Amazon Inspector の委任管理者アカウントとメンバーアカウントについて - Amazon Inspector

Amazon Inspector の委任管理者アカウントとメンバーアカウントについて

複数アカウント環境で Amazon Inspector を使用する場合、委任管理者アカウントは特定のメタデータにアクセスできます。メタデータには、Amazon EC2、Amazon ECR、Lambda の標準スキャン、および Lambda コードスキャンが含まれます。また、メンバーアカウントのセキュリティ検出結果も含まれます。このセクションでは、委任管理者アカウントが実行できるアクションと、メンバーアカウントが実行できるアクションに関する情報を提供します。

委任管理者のアクション

通常、委任管理者が自分のアカウントに設定を適用すると、その設定は組織内の他のすべてのアカウントに適用されます。委任管理者は、自分のアカウントや関連するメンバーの情報を表示および取得することもできます。Amazon Inspector の委任管理者アカウントは、以下のアクションを実行できます。

  • Amazon Inspector のアクティブ化や非アクティブ化など、関連するアカウントの Amazon Inspector のステータスを表示および管理できます。

  • 組織内のすべてのメンバーアカウントのスキャンタイプをアクティブ化または非アクティブ化します。

  • 組織全体の集約された検出結果データと、組織内のすべてのメンバーアカウントの検出結果の詳細が表示されます。

  • 組織内のすべてのアカウントの検出結果に適用される抑制ルールを作成および管理します。

  • 組織のすべてのメンバーに対して Amazon ECR 拡張スキャンをアクティブ化します。

  • 組織全体のリソースカバレッジを表示します。

  • 組織内のすべてのメンバーアカウントの ECR コンテナイメージを自動的に再スキャンする期間を定義します。委任された管理者のスキャン期間設定は、メンバーアカウントが以前に設定した設定よりも優先されます。組織内のすべてのアカウントは、委任管理者の Amazon ECR 自動再スキャン期間を共有します。個別のアカウントに異なる再スキャン期間を設定することはできません。

  • 組織内のすべてのアカウントで使用される Amazon Inspector の Amazon EC2 向け詳細検査に 5 つのカスタムパスを指定します。これは、委任された管理者個々のアカウントに設定できる 5 つのカスタムパスに追加されます。詳細検査カスタムパスの設定の詳細については、「Amazon Inspector 詳細検査のカスタムパス」を参照してください。

  • メンバーアカウントの Amazon Inspector 詳細検査をアクティブ化または非アクティブ化します。

  • 組織内のあらゆるメンバーアカウントの SBOM をエクスポートします。

  • 組織内のすべてのメンバーアカウントの Amazon EC2 スキャンモードを設定します。詳細については、「スキャンモードの管理」を参照してください。

  • メンバーアカウントによって作成されたスキャン設定を除き、組織内のすべてのアカウントの CIS スキャン設定を作成および管理します。

    注記

    メンバーアカウントが組織を離れると、委任管理者は、そのアカウントによってスケジュールされたスキャン設定を表示できなくなります。

  • 組織内のすべてのアカウントの CIS スキャン結果を表示します。

メンバーアカウントのアクション

メンバーアカウントは Amazon Inspector でアカウントに関する情報を表示および取得できますが、アカウントの設定は委任管理者によって管理されます。組織内のメンバーアカウントは Amazon Inspector で以下のアクションを実行できます。

  • メンバー自身のアカウントで Amazon Inspector をアクティベートします。

  • メンバー自身のアカウントのリソースカバレッジを表示します。

  • メンバー自身のアカウントの検出結果の詳細を表示します。

  • メンバー自身のアカウントの ECR コンテナイメージ自動再スキャン期間設定を表示します。

  • Amazon Inspector の EC2 向け詳細検査に、個々のアカウントで使用される 5 つのカスタムパスを指定します。これらのパスは、委任管理者が組織用に指定したカスタムパスに加えてスキャンされます。詳細検査パスの設定についての詳細は、「Amazon Inspector 詳細検査のカスタムパス」を参照してください。

  • Amazon Inspector 詳細検査向けに委任管理者によって設定されたカスタムパスを表示します。

  • アカウントに関連付けられているあらゆるリソースの SBOM をエクスポートします。

  • アカウントのスキャンモードを表示します。

  • アカウントの CIS スキャン設定を作成および管理します。

  • 委任管理者によってスケジュールされたリソースを含む、アカウント内のリソースの CIS スキャン結果を表示します。

注記

アクティベーション後、Amazon Inspector は委任された管理者アカウントでのみ非アクティブ化できます。