Amazon Inspector 用の委任された管理者の指定 - Amazon Inspector

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector 用の委任された管理者の指定

委任された管理者のための重要な考慮事項

Amazon Inspector の委任された管理者が行う操作方法を定義する、次の要素に注意してください。

委任された管理者は、最大 5,000 のメンバーを管理することができます。

Amazon Inspector の委任された管理者には、それぞれ 5,000 件のメンバーアカウントが割り当てられています。ただし、組織内に 5,000 を超えるアカウントが存在する可能性があります。メンバーアカウントが 5,000 を超えると、Amazon CloudWatch Personal Health Dashboard を通じて通知が送信され、委任された管理者アカウントに E メールが送信されます。

委任された管理者はリージョンレベルです。

とは異なり AWS Organizations、Amazon Inspector はリージョナルサービスです。つまり、委任された管理者を指定し、メンバーアカウントを追加し、Amazon Inspector を使用する各 でスキャンタイプ AWS リージョン をアクティブ化する必要があります。

組織は、委任された管理者を 1 名だけ持つことができます。

Amazon Inspector の委任された管理者は、1 つの組織につき 1 名のみです。あるリージョンでアカウントを委任管理者として指定した場合、そのアカウントは他のすべてのリージョンで委任管理者である必要があります。

委任された管理者を変更しても、メンバーアカウントの Amazon Inspector は非アクティブ化になりません。

委任された管理者を削除しても、Amazon Inspector はそれらのアカウントで非アクティブ化されず、スキャン設定も影響を受けません。

Organization では、すべての機能がアクティブ化されている AWS 必要があります。

これは のデフォルト設定です AWS Organizations。アクティブ化されていない場合は、「組織内のすべての機能のアクティブ化」を参照してください。

委任された管理者の指定に必要な許可

Amazon Inspector をアクティブ化し、Amazon Inspector に委任された管理者を指定するアクセス許可が必要です。

IAM ポリシーの最後に次のステートメントを追加することで、これらの許可を付与します。

{ "Sid": "PermissionsForInspectorAdmin", "Effect": "Allow", "Action": [ "inspector2:EnableDelegatedAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" }

AWS 組織の委任管理者の指定

次の手順では、 AWS 組織の委任管理者を指定する方法を示します。この指定が完了すると、組織管理アカウントと選択した委任された管理者アカウントの両方で Amazon Inspector がアクティブ化になります。

注記

組織の管理者アカウントのみが、委任された管理者を指定できます。

Amazon Inspector を初めてアクティブ化すると、AWSServiceRoleForAmazonInspectorアカウントのサービスにリンクされたロール (SLR) が作成されます。Amazon Inspector がサービスリンクロールを使用する方法の詳細については、「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。一般的なサービスにリンクされたロールの詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの使用」を参照してください。

Amazon Inspector 用の委任された管理者の指定

Console
コンソールに委任された管理者を指定する
  1. AWS Organizations 管理アカウント AWS Management Console を使用して にサインインします。

  2. https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開き、右上の AWS リージョン セレクターを使用して、管理者を指定するリージョンを指定します。

  3. 委任管理者ペインで、組織の Amazon Inspector 委任管理者として AWS アカウント 指定する の 12 桁のアカウント ID を入力します。次に、管理の委任 を選択します。

  4. (推奨) 各 AWS リージョン毎に前のステップを繰り返します。

API
API で委任された管理者を指定する
  • Organizations 管理アカウントの AWS アカウント の認証情報を使用して EnableDelegatedAdminAccount API オペレーションを実行します。次の CLI コマンドを実行して、これを行う AWS Command Line Interface こともできますaws inspector2 enable-delegated-admin-account --delegated-admin-account-id 11111111111

    注記

    Amazon Inspector の委任された管理者にするアカウントのアカウント ID を必ず指定してください。

委任された管理者を指定した後は、委任された管理者アカウントを変更または削除するためにのみ、管理アカウントを使用する必要があります AWS Organizations 。