Amazon Inspector と AWS Organizations - AWS Organizations
サービスにリンクされた役割サービスプリンシパル信頼されたアクセスを有効にする信頼されたアクセスを無効にするAmazon Inspector 用の委任管理者アカウントの有効化Amazon Inspector 用の委任管理者の無効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector と AWS Organizations

Amazon Inspector は、Amazon EC2 とコンテナのワークロードを継続的にスキャンして、ソフトウェアの脆弱性や意図しないネットワークの公開 (ネットワークエクスポージャー) を検出する、自動化された脆弱性管理サービスです。

Amazon Inspector を使用すると、Amazon Inspector の管理者アカウントを委任 AWS Organizations するだけで、 を介して関連付けられている複数のアカウントを管理できます。委任管理者は、組織の Amazon Inspector を管理し、組織に代わって次のようなタスクを実行するための特別なアクセス許可が付与されます。

  • メンバーアカウントへのスキャンを有効または無効にする

  • 組織全体の集約された調査結果データを表示する

  • 抑制ルールを作成して管理する

詳細については、「Amazon Inspector ユーザーガイド」の「AWS Organizationsで複数のアカウントを管理する」を参照してください。

Amazon Inspector を と統合するには、次の情報を使用します AWS Organizations。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Amazon Inspector は、サポートされているオペレーションを組織内の組織のアカウントで実行できます。

このロールを削除または変更できるのは、Amazon Inspector と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForAmazonInspector2

詳細については、「Amazon Inspector ユーザーガイド」の「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Amazon Inspector によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • inspector2.amazonaws.com

Amazon Inspector との信頼されたアクセスを有効にするには

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Amazon Inspector では、メンバーアカウントを組織のこのサービスの委任管理者に指定 AWS Organizations する前に、 への信頼されたアクセスが必要です。

Amazon Inspector の委任管理者を指定すると、組織の Amazon Inspector に対する信頼されたアクセスが自動的に有効になります。

ただし、 CLI またはいずれかの AWS SDKs を使用して AWS 委任管理者アカウントを設定する場合は、 EnableAWSServiceAccessオペレーションを明示的に呼び出し、サービスプリンシパルをパラメータとして指定する必要があります。次に、EnableDelegatedAdminAccount を呼び出して Inspector 管理者アカウントを委任します。

信頼されたアクセスを有効にするには、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスアクセスを有効にします。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行して、Amazon Inspector を Organizations の信頼されたサービスとして有効にします。

    $ aws organizations enable-aws-service-access \
    --service-principal inspector2.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess
注記

EnableAWSServiceAccess API を使用している場合、EnableDelegatedAdminAccount も呼び出して Inspector 管理者アカウントを委任する必要があります。

Amazon Inspector との信頼されたアクセスを無効にするには

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

Amazon Inspector での信頼されたアクセスを無効にすることができるのは、 AWS Organizations 管理アカウントの管理者のみです。

信頼されたアクセスを無効にするには、Organizations ツールを使用する必要があります。

信頼されたアクセスを無効にするには、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

信頼されたサービスアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用します。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行して、Organizations で Amazon Inspector を信頼されたサービスとして無効にします。

    $ aws organizations disable-aws-service-access \
    --service-principal inspector2.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess

Amazon Inspector 用の委任管理者アカウントの有効化

Amazon Inspector では、 AWS Organizations サービスで委任された管理者を使用して、組織内の複数のアカウントを管理できます。

AWS Organizations 管理アカウントは、組織内のアカウントを Amazon Inspector の委任管理者アカウントとして指定します。委任管理者は、組織の Amazon Inspector を管理し、組織に代わってタスクを実行するための特別なアクセス許可が付与されます。タスクには、メンバーアカウントのスキャンの有効化または無効化、組織全体の集約された調査結果データの表示、抑制ルールの作成および管理などが含まれます

委任管理者が組織アカウントを管理する方法については、「Amazon Inspector ユーザーガイド」の「管理者とメンバーアカウントの関係について」を参照してください。

Amazon Inspector 用の委任管理者を設定できるのは、組織管理アカウントの管理者だけです。

委任管理者アカウントを指定する場合は、Amazon Inspector コンソールまたは API を介して、あるいは Organizations CLI または SDK オペレーションを使用して行います。

最小アクセス許可

Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Amazon Inspector の委任管理者としてメンバーアカウントを設定できます

Amazon Inspector コンソールを使用して委任管理者を設定するには、「Amazon Inspector ユーザーガイド」の「ステップ 1: Amazon Inspector を有効にする – Multi-account environment」を参照してください。

注記

Amazon Inspector を使用する各リージョンで、inspector2:enableDelegatedAdminAccount を呼び出す必要があります。

AWS CLI, AWS API

CLI またはいずれかの AWS SDKs を使用して AWS 委任管理者アカウントを設定する場合は、次のコマンドを使用できます。

  • AWS CLI: 

    $ aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal inspector2.amazonaws.com

  • AWS SDK: Organizations RegisterDelegatedAdministratorオペレーションとメンバーアカウントの ID 番号を呼び出し、アカウントサービスプリンシパルをパラメータaccount.amazonaws.comとして識別します。

Amazon Inspector 用の委任管理者の無効化

組織から委任された管理者アカウントを削除できるのは、 AWS Organizations 管理アカウントの管理者のみです。

委任管理者を削除する場合は、Amazon Inspector コンソールまたは API を介して、あるいは Organizations DeregisterDelegatedAdministrator CLI または SDK オペレーションを使用して行います。Amazon Inspector コンソールを使用して委任管理者を削除するには、「Amazon Inspector ユーザーガイド」の「委任管理者の削除」を参照してください。