AWS Amazon Inspector の マネージドポリシー

AWS マネージドポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS マネージドポリシーは、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できるように、多くの一般的なユースケースに対するアクセス許可を提供するように設計されています。

AWS マネージドポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小権限のアクセス許可を付与しない場合があることに注意してください。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。

AWS マネージドポリシーで定義されているアクセス許可は変更できません。が マネージドポリシーで AWS 定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しいAPIオペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。

詳細については、「 ユーザーガイド」のAWS 「 管理ポリシー」を参照してください。 IAM

AWS マネージドポリシー：AmazonInspector2FullAccess

ID IAM にAmazonInspector2FullAccessポリシーをアタッチできます。

このポリシーは、Amazon Inspector へのフルアクセスを許可する管理許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• inspector2 – Amazon Inspector 機能へのフルアクセスを許可します。

• iam – Amazon Inspector がサービスにリンクされたロールAWSServiceRoleForAmazonInspector2と を作成できるようにしますAWSServiceRoleForAmazonInspector2Agentless。 AWSServiceRoleForAmazonInspector2はAmazon Inspector が Amazon EC2インスタンス、Amazon ECR リポジトリ、コンテナイメージに関する情報の取得などのオペレーションを実行するために必要です。また、Amazon Inspector がVPCネットワークを分析し、組織に関連付けられているアカウントを記述するためにも必要です。 AWSServiceRoleForAmazonInspector2Agentlessは、Amazon Inspector が Amazon EC2インスタンスや Amazon EBSスナップショットに関する情報の取得などのオペレーションを実行するために必要です。また、 AWS KMS キーで暗号化された Amazon EBSスナップショットを復号することも必要です。詳細については、「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

• organizations — 管理者による AWS Organizationsの組織への Amazon Inspector の使用を許可します。で Amazon Inspector の信頼されたアクセスを有効にすると AWS Organizations、委任された管理者アカウントのメンバーは、組織全体の設定を管理し、結果を表示できます。

• codeguru-security – 管理者が Amazon Inspector を使用して情報コードスニペットを取得し、 CodeGuru Security が保存するコードの暗号化設定を変更できるようにします。詳細については、「検出結果のコードの保管時の暗号化」を参照してください。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllowFullAccessToInspectorApis",
			"Effect": "Allow",
			"Action": "inspector2:*",
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessToCodeGuruApis",
			"Effect": "Allow",
			"Action": [
				"codeguru-security:BatchGetFindings",
				"codeguru-security:GetAccountConfiguration"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessToCreateSlr",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": [
						"agentless.inspector2.amazonaws.com",
						"inspector2.amazonaws.com"
					]
				}
			}
		},
		{
			"Sid": "AllowAccessToOrganizationApis",
			"Effect": "Allow",
			"Action": [
				"organizations:EnableAWSServiceAccess",
				"organizations:RegisterDelegatedAdministrator",
				"organizations:ListDelegatedAdministrators",
				"organizations:ListAWSServiceAccessForOrganization",
				"organizations:DescribeOrganizationalUnit",
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization"
			],
			"Resource": "*"
		}
	]
}

AWS マネージドポリシー：AmazonInspector2ReadOnlyAccess

ID IAM にAmazonInspector2ReadOnlyAccessポリシーをアタッチできます。

このポリシーは、Amazon Inspector への読み取り専用アクセスを可能にする許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• inspector2 – Amazon Inspector 機能への読み取り専用アクセスを許可します。

• organizations – 内の組織の Amazon Inspector カバレッジの詳細を表示 AWS Organizations できるようにします。

• codeguru-security – CodeGuru Security からコードスニペットを取得できるようにします。また、 CodeGuru Security に保存されているコードの暗号化設定を表示することもできます。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators",
				"organizations:ListAWSServiceAccessForOrganization",
				"organizations:DescribeOrganizationalUnit",
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization",
				"inspector2:BatchGet*",
				"inspector2:List*",
				"inspector2:Describe*",
				"inspector2:Get*",
				"inspector2:Search*",
				"codeguru-security:BatchGetFindings",
				"codeguru-security:GetAccountConfiguration"
			],
			"Resource": "*"
		}
	]
}

AWS マネージドポリシー：AmazonInspector2ManagedCisPolicy

AmazonInspector2ManagedCisPolicy ポリシーをIAMエンティティにアタッチできます。このポリシーは、インスタンスのCISスキャンを実行するアクセス許可を Amazon EC2インスタンスに付与するロールにアタッチする必要があります。IAM ロールを使用して、EC2インスタンスで実行され、 AWS CLI または AWS API リクエストを行うアプリケーションの一時的な認証情報を管理できます。これは、EC2インスタンス内にアクセスキーを保存するよりも望ましいです。EC2 インスタンスに AWS ロールを割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルには ロールが含まれており、EC2インスタンスで実行されているプログラムが一時的な認証情報を取得できるようにします。詳細については、IAM「 ユーザーガイド」のIAM「ロールを使用して Amazon EC2インスタンスで実行されているアプリケーションにアクセス許可を付与する」を参照してください。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

• inspector2 – CISスキャンの実行に使用されるアクションへのアクセスを許可します。

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "inspector2:StartCisSession", 
            "inspector2:StopCisSession", 
            "inspector2:SendCisSessionTelemetry", 
            "inspector2:SendCisSessionHealth"
            ],
            "Resource": "*",
        }
     ]
 }

AWS マネージドポリシー：AmazonInspector2ServiceRolePolicy

IAM エンティティにAmazonInspector2ServiceRolePolicyポリシーをアタッチすることはできません。このポリシーは、Amazon Inspector がユーザーに代わってアクションを実行することを許可するサービスリンクロールにアタッチされます。詳細については、「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

AWS マネージドポリシー：AmazonInspector2AgentlessServiceRolePolicy

AmazonInspector2AgentlessServiceRolePolicy ポリシーをIAMエンティティにアタッチすることはできません。このポリシーは、Amazon Inspector がユーザーに代わってアクションを実行することを許可するサービスリンクロールにアタッチされます。詳細については、「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

AWS マネージドポリシーへの Amazon Inspector の更新

このサービスがこれらの変更の追跡を開始してからの Amazon Inspector の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、Amazon Inspector ドキュメント履歴ページのRSSフィードにサブスクライブします。

変更	説明	日付
AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新	Amazon Inspector は、Amazon Inspector が で関数タグを返すことを可能にする新しいアクセス許可を追加しました AWS Lambda。	2024 年 7 月 31 日
AmazonInspector2FullAccess – 既存のポリシーの更新	Amazon Inspector には、Amazon Inspector がサービスにリンクされたロールを作成できるようにするアクセス許可が追加されましたAWSServiceRoleForAmazonInspector2Agentless。これにより、ユーザーは Amazon Inspector を有効にしたときにエージェントベースのスキャンとエージェントレススキャンを実行できます。	2024 年 4 月 24 日
AmazonInspector2ManagedCisPolicy – 新しいポリシー	Amazon Inspector は、インスタンスプロファイルの一部としてインスタンスのCISスキャンを許可するために使用できる新しい管理ポリシーを追加しました。	2024 年 1 月 23 日
AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新	Amazon Inspector は、Amazon Inspector がターゲットインスタンスでCISスキャンを開始できるようにする新しいアクセス許可を追加しました。	2024 年 1 月 23 日
AmazonInspector2AgentlessServiceRolePolicy – 新しいポリシー	Amazon Inspector は、EC2インスタンスのエージェントレススキャンを許可する新しいサービスにリンクされたロールポリシーを追加しました。	2023 年 11 月 27 日
AmazonInspector2ReadOnlyAccess – 既存のポリシーの更新	Amazon Inspector には、読み取り専用ユーザーがパッケージの脆弱性検出結果の脆弱性インテリジェンスの詳細を取得できる新しいアクセス許可が追加されました。	2023 年 9 月 22 日
AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新	Amazon Inspector には、Elastic Load Balancing ターゲットグループの一部である Amazon EC2インスタンスのネットワーク設定を Amazon Inspector がスキャンできるようにする新しいアクセス許可が追加されました。	2023 年 8 月 31 日
AmazonInspector2ReadOnlyAccess – 既存のポリシーの更新	Amazon Inspector は、読み取り専用ユーザーがリソースのソフトウェア部品表 (SBOM) をエクスポートできるようにする新しいアクセス許可を追加しました。	2023 年 6 月 29 日
AmazonInspector2ReadOnlyAccess – 既存のポリシーの更新	Amazon Inspector には、読み取り専用ユーザーが自分のアカウントの Lambda コードスキャン検出結果の暗号化設定の詳細を取得できるようにする新しいアクセス許可が追加されました。	2023 年 6 月 13 日
AmazonInspector2FullAccess – 既存のポリシーの更新	Amazon Inspector には、Lambda コードスキャンの結果のコードを暗号化するようにユーザーがカスタマーマネージドKMSキーを設定できるようにする新しいアクセス許可が追加されました。	2023 年 6 月 13 日
AmazonInspector2ReadOnlyAccess – 既存のポリシーの更新	Amazon Inspector には、読み取り専用ユーザーが自分のアカウントの Lambda コードスキャンのステータスと検出結果の詳細を取得できる新しいアクセス許可が追加されました。	2023 年 5 月 2 日
AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新	Amazon Inspector は、Lambda スキャンを有効にするときに Amazon Inspector がアカウントに AWS CloudTrail サービスにリンクされたチャネルを作成できるようにする新しいアクセス許可を追加しました。これにより、Amazon Inspector はアカウントの CloudTrail イベントをモニタリングできます。	2023 年 4 月 30 日
AmazonInspector2FullAccess – 既存のポリシーの更新	Amazon Inspector には、ユーザーが Lambda コードスキャンから得られたコード脆弱性の検出結果を取得できる新しいアクセス許可が追加されました。	2023 年 4 月 21 日
AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新	Amazon Inspector には、Amazon Inspector が顧客が Amazon EC2ディープインスペクション用に定義したカスタムパスに関する情報を Amazon EC2 Systems Manager に送信できるようにする新しいアクセス許可が追加されました。	2023 年 4 月 17 日
AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新	Amazon Inspector は、Lambda スキャンを有効にするときに Amazon Inspector がアカウントに AWS CloudTrail サービスにリンクされたチャネルを作成できるようにする新しいアクセス許可を追加しました。これにより、Amazon Inspector はアカウントの CloudTrail イベントをモニタリングできます。	2023 年 4 月 30 日
AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新	Amazon Inspector には、Amazon Inspector が AWS Lambda 関数内のデベロッパーコードのスキャンをリクエストし、Amazon CodeGuru Security からスキャンデータを受信できるようにする新しいアクセス許可が追加されました。さらに、Amazon Inspector はIAMポリシーを確認するアクセス許可を追加しました。Amazon Inspector はこの情報を使用して Lambda 関数のコード脆弱性をスキャンします。	2023 年 2 月 28 日
AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新	Amazon Inspector は、Amazon Inspector が AWS Lambda 関数が最後に呼び出された日時 CloudWatch に関する情報を取得できるようにする新しいステートメントを追加しました。Amazon Inspector はこの情報を使用して、過去 90 日間にアクティブだった環境内の Lambda 関数にスキャンの対象を絞ります。	2023 年 2 月 20 日
AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新	Amazon Inspector は、Amazon Inspector が各 AWS Lambda 関数に関連付けられている各レイヤーバージョンを含む関数に関する情報を取得できるようにする新しいステートメントを追加しました。Amazon Inspector はこの情報を使用して Lambda 関数のセキュリティ脆弱性をスキャンします。	2022 年 11 月 28 日
AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新	Amazon Inspector は、Amazon Inspector がSSM関連付けの実行を記述できるようにする新しいアクションを追加しました。さらに、Amazon Inspector は、Amazon Inspector がAmazonInspector2所有SSMドキュメントの作成、更新、削除、およびSSM関連付けを開始できるように、リソース範囲を追加しました。	2022 年 8 月 31 日
AmazonInspector2ServiceRolePolicy 既存のポリシーの更新	Amazon Inspector は、Amazon Inspector が他の AWS パーティションでソフトウェアインベントリを収集できるように、ポリシーのリソース範囲を更新しました。	2022 年 8 月 12 日
AmazonInspector2ServiceRolePolicy – 既存のポリシーの更新	Amazon Inspector は、Amazon Inspector がSSM関連付けを作成、削除、更新できるようにするアクションのリソース範囲を再編成しました。	2022 年 8 月 10 日
AmazonInspector2ReadOnlyAccess – 新しいポリシー	Amazon Inspector には、機能への読み取り専用アクセスを許可する新しいポリシーが追加されました。	2022 年 1 月 21 日
AmazonInspector2FullAccess – 新しいポリシー	Amazon Inspector には、機能へのフルアクセスを許可する新しいポリシーが追加されました。	2021 年 11 月 29 日
AmazonInspector2ServiceRolePolicy – 新しいポリシー	Amazon Inspector には、Amazon Inspector がお客様に代わって他のサービスでアクションを実行できるようになりました。	2021 年 11 月 29 日
Amazon Inspector が変更の追跡を開始しました。	Amazon Inspector は AWS 、管理ポリシーの変更の追跡を開始しました。	2021 年 11 月 29 日