Amazon Inspector Classic アイデンティティベースのポリシーの例 - Amazon Inspector

これは、Amazon Inspector Classic のユーザーガイドです。新しい Amazon Inspector の詳細については、Amazon Inspector ユーザーガイド を参照してください。AAmazon Inspector Classic コンソールにアクセスするには、Amazon Inspector コンソール (https://console.aws.amazon.com/inspector/) を開き、ナビゲーションペインで Amazon Inspector Classic を選択します。

Amazon Inspector Classic アイデンティティベースのポリシーの例

デフォルトでは、IAM ユーザーおよびロールにはAmazon Inspector Classic リソースを作成または変更する許可はありません。AWS Management Console、AWS CLI、または AWS API を使用してタスクを実行することもできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行するアクセス許可をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらのアクセス許可が必要な IAM ユーザーまたはグループにそのポリシーをアタッチします。

JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、IAM ユーザーガイドの「JSON タブでのポリシーの作成」を参照してください。

ポリシーのベストプラクティス

アイデンティティベースポリシーは非常に強力です。このポリシーは、アカウント内で Amazon Inspector Classic リソースを作成、アクセス、または削除できるユーザーを決定します。これらのアクションを実行すると、AWS アカウントに追加料金が発生する可能性があります。アイデンティティベースポリシーを作成または編集するときは、以下のガイドラインと推奨事項に従います。

  • AWS マネージドポリシーを使用して開始する – Amazon Inspector Classic の使用をすばやく開始するには、AWS マネージドポリシーを使用して従業員に必要な許可を付与します。これらのポリシーはアカウントですでに有効になっており、AWS によって管理および更新されています。詳細については、IAM ユーザーガイドの「AWS 管理ポリシーを使用したアクセス許可の使用開始」を参照してください。

  • 最小権限を付与する – カスタムポリシーを作成するときは、タスクの実行に必要な許可のみを付与します。最小限のアクセス許可から開始し、必要に応じて追加のアクセス許可を付与します。この方法は、寛容なアクセス許可で始め、後でそれらを強化しようとするよりも安全です。詳細については、IAM ユーザーガイドの「最小限の特権を認める」を参照してください。

  • 機密性の高い操作に MFA を有効にする – 追加セキュリティとして、機密性の高いリソースまたは API 操作にアクセスするために IAM ユーザーに対して、多要素認証 (MFA) の使用を要求します。詳細については、[IAM User Guide](IAM ユーザーガイド)の「AWS での多要素認証 (MFA) の使用」を参照してください。

  • 追加のセキュリティとしてポリシー条件を使用する – 実行可能な範囲内で、ID ベースのポリシーでリソースへのアクセスを許可する条件を定義します。例えば、要求が発生しなければならない許容 IP アドレスの範囲を指定するための条件を記述できます。指定された日付または時間範囲内でのみリクエストを許可する条件を書くことも、SSL や MFA の使用を要求することもできます。詳細については、IAM ユーザーガイドの「IAM JSON ポリシー要素: 条件」を参照してください。

Amazon Inspector Classic コンソールの使用

Amazon Inspector Classic コンソールにアクセスするには、許可の最小限のセットが必要です。これらの許可は、AWS アカウントの Amazon Inspector Classic リソースに関する詳細をリストおよび表示することを許可する必要があります。最小限必要なアクセス許可よりも制限されたアイデンティティベースポリシーを作成すると、そのポリシーをアタッチしたエンティティ (IAM ユーザーまたはロール) に対してはコンソールが意図したとおりに機能しません。

これらのエンティティが Amazon Inspector Classic コンソールを引き続き使用できるようにするため、エンティティに以下の AWS マネージドポリシーも添付してください。詳細については、IAM ユーザーガイドユーザーへのアクセス許可の追加を参照してください。

  • AmazonInspectorFullAccess

  • AmazonInspectorReadOnlyAccess

AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API 操作に一致するアクションのみへのアクセスが許可されます。

自分の許可の表示をユーザーに許可する

この例では、ユーザー ID にアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーを作成する方法を示します。このポリシーには、コンソールで、または AWS CLI か AWS API を使用してプログラム的に、このアクションを完了するアクセス許可が含まれています。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

Amazon Inspector Classic リソースに対する任意の describe および list オペレーションの実行をユーザーに許可する

以下のアクセス許可ポリシーは、Describe および List で始まるすべての オペレーションを実行するためのユーザーアクセス許可を付与します。これらのオペレーションは、割り当てのターゲットや結果など、Amazon Inspector Classic リソースに関する情報を表示します。Resource 要素内のワイルドカード文字 (*) は、アカウントによって所有されるすべての Amazon Inspector Classic リソースに対してそれらのオペレーションが許可されることを示します。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ "inspector:Describe*", "inspector:List*" ], "Resource":"*" } ] }

例 2: Amazon Inspector Classic の結果に対する describe および list オペレーションのみの実行をユーザーに許可する

以下のアクセス許可ポリシーは、ListFindings および DescribeFindings オペレーションのみを実行するためのユーザーアクセス許可を付与します。これらのオペレーションは Amazon Inspector Classic の結果に関する情報を表示します。Resource 要素内のワイルドカード文字 (*) は、アカウントによって所有されるすべての Amazon Inspector Classic リソースに対してそれらのオペレーションが許可されることを示します。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ "inspector:DescribeFindings", "inspector:ListFindings" ], "Resource":"*" } ] }