe imagebuilder:GetDistributionConfiguration imagebuilder:GetImageRecipe imagebuilder:GetInfrastructureConfiguration imagebuilder:GetWorkflow inspector2:BatchGetAccountStatus |
||
| UpdateInfrastructureConfiguration | 既存のインフラストラクチャ設定を更新する許可を付与 | 書き込み |
ec2:DescribeAvailabilityZones ec2:DescribeHosts iam:PassRole resource-groups:GetGroup sns:Publish |
||
|
imagebuilder:CreatedResourceTagKeys imagebuilder:CreatedResourceTag/${TagKey} |
|||||
| UpdateLifecyclePolicy | 既存のライフサイクルポリシーを更新するためのアクセス許可を付与 | 書き込み |
iam:PassRole |
||
Amazon EC2 Image Builder で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| component |
arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}/${ComponentBuildVersion}
|
|
| distributionConfiguration |
arn:${Partition}:imagebuilder:${Region}:${Account}:distribution-configuration/${DistributionConfigurationName}
|
|
| image |
arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}/${ImageBuildVersion}
|
|
| imageVersion |
arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}
|
|
| imageRecipe |
arn:${Partition}:imagebuilder:${Region}:${Account}:image-recipe/${ImageRecipeName}/${ImageRecipeVersion}
|
|
| containerRecipe |
arn:${Partition}:imagebuilder:${Region}:${Account}:container-recipe/${ContainerRecipeName}/${ContainerRecipeVersion}
|
|
| imagePipeline |
arn:${Partition}:imagebuilder:${Region}:${Account}:image-pipeline/${ImagePipelineName}
|
|
| infrastructureConfiguration |
arn:${Partition}:imagebuilder:${Region}:${Account}:infrastructure-configuration/${ResourceId}
|
|
| lifecycleExecution |
arn:${Partition}:imagebuilder:${Region}:${Account}:lifecycle-execution/${LifecycleExecutionId}
|
|
| lifecyclePolicy |
arn:${Partition}:imagebuilder:${Region}:${Account}:lifecycle-policy/${LifecyclePolicyName}
|
|
| workflow |
arn:${Partition}:imagebuilder:${Region}:${Account}:workflow/${WorkflowType}/${WorkflowName}/${WorkflowVersion}/${WorkflowBuildVersion}
|
|
| workflowExecution |
arn:${Partition}:imagebuilder:${Region}:${Account}:workflow-execution/${WorkflowExecutionId}
|
|
| workflowStepExecution |
arn:${Partition}:imagebuilder:${Region}:${Account}:workflow-step-execution/${WorkflowStepExecutionId}
|
|
| allComponentBuildVersions |
arn:${Partition}:imagebuilder:${Region}:${Account}:component/${ComponentName}/${ComponentVersion}/*
|
|
| allImageBuildVersions |
arn:${Partition}:imagebuilder:${Region}:${Account}:image/${ImageName}/${ImageVersion}/*
|
|
| allWorkflowBuildVersions |
arn:${Partition}:imagebuilder:${Region}:${Account}:workflow/${WorkflowType}/${WorkflowName}/${WorkflowVersion}/*
|
Amazon EC2 Image Builder の条件キー
Amazon EC2 Image Builder では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを表示するには、AWS 「グローバル条件コンテキストキー」を参照してください。
| 条件キー | 説明 | [Type] (タイプ) |
|---|---|---|
| aws:RequestTag/${TagKey} | リクエスト内のタグキーと値のペアが存在するかどうかでアクションをフィルタリングします | 文字列 |
| aws:ResourceTag/${TagKey} | リソースにアタッチされているタグキーおよび値のペアでアクセスをフィルタリングします | 文字列 |
| aws:TagKeys | リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします | ArrayOfString |
| imagebuilder:CreatedResourceTag/${TagKey} | Image Builder によって作成されたリソースにアタッチされたタグキーと値のペアによってアクセスをフィルタリングします | 文字列 |
| imagebuilder:CreatedResourceTagKeys | リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします | ArrayOfString |
| imagebuilder:Ec2MetadataHttpTokens | リクエストで指定された EC2 インスタンスメタデータの HTTP トークンの要件により、アクセスをフィルタリングします | 文字列 |
| imagebuilder:LifecyclePolicyResourceType | リクエストで指定されたライフサイクルポリシーのリソースタイプでアクセスをフィルタリングします | 文字列 |
| imagebuilder:StatusTopicArn | ターミナル状態通知が発行されるリクエスト内の SNS トピック Arn により、アクセスをフィルタリングします | ARN |
