Amazon Inspector Classic と IAM の連携 - Amazon Inspector

これは、Amazon Inspector Classic のユーザーガイドです。新しい Amazon Inspector の詳細については、Amazon Inspector ユーザーガイド を参照してください。AAmazon Inspector Classic コンソールにアクセスするには、Amazon Inspector コンソール (https://console.aws.amazon.com/inspector/) を開き、ナビゲーションペインで Amazon Inspector Classic を選択します。

Amazon Inspector Classic と IAM の連携

IAM を使用して Amazon Inspector Classic へのアクセスを管理する前に、Amazon Inspector Classic で使用できる IAM 機能について理解しておく必要があります。Amazon Inspector Classic、およびその他の AWS のサービスで IAM がどのように機能するかに関する概要については、IAM ユーザーガイドの「IAM と連携する AWS のサービス」を参照してください。

Amazon Inspector Classic アイデンティティベースのポリシー

IAM アイデンティティベースポリシーでは、許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Amazon Inspector Classic は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、IAM ユーザーガイドの「IAM JSON ポリシーの要素のリファレンス」を参照してください。

Actions

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

JSON ポリシーの Action 要素は、ポリシー内のアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。一致する API オペレーションを持たないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。

このアクションは、関連付けられた操作を実行するための許可を付与するポリシーで使用されます。

Amazon Inspector Classic のポリシーアクションは、アクションの前にプレフィックス inspector: を使用します。たとえば、 inspector:ListFindings 許可は、Amazon Inspector Classic ListFindings オペレーションの実行をユーザーに許可します。ポリシーステートメントには、Action または NotAction 要素を含める必要があります。Amazon Inspector Classic は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一のステートメントに複数のアクションを指定するには、次のようにコンマで区切ります。

"Action": [ "inspector:action1", "inspector:action2"

ワイルドカード (*) を使用して複数のアクションを指定することができます。例えば、Describe という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

"Action": "inspector:Describe*"

Amazon Inspector Classic アクションのリストを確認するには、IAM ユーザーガイドの「Amazon Inspector Classic で定義されるアクション」を参照してください。

Resources

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスするかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Resource JSON ポリシーエレメントは、オブジェクトあるいはアクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource エレメントを含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルのアクセス許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。

操作のリスト化など、リソースレベルの許可をサポートしないアクションの場合は、ワイルドカード (*) を使用して、ステートメントがすべてのリソースに適用されることを示します。

"Resource": "*"

Amazon Inspector Classic では、IAM ポリシーステートメントの Resource 要素でのリソース ARN の指定はサポートされていません。Amazon Inspector へのアクセスを許可するには、ポリシーで "Resource": "*" を指定します。

条件キー

Amazon Inspector Classic にはサービス固有条件キーはありませんが、いくつかのグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、IAM ユーザーガイドの「AWS グローバル条件コンテキストキー」を参照してください。

Amazon Inspector Classic のマネージドポリシー

Amazon Inspector Classic は、以下の AWS マネージドポリシーを提供します。これらはアカウントの IAM ユーザーに添付できます。

  • AmazonInspectorFullAccess – Amazon Inspector Classic へのフルアクセスを提供します。

  • AmazonInspectorReadOnlyAccess – Amazon Inspector Classic への読み取り専用アクセスを提供します。

Examples

Amazon Inspector Classic アイデンティティベースのポリシーの例は、「Amazon Inspector Classic アイデンティティベースのポリシーの例」でご確認ください。

Amazon Inspector Classic リソースベースのポリシー (サポートされていません)

Amazon Inspector Classic では、 リソースベースのポリシーはサポートされていません。

Amazon Inspector Classic タグに基づく認可 (サポートされていません)

Amazon Inspector Classic は、リソースのタグ付けやタグに基づいたアクセスの制御をサポートしていません。

Amazon Inspector Classic IAM ロール

IAM ロールは AWS アカウント内のエンティティで、特定の許可を持っています。

Amazon Inspector Classic での一時的な認証情報の使用

一時的な認証情報を使用して、フェデレーションでサインイン、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、AssumeRole または GetFederationToken などの AWS STS API オペレーションを呼び出します。

Amazon Inspector Classic は、一時的な認証情報の使用をサポートします。

サービスリンクロール

サービスにリンクされたロールによって、AWS サービスが他のサービスのリソースにアクセスしてユーザーに代わってアクションを完了する事ができます。サービスにリンクされたロールは、IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者はサービスリンクロールの許可を表示できますが、編集することはできません。

Amazon Inspector Classic は、サービスにリンクされたロールをサポートします。Amazon Inspector Classic サービスにリンクされたロールの作成または管理の詳細については、「Amazon Inspector Classic でのサービスにリンクされたロールの使用」を参照してください。

サービスロール

この機能では、サービスのロールをユーザーに代わって引き受けることをサービスに許可します。このロールにより、サービスはユーザーに代わって他のサービスのリソースにアクセスし、アクションを実行できます。サービスロールは、IAM アカウントに表示され、サービスによって所有されます。つまり、IAM 管理者は、このロールのアクセス許可を変更できます。ただし、これを行うことにより、サービスの機能が損なわれる場合があります。

Amazon Inspector Classic ではサービスロールがサポートされています。