AWS Amazon Inspector の マネージドポリシー - Amazon Inspector

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Amazon Inspector の マネージドポリシー

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースに対するアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。

AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。

AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) が更新されます。 は、新しい AWS のサービス が起動されたとき、または既存のサービスで新しい API AWS オペレーションが使用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。

AWS マネージドポリシー: AmazonInspector2FullAccess

AmazonInspector2FullAccess ポリシーは IAM ID にアタッチできます。

このポリシーは、Amazon Inspector へのフルアクセスを許可する管理許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • inspector2 – Amazon Inspector 機能へのフルアクセスを許可します。

  • iam — Amazon Inspector がサービスにリンクされたロール AWSServiceRoleForAmazonInspector2 と を作成できるようにしますAWSServiceRoleForAmazonInspector2AgentlessAWSServiceRoleForAmazonInspector2はAmazon Inspectorが Amazon EC2 インスタンス、Amazon ECR リポジトリ、コンテナイメージに関する情報の取得などのオペレーションを実行するために必要です。また、Amazon Inspector が VPC ネットワークを分析し、組織に関連付けられているアカウントを記述するためにも必要です。 AWSServiceRoleForAmazonInspector2Agentlessは、Amazon InspectorAmazon EC2インスタンスや Amazon EBS スナップショットに関する情報の取得などのオペレーションを実行するために必要です。また、 AWS KMS キーで暗号化された Amazon EBS スナップショットを復号化する必要があります。詳細については、「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

  • organizations — 管理者による AWS Organizationsの組織への Amazon Inspector の使用を許可します。で Amazon Inspector の信頼されたアクセスをアクティブ化すると AWS Organizations、委任された管理者アカウントのメンバーは、組織全体の設定を管理し、結果を表示できます。

  • codeguru-security — 管理者が Amazon Inspector を使用して情報コードスニペットを取得し、 CodeGuru Security が保存するコードの暗号化設定を変更できるようにします。詳細については、「検出結果のコードの保管時の暗号化」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowFullAccessToInspectorApis", "Effect": "Allow", "Action": "inspector2:*", "Resource": "*" }, { "Sid": "AllowAccessToCodeGuruApis", "Effect": "Allow", "Action": [ "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration" ], "Resource": "*" }, { "Sid": "AllowAccessToCreateSlr", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "agentless.inspector2.amazonaws.com", "inspector2.amazonaws.com" ] } } }, { "Sid": "AllowAccessToOrganizationApis", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" } ] }

AWS マネージドポリシー: AmazonInspector2ReadOnlyAccess

AmazonInspector2ReadOnlyAccess ポリシーは IAM ID にアタッチできます。

このポリシーは、Amazon Inspector への読み取り専用アクセスを可能にする許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • inspector2 – Amazon Inspector 機能への読み取り専用アクセスを許可します。

  • organizations – 内の組織の Amazon Inspector カバレッジの詳細を表示 AWS Organizations できるようにします。

  • codeguru-security — CodeGuru セキュリティからコードスニペットを取得できるようにします。また、 CodeGuru Security に保存されているコードの暗号化設定を表示することもできます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "inspector2:BatchGet*", "inspector2:List*", "inspector2:Describe*", "inspector2:Get*", "inspector2:Search*", "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration" ], "Resource": "*" } ] }

AWS マネージドポリシー: AmazonInspector2ManagedCisPolicy

IAM エンティティに AmazonInspector2ManagedCisPolicy ポリシーをアタッチできます。このポリシーは、インスタンスの CIS スキャンを実行するためのアクセス許可を Amazon EC2 インスタンスに付与するロールにアタッチする必要があります。IAM ロールを使用して、EC2 インスタンスで実行され、 AWS CLI または AWS API リクエストを行うアプリケーションの一時的な認証情報を管理できます。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。 AWS ロールを EC2 インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時的な認証情報を取得できます。詳細については、IAM ユーザーガイドAmazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用して許可を付与するを参照してください。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • inspector2 — CIS スキャンの実行に使用されるアクションへのアクセスを許可します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector2:StartCisSession", "inspector2:StopCisSession", "inspector2:SendCisSessionTelemetry", "inspector2:SendCisSessionHealth" ], "Resource": "*", } ] }

AWS マネージドポリシー: AmazonInspector2ServiceRolePolicy

IAM エンティティに AmazonInspector2ServiceRolePolicy ポリシーをアタッチすることはできません。このポリシーは、Amazon Inspector がユーザーに代わってアクションを実行することを許可するサービスリンクロールにアタッチされます。詳細については、「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

AWS マネージドポリシー: AmazonInspector2AgentlessServiceRolePolicy

IAM エンティティに AmazonInspector2AgentlessServiceRolePolicy ポリシーをアタッチすることはできません。このポリシーは、Amazon Inspector がユーザーに代わってアクションを実行することを許可するサービスリンクロールにアタッチされます。詳細については、「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

Amazon Inspector による AWS マネージドポリシーの更新

Amazon Inspector の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページへの変更に関する自動アラートを受け取るには、Amazon Inspector のドキュメント履歴ページで RSS フィードにサブスクライブしてください。

変更 説明 日付

AmazonInspector2FullAccess – 既存のポリシーの更新

Amazon Inspector には、Amazon Inspector がサービスにリンクされたロールを作成できるようにするアクセス許可が追加されましたAWSServiceRoleForAmazonInspector2Agentless。これにより、ユーザーは Amazon Inspector を有効にするときにエージェントベースのスキャンエージェントレススキャンを実行できます。

2024 年 4 月 24 日

AmazonInspector2ManagedCisPolicy – 新しいポリシー

Amazon Inspector は、インスタンスプロファイルの一部として使用して、インスタンスで CIS スキャンを許可できる新しい管理ポリシーを追加しました。

2024 年 1 月 23 日

AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新

Amazon Inspector は、Amazon Inspector がターゲットインスタンスで CIS スキャンを開始できるようにする新しいアクセス許可を追加しました。

2024 年 1 月 23 日

AmazonInspector2AgentlessServiceRolePolicy – 新しいポリシー

Amazon Inspector には、EC2 インスタンスのエージェントレススキャンを可能にする、サービスリンクロールの新しいポリシーが追加されました。

2023 年 11 月 27 日

AmazonInspector2ReadOnlyAccess – 既存のポリシーの更新

Amazon Inspector には、読み取り専用ユーザーがパッケージの脆弱性検出結果の脆弱性インテリジェンスの詳細を取得できる新しいアクセス許可が追加されました。

2023 年 9 月 22 日

AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新

Amazon Inspector には、Elastic Load Balancing ターゲットグループの一部である Amazon EC2 インスタンスのネットワーク設定をスキャンできるようにする新しいアクセス許可が追加されました。

2023 年 8 月 31 日

AmazonInspector2ReadOnlyAccess – 既存のポリシーの更新

Amazon Inspector には、読み取り専用ユーザーがリソースのソフトウェア部品表 (SBOM) をエクスポートできる新しいアクセス許可が追加されました。

2023 年 6 月 29 日

AmazonInspector2ReadOnlyAccess – 既存のポリシーの更新

Amazon Inspector には、読み取り専用ユーザーが自分のアカウントの Lambda コードスキャン検出結果の暗号化設定の詳細を取得できるようにする新しいアクセス許可が追加されました。

2023 年 6 月 13 日

AmazonInspector2FullAccess – 既存のポリシーの更新

Amazon Inspector には、Lambda コードスキャンの検出結果に含まれるコードを暗号化するようにカスタマーマネージドキー KMS キーをユーザーが設定できる新しいアクセス許可が追加されました。

2023 年 6 月 13 日

AmazonInspector2ReadOnlyAccess – 既存のポリシーの更新

Amazon Inspector には、読み取り専用ユーザーが自分のアカウントの Lambda コードスキャンのステータスと検出結果の詳細を取得できる新しいアクセス許可が追加されました。

2023 年 5 月 2 日

AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新

Amazon Inspector は、Lambda スキャンをアクティブ化するときに Amazon Inspector がアカウントに AWS CloudTrail サービスにリンクされたチャネルを作成できるようにする新しいアクセス許可を追加しました。これにより、Amazon Inspector はアカウント内の CloudTrail イベントをモニタリングできます。

2023 年 4 月 30 日

AmazonInspector2FullAccess – 既存のポリシーの更新

Amazon Inspector には、ユーザーが Lambda コードスキャンから得られたコード脆弱性の検出結果を取得できる新しいアクセス許可が追加されました。

2023 年 4 月 21 日

AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新

Amazon Inspector に、Amazon Inspector が Amazon EC2 の詳細検査用に定義したカスタムパスに関する情報を Amazon EC2 Systems Manager に送信できるようにする新しいアクセス許可が追加されました。 Amazon EC2

2023 年 4 月 17 日

AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新

Amazon Inspector は、Lambda スキャンをアクティブ化するときに Amazon Inspector がアカウントに AWS CloudTrail サービスにリンクされたチャネルを作成できるようにする新しいアクセス許可を追加しました。これにより、Amazon Inspector はアカウント内の CloudTrail イベントをモニタリングできます。

2023 年 4 月 30 日

AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新

Amazon Inspector は、Amazon Inspector が AWS Lambda 関数内のデベロッパーコードのスキャンをリクエストし、Amazon CodeGuru Security からスキャンデータを受信できるようにする新しいアクセス許可を追加しました。さらに、Amazon Inspector には、IAM ポリシーを確認するためのアクセス許可が追加されました。Amazon Inspector はこの情報を使用して Lambda 関数のコード脆弱性をスキャンします。

2023 年 2 月 28 日

AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新

Amazon Inspector は、 AWS Lambda 関数が最後に呼び出された日時 CloudWatch に関する情報の取得を Amazon Inspector に許可する新しいステートメントを追加しました。Amazon Inspector はこの情報を使用して、過去 90 日間にアクティブだった環境内の Lambda 関数にスキャンの対象を絞ります。

2023 年 2 月 20 日

AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新

Amazon Inspector は、Amazon Inspector が各 AWS Lambda 関数に関連付けられている各レイヤーバージョンを含む関数に関する情報を取得できるようにする新しいステートメントを追加しました。Amazon Inspector はこの情報を使用して Lambda 関数のセキュリティ脆弱性をスキャンします。

2022 年 11 月 28 日

AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新

Amazon Inspector には、Amazon Inspector が SSM 関連付け実行を記述できるようにする新しいアクションが追加されました。さらに、Amazon Inspector では、AmazonInspector2 所有の SSM ドキュメントとの SSM 関連付けを作成、更新、削除、および開始できるように、リソーススコープが追加されました。

2022 年 8 月 31 日

AmazonInspector2ServiceRolePolicy 既存のポリシーの更新

Amazon Inspector はポリシーのリソーススコープを更新し、Amazon Inspector が他の AWS パーティションでソフトウェアインベントリを収集できるようにしました。

2022 年 8 月 12 日

AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新

Amazon Inspector はアクションのリソーススコープを再構築し、Amazon Inspector が SSM 関連付けを作成、削除、および更新できるようにしました。

2022 年 8 月 10 日

AmazonInspector2ReadOnlyAccess – 新しいポリシー

Amazon Inspector には、機能への読み取り専用アクセスを許可する新しいポリシーが追加されました。

2022 年 1 月 21 日

AmazonInspector2FullAccess – 新しいポリシー

Amazon Inspector には、機能へのフルアクセスを許可する新しいポリシーが追加されました。

2021 年 11 月 29 日

AmazonInspector2ServiceRolePolicy – 新しいポリシー

Amazon Inspector には、Amazon Inspector がお客様に代わって他のサービスでアクションを実行できるようになりました。

2021 年 11 月 29 日

Amazon Inspector が変更の追跡を開始しました。

Amazon Inspector が AWS マネージドポリシーの変更の追跡を開始しました。

2021 年 11 月 29 日