Amazon Inspector および AWS Organizations - AWS Organizations

Amazon Inspector および AWS Organizations

Amazon Inspector は、Amazon EC2 とコンテナのワークロードを継続的にスキャンして、ソフトウェアの脆弱性や意図しないネットワークの公開 (ネットワークエクスポージャー) を検出する、自動化された脆弱性管理サービスです。

Amazon Inspector を使用して Amazon Inspector 用の管理者アカウントを委任するだけで、AWS Organizations を介して関連付けられた複数のアカウントを管理できます。委任管理者は、組織の Amazon Inspector を管理し、組織に代わって次のようなタスクを実行するための特別なアクセス許可が付与されます。

  • メンバーアカウントへのスキャンを有効または無効にする

  • 組織全体の集約された調査結果データを表示する

  • 抑制ルールを作成して管理する

詳細については、「Amazon Inspector ユーザーガイド」の「AWS Organizations で複数のアカウントを管理する」を参照してください。

Amazon Inspector と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Amazon Inspector は、サポートされているオペレーションを組織内の組織のアカウントで実行できます。

このロールを削除または変更できるのは、Amazon Inspector と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForAmazonInspector2

詳細については、「Amazon Inspector ユーザーガイド」の「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Amazon Inspector によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • inspector2.amazonaws.com

Amazon Inspector との信頼されたアクセスを有効にするには

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

組織でこのサービスの委任管理者にするメンバーアカウントを指定するにあたり、Amazon Inspector には AWS Organizations への信頼されたアクセスが必要です。

Amazon Inspector の委任管理者を指定すると、組織の Amazon Inspector に対する信頼されたアクセスが自動的に有効になります。

ただし、AWS CLI または AWS SDK のいずれかを使用して委任管理者アカウントを設定する場合は、明示的に EnableAWSServiceAccess オペレーションを呼び出し、サービスプリンシパルをパラメータとして指定します。次に、EnableDelegatedAdminAccount を呼び出して Inspector 管理者アカウントを委任します。

信頼されたアクセスの有効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

信頼されたサービスのアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行し、Amazon Inspector を Organizations で信頼されたサービスとして有効にすることができます。

    $ aws organizations enable-aws-service-access \ --service-principal inspector2.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess

注記

EnableAWSServiceAccess API を使用している場合、EnableDelegatedAdminAccount も呼び出して Inspector 管理者アカウントを委任する必要があります。

Amazon Inspector との信頼されたアクセスを無効にするには

信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

AWS Organizations 管理アカウントの管理者だけが Amazon Inspector との信頼されたアクセスを無効にできます。

Organizations ツールだけで、信頼されたアクセスを無効にできます。

信頼されたアクセスの無効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行し、Organizations で信頼されたサービスとして Amazon Inspector を無効にすることができます。

    $ aws organizations disable-aws-service-access \ --service-principal inspector2.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess

Amazon Inspector 用の委任管理者アカウントの有効化

Amazon Inspector では、AWS Organizations サービスで委任された管理者を使用して、組織内の複数のアカウントを管理できます。

AWS Organizations 管理アカウントは、組織内のアカウントを Amazon Inspector 用の委任管理者アカウントとして指定します。委任管理者は、組織の Amazon Inspector を管理し、組織に代わってタスクを実行するための特別なアクセス許可が付与されます。タスクには、メンバーアカウントのスキャンの有効化または無効化、組織全体の集約された調査結果データの表示、抑制ルールの作成および管理などが含まれます

委任管理者が組織アカウントを管理する方法については、「Amazon Inspector ユーザーガイド」の「管理者とメンバーアカウントの関係について」を参照してください。

Amazon Inspector 用の委任管理者を設定できるのは、組織管理アカウントの管理者だけです。

委任管理者アカウントを指定する場合は、Amazon Inspector コンソールまたは API を介して、あるいは Organizations CLI または SDK オペレーションを使用して行います。

最小アクセス許可

組織内で Amazon Inspector 用の委任管理者としてメンバーアカウントを設定できるのは、Organizations 管理アカウントの IAM ユーザーまたはロールだけです

Amazon Inspector コンソールを使用して委任管理者を設定するには、「Amazon Inspector ユーザーガイド」の「ステップ 1: Amazon Inspector を有効にする – Multi-account environment」を参照してください。

注記

Amazon Inspector を使用する各リージョンで、inspector2:enableDelegatedAdminAccount を呼び出す必要があります。

AWS CLI, AWS API

AWS CLI または AWS SDK を使用して委任管理者アカウントを設定するには、次のコマンドを使用します。

  • AWS CLI:

    $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal inspector2.amazonaws.com
  • AWS SDK: Organizations RegisterDelegatedAdministrator オペレーションおよびメンバーアカウントの ID 番号を呼び出して、アカウントサービス principal account.amazonaws.com をパラメータとして識別します。

Amazon Inspector 用の委任管理者の無効化

組織から委任管理者アカウントを削除できるのは、AWS Organizations 管理アカウントの管理者だけです。

委任管理者を削除する場合は、Amazon Inspector コンソールまたは API を介して、あるいは Organizations DeregisterDelegatedAdministrator CLI または SDK オペレーションを使用して行います。Amazon Inspector コンソールを使用して委任管理者を削除するには、「Amazon Inspector ユーザーガイド」の「委任管理者の削除」を参照してください。