Amazon Inspector の AWS マネージドポリシー - Amazon Inspector
AmazonInspector2FullAccessAmazonInspector2ReadOnlyAccessAmazonInspector2ManagedCisPolicyAmazonInspector2ServiceRolePolicyAmazonInspector2AgentlessServiceRolePolicyポリシーの更新

Amazon Inspector の AWS マネージドポリシー

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースで権限を提供できるように設計されているため、ユーザー、グループ、ロールへの権限の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。AWSのすべてのお客様が使用できるようになるのを避けるためです。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。

AWS マネージドポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS マネージドポリシー: AmazonInspector2FullAccess

AmazonInspector2FullAccess ポリシーは IAM アイデンティティにアタッチできます。

このポリシーは、Amazon Inspector へのフルアクセスを許可する管理許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • inspector2 – Amazon Inspector 機能へのフルアクセスを許可します。

  • iam – Amazon Inspector がサービスにリンクされたロール AWSServiceRoleForAmazonInspector2AWSServiceRoleForAmazonInspector2Agentless を作成できるようにします。AWSServiceRoleForAmazonInspector2 は、Amazon Inspector が Amazon EC2 インスタンス、Amazon ECR リポジトリ、コンテナイメージに関する情報の取得などのオペレーションを実行するために必要です。また、Amazon Inspector は、VPC ネットワークを分析し、組織に関連付けられているアカウントを記述する必要もあります。AWSServiceRoleForAmazonInspector2Agentless は、Amazon Inspector が Amazon EC2 インスタンスや Amazon EBS スナップショットに関する情報の取得などのオペレーションを実行するために必要です。また、AWS KMS キーで暗号化された Amazon EBS スナップショットを復号する必要もあります。詳細については、「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

  • organizations — 管理者による AWS Organizations の組織への Amazon Inspector の使用を許可します。AWS Organizations で Amazon Inspector の信頼されたアクセスをアクティブ化すると、委任管理者アカウントは、組織全体で設定を管理し、検出結果を表示できます。

  • codeguru-security – 管理者は Amazon Inspector を使用して、CodeGuru Security が保存しているコードの情報コードスニペットを取得し、暗号化設定を変更できます。詳細については、「検出結果のコードの保管時の暗号化」を参照してください。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllowFullAccessToInspectorApis",
			"Effect": "Allow",
			"Action": "inspector2:*",
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessToCodeGuruApis",
			"Effect": "Allow",
			"Action": [
				"codeguru-security:BatchGetFindings",
				"codeguru-security:GetAccountConfiguration"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessToCreateSlr",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": [
						"agentless.inspector2.amazonaws.com",
						"inspector2.amazonaws.com"
					]
				}
			}
		},
		{
			"Sid": "AllowAccessToOrganizationApis",
			"Effect": "Allow",
			"Action": [
				"organizations:EnableAWSServiceAccess",
				"organizations:RegisterDelegatedAdministrator",
				"organizations:ListDelegatedAdministrators",
				"organizations:ListAWSServiceAccessForOrganization",
				"organizations:DescribeOrganizationalUnit",
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization"
			],
			"Resource": "*"
		}
	]
}

AWS マネージドポリシー: AmazonInspector2ReadOnlyAccess

AmazonInspector2ReadOnlyAccess ポリシーは IAM アイデンティティにアタッチできます。

このポリシーは、Amazon Inspector への読み取り専用アクセスを可能にする許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • inspector2 – Amazon Inspector 機能への読み取り専用アクセスを許可します。

  • organizations — AWS Organizations の組織の Amazon Inspector のカバレッジに関する詳細を表示できます。

  • codeguru-security — CodeGuru Security からコードスニペットを取得できるようにします。また、CodeGuru Security に保存されているコードの暗号化設定を表示することもできます。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators",
				"organizations:ListAWSServiceAccessForOrganization",
				"organizations:DescribeOrganizationalUnit",
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization",
				"inspector2:BatchGet*",
				"inspector2:List*",
				"inspector2:Describe*",
				"inspector2:Get*",
				"inspector2:Search*",
				"codeguru-security:BatchGetFindings",
				"codeguru-security:GetAccountConfiguration"
			],
			"Resource": "*"
		}
	]
}

AWS マネージドポリシー: AmazonInspector2ManagedCisPolicy

IAM エンティティに AmazonInspector2ManagedCisPolicy ポリシーをアタッチできます。このポリシーは、Amazon EC2 インスタンスにインスタンスの CIS スキャンの実行を許可するアクセス許可を与えるロールにアタッチする必要があります。EC2 インスタンスで実行され、AWS CLI または AWS API リクエストを作成しているアプリケーションのために一時的な認証情報を管理するには、IAM ロールが使用できます。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。AWS ロールを EC2 インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスに添付されたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時的な認証情報を取得できます。詳細については、IAM ユーザーガイドAmazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用して許可を付与するを参照してください。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • inspector2 – CIS スキャンの実行に使用されるアクションへのアクセスを許可します。

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "inspector2:StartCisSession", 
            "inspector2:StopCisSession", 
            "inspector2:SendCisSessionTelemetry", 
            "inspector2:SendCisSessionHealth"
            ],
            "Resource": "*",
        }
     ]
 }

AWS マネージドポリシー: AmazonInspector2ServiceRolePolicy

IAM エンティティに AmazonInspector2ServiceRolePolicy ポリシーをアタッチすることはできません。このポリシーは、Amazon Inspector がユーザーに代わってアクションを実行することを許可するサービスリンクロールにアタッチされます。詳細については、「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

AWS マネージドポリシー: AmazonInspector2AgentlessServiceRolePolicy

IAM エンティティに AmazonInspector2AgentlessServiceRolePolicy ポリシーをアタッチすることはできません。このポリシーは、Amazon Inspector がユーザーに代わってアクションを実行することを許可するサービスリンクロールにアタッチされます。詳細については、「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

AWS マネージドポリシーに対する Amazon Inspector 更新

Amazon Inspector の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページへの変更に関する自動アラートを受け取るには、Amazon Inspector のドキュメント履歴ページで RSS フィードにサブスクライブしてください。

変更 説明 日付

AmazonInspector2ServiceRolePolicy — 既存のポリシーの更新

Amazon Inspector は、Amazon Inspector が AWS Lambda で関数タグを返すことを許可する新しいアクセス許可を追加しました。

 2024 年 7 月 31 日

AmazonInspector2FullAccess — 既存のポリシーの更新

Amazon Inspector は、Amazon Inspector がサービスにリンクされたロール AWSServiceRoleForAmazonInspector2Agentless を作成できるようにするアクセス許可を追加しました。これにより、ユーザーは Amazon Inspector を有効にするときにエージェントベースのスキャンエージェントレススキャンを実行できます。

 2024 年 4 月 24 日

AmazonInspector2ManagedCisPolicy – 新しいポリシー

Amazon Inspector は、インスタンスプロファイルの一部として使用してインスタンスの CIS スキャンを許可する新しい管理ポリシーを追加しました。

 2024 年 1 月 23 日

AmazonInspector2ServiceRolePolicy — 既存のポリシーの更新

Amazon Inspector は、Amazon Inspector にターゲットインスタンスで CIS スキャンを開始できるようにする新しいアクセス許可を追加しました。

 2024 年 1 月 23 日

AmazonInspector2AgentlessServiceRolePolicy – 新しいポリシー

Amazon Inspector には、EC2 インスタンスのエージェントレススキャンを可能にする、サービスリンクロールの新しいポリシーが追加されました。

 2023 年 11 月 27 日

AmazonInspector2ReadOnlyAccess — 既存のポリシーの更新

Amazon Inspector には、読み取り専用ユーザーがパッケージの脆弱性検出結果の脆弱性インテリジェンスの詳細を取得できる新しいアクセス許可が追加されました。

 2023 年 9 月 22 日

AmazonInspector2ServiceRolePolicy — 既存のポリシーの更新

Amazon Inspector には、Elastic Load Balancing ターゲットグループの一部である Amazon EC2 インスタンスのネットワーク設定をスキャンできるようにする新しいアクセス許可が追加されました。

 2023 年 8 月 31 日

AmazonInspector2ReadOnlyAccess - 既存のポリシーの更新

Amazon Inspector には、読み取り専用ユーザーがリソースのソフトウェア部品表 (SBOM) をエクスポートできる新しいアクセス許可が追加されました。

 2023 年 6 月 29 日

AmazonInspector2ReadOnlyAccess - 既存のポリシーの更新

Amazon Inspector には、読み取り専用ユーザーが自分のアカウントの Lambda コードスキャン検出結果の暗号化設定の詳細を取得できるようにする新しいアクセス許可が追加されました。

 2023 年 6 月 13 日

AmazonInspector2FullAccess — 既存のポリシーの更新

Amazon Inspector には、Lambda コードスキャンの検出結果に含まれるコードを暗号化するようにカスタマーマネージドキー KMS キーをユーザーが設定できる新しいアクセス許可が追加されました。

 2023 年 6 月 13 日

AmazonInspector2ReadOnlyAccess - 既存のポリシーの更新

Amazon Inspector には、読み取り専用ユーザーが自分のアカウントの Lambda コードスキャンのステータスと検出結果の詳細を取得できる新しいアクセス許可が追加されました。

 2023 年 5 月 2 日

AmazonInspector2ServiceRolePolicy — 既存のポリシーの更新

Amazon Inspector には、Lambda スキャンをアクティブ化したときに Amazon Inspector が AWS CloudTrail サービスにリンクされたチャネルをアカウントに作成できるようにする新しいアクセス許可が追加されました。これにより、Amazon Inspector はアカウントの CloudTrail イベントをモニタリングできます。

 2023 年 4 月 30 日

AmazonInspector2FullAccess — 既存のポリシーの更新

Amazon Inspector には、ユーザーが Lambda コードスキャンから得られたコード脆弱性の検出結果を取得できる新しいアクセス許可が追加されました。

 2023 年 4 月 21 日

AmazonInspector2ServiceRolePolicy — 既存のポリシーの更新

Amazon Inspector は、Amazon EC2 詳細検査向けにカスタマーが定義したカスタムパスに関する情報を Amazon EC2 Systems Manager に送信できるようにする新しいアクセス許可を追加しました。

 2023 年 4 月 17 日

AmazonInspector2ServiceRolePolicy — 既存のポリシーの更新

Amazon Inspector には、Lambda スキャンをアクティブ化したときに Amazon Inspector が AWS CloudTrail サービスにリンクされたチャネルをアカウントに作成できるようにする新しいアクセス許可が追加されました。これにより、Amazon Inspector はアカウントの CloudTrail イベントをモニタリングできます。

 2023 年 4 月 30 日

AmazonInspector2ServiceRolePolicy — 既存のポリシーの更新

Amazon Inspector には、Amazon Inspector が AWS Lambda 関数内の開発者コードのスキャンをリクエストし、Amazon CodeGuru Security からスキャンデータを受信できるようにする新しいアクセス許可が追加されました。さらに、Amazon Inspector には、IAM ポリシーを確認するためのアクセス許可が追加されました。Amazon Inspector はこの情報を使用して Lambda 関数のコード脆弱性をスキャンします。

 2023 年 2 月 28 日

AmazonInspector2ServiceRolePolicy — 既存のポリシーの更新

Amazon Inspector には、AWS Lambda 関数が最後に呼び出された日時に関する情報を CloudWatch から取得できるようにする新しいステートメントが追加されました。Amazon Inspector はこの情報を使用して、過去 90 日間にアクティブだった環境内の Lambda 関数にスキャンの対象を絞ります。

 2023 年 2 月 20 日

AmazonInspector2ServiceRolePolicy — 既存のポリシーの更新

Amazon Inspector には、AWS Lambda 関数に関する情報 (各関数に関連付けられている各レイヤーバージョンなど) を取得できるようにする新しいステートメントが追加されました。Amazon Inspector はこの情報を使用して Lambda 関数のセキュリティ脆弱性をスキャンします。

 2022 年 11 月 28 日

AmazonInspector2ServiceRolePolicy — 既存のポリシーの更新

Amazon Inspector には、Amazon Inspector が SSM 関連付け実行を記述できるようにする新しいアクションが追加されました。さらに、Amazon Inspector では、AmazonInspector2 所有の SSM ドキュメントとの SSM 関連付けを作成、更新、削除、および開始できるように、リソーススコープが追加されました。

 2022 年 8 月 31 日

AmazonInspector2ServiceRolePolicy 既存のポリシーの更新

Amazon Inspector は、ポリシーのリソーススコープを更新し、Amazon Inspector が他の AWS パーティションのソフトウェアインベントリを収集できるようにしました。

 2022 年 8 月 12 日

AmazonInspector2ServiceRolePolicy — 既存のポリシーの更新

Amazon Inspector はアクションのリソーススコープを再構築し、Amazon Inspector が SSM 関連付けを作成、削除、および更新できるようにしました。

 2022 年 8 月 10 日

AmazonInspector2ReadOnlyAccess — 新しいポリシー

Amazon Inspector には、機能への読み取り専用アクセスを許可する新しいポリシーが追加されました。

 2022 年 1 月 21 日

AmazonInspector2FullAccess — 新しいポリシー

Amazon Inspector には、機能へのフルアクセスを許可する新しいポリシーが追加されました。

 2021 年 11 月 29 日

AmazonInspector2ServiceRolePolicy — 新しいポリシー

Amazon Inspector には、Amazon Inspector がお客様に代わって他のサービスでアクションを実行できるようになりました。

 2021 年 11 月 29 日

Amazon Inspector が変更の追跡を開始しました。

Amazon Inspector が AWS マネージドポリシーの変更の追跡をスタートしました。

 2021 年 11 月 29 日