Amazon Inspector Classic でのサービスにリンクされたロールの使用 - Amazon Inspector

これは、Amazon Inspector Classic のユーザーガイドです。新しい Amazon Inspector の詳細については、Amazon Inspector ユーザーガイド を参照してください。AAmazon Inspector Classic コンソールにアクセスするには、Amazon Inspector コンソール (https://console.aws.amazon.com/inspector/) を開き、ナビゲーションペインで Amazon Inspector Classic を選択します。

Amazon Inspector Classic でのサービスにリンクされたロールの使用

Amazon Inspector Classic は AWS Identity and Access Management(IAM) サービスにリンクされたロールを使用します。サービスリンクロールは、Amazon Inspector Classic に直接リンクされた特殊なタイプの IAM ロールです。サービスリンクロールは Amazon Inspector Classic によって事前に定義されており、サービスがユーザーに代わって AWS のその他サービスを呼び出すために必要なすべての許可が含まれています。

必要な許可を手動で追加する必要がないため、サービスリンクロールは Amazon Inspector Classic のセットアップを容易にします。サービスリンクロールの許可は Amazon Inspector Classic が定義し、別段の定義がない限り、Amazon Inspector Classic のみがそのロールを引き受けることができます。定義されるアクセス権限には、信頼ポリシーやアクセス許可ポリシーなどがあり、そのアクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールを削除するには、まず、Amazon Inspector を実行しているすべてのリージョンの AWS アカウントの評価ターゲットを削除する必要があります。

サービスリンクロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」でサービスリンクロール列がはいになっているサービスを検索してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

Amazon Inspector Classic のサービスにリンクされたロールの許可

Amazon Inspector Classic では、AWSServiceRoleForAmazonInspector という名前のサービスにリンクされたロールを使用します。AWSServiceRoleForAmazonInspector サービスにリンクされたロールは、このロールを引き受けるために Amazon Inspector を信頼します。

ロールの許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon Inspector Classic に許可します。

  • アクション: iam:CreateServiceLinkedRole 上でarn:aws:iam::*:role/aws-service-role/inspector.amazonaws.com/AWSServiceRoleForAmazonInspector

AWSServiceRoleForAmazonInspector ロールを適切に作成するには、Amazon Inspector Classic で使用する IAM アイデンティティ (ユーザー、ロール、またはグループ) に、必要な許可が付与されている必要があります。必要なアクセス許可を付与するには、AmazonInspectorFullAccess 管理ポリシーをこの IAM ユーザー、グループ、またはロールにアタッチします。管理ポリシーの詳細については、「Amazon Inspector Classic のマネージドポリシー」を参照してください。

サービスにリンクされたロールの詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの許可」を参照してください。

Amazon Inspector Classic のサービスリンクロールの作成

AWSServiceRoleForAmazonInspector サービスにリンクされたロールを手動で作成する必要はありません。

AWSServiceRoleForAmazonInspector サービスリンクロールは自動的に作成されますが、最初に最小限の設定を行う必要がある場合があります。以下のセクションでは、AWSServiceRoleForAmazonInspector サービスにリンクされたロールの設定と使用の詳細について説明します。

初めて Amazon Inspector Classic の使用を開始する場合

  • AWSServiceRoleForAmazonInspector サービスにリンクされたロールは、コンソールの [Amazon Inspector Classic の使用を開始する] ウィザードを使用した場合、または CreateAssessmentTarget API オペレーション実行時に自動的に作成されます。

  • AWSServiceRoleForAmazonInspector サービスにリンクされたロールが作成されるのは、現在サインイン中のリージョンの AWS アカウントに対してのみです。そのリージョン内でのみ、AWS アカウントのリソースへの Amazon Inspector Classic アクセスを許可します。同じ AWS アカウントで [Amazon Inspector Classic の使用を開始する] コンソールウィザードを使用するか、他のリージョンで CreateAssessmentTarget API オペレーションを実行する場合は、AWS アカウントにすでに作成されている、サービスにリンクされた同しロールがこのような他のリージョンに適用されるため、これらのリージョンの AWS アカウントのリソースに対する Amazon Inspector Classic アクセスも付与されます。

AWS アカウントで実行されている Amazon Inspector Classic がすでにある場合

  • AWS アカウントで実行されている Amazon Inspector Classic がすでにある場合、リソースに対するアクセス権を Amazon Inspector Classic に付与する IAM ロールは、すでに AWS アカウントに存在しています。この場合、新しい評価ターゲットまたは新しい評価テンプレートを作成すると (Amazon Inspector Classic コンソールまたは API オペレーション経由で)、AWSServiceRoleForAmazonInspector サービスにリンクされたロールが生成されます。以前作成し、現在までリソースに対するアクセス権を Amazon Inspector Classic に付与していた IAM ロールは、新しく作成されたサービスにリンクされたロールに置き換わります。

    また、Amazon Inspector の [AWSServiceRoleForAmazonInspectorダッシュボード] ページの [アカウント設定] セクションの [Amazon Inspector サービスにリンクされたロールの管理] リンクを選択して、AWSServiceRoleForAmazonInspector サービスにリンクされたロールを手動で作成することもできます。以前作成し、現在までリソースに対するアクセス権を Amazon Inspector Classic に付与していた IAM ロールは、新しく作成されたサービスにリンクされたロールに置き換わります。

    注記

    以前に作成したこの IAM ロールは削除されません。そのまま残りますが、リソースに対するアクセス権を Amazon Inspector Classic に付与するために使用されることはありません。この IAM ロールをさらに管理または削除するには IAM コンソールを使用します。

  • AWSServiceRoleForAmazonInspector サービスにリンクされたロールが作成されるのは、現在サインイン中のリージョンの AWS アカウントに対してのみです。そのリージョン内でのみ、AWS アカウントのリソースへの Amazon Inspector Classic アクセスを付与します。同じ AWS アカウントを使用して、他のリージョンで実行している Amazon Inspector Classic サービスの評価ターゲットまたは評価テンプレートを作成するとします。その場合、AWS アカウントにすでに作成されているサービスにリンクされたロールと同じロールが適用されます。このロールは、Amazon Inspector Classic にそれらのリージョンの AWS アカウントのリソースへのアクセスを付与します。

また、IAM コンソールを使用して、Inspector サービスにリンクされたロールを作成することもできます。IAM CLI または IAM API で、サービスにリンクされたロールをサービス名 (Amazon Inspector) で作成します。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの作成」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。Amazon Inspector Classic をもう一度使い始めると、サービスにリンクされたロールが自動的に再作成されます。

Amazon Inspector Classic のサービスリンクロールの編集

Amazon Inspector Classic では、AWSServiceRoleForAmazonInspector のサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、さまざまなエンティティがロールを参照する可能性があることから、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することは可能です。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの編集」を参照してください。

Amazon Inspector Classic のサービスリンクロールの削除

サービスリンクロールを必要とする機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除しようとしているときに Amazon Inspector Classic サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は、数分待ってから再度オペレーションを実行してください。

AWSServiceRoleForAmazonInspector で使用されている Amazon Inspector Classic リソースを削除するには

  • Amazon Inspector を実行しているすべてのリージョンにある、この AWS アカウントの評価ターゲットを削除します。詳細については、「Amazon Inspector Classic 評価ターゲット」を参照してください。

IAM を使用してサービスリンクロールを手動で削除する

サービスにリンクされたロール AWSServiceRoleForAmazonInspector を削除するには、IAM コンソール、IAM CLI、または IAM API を使用します。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。