Amazon Inspector2 のアクション、リソース、および条件キー - サービス認証リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector2 のアクション、リソース、および条件キー

Amazon Inspector2(サービスプレフィックス: inspector2) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソース,アクションおよび条件コンテキストキーが用意されています。

リファレンス:

Amazon Inspector2 で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateMember アカウントを Amazon Inspector 管理者アカウントに関連付けるアクセス許可を付与します。 書き込み
BatchGetAccountStatus アカウントの Amazon Inspectorアカウントに関する情報を取得するアクセス許可を付与します。 読み取り
BatchGetCodeSnippet コードの脆弱性に関する 1 つ以上の検出結果に関するコードスニペットの情報を取得するための許可を付与します 読み取り
BatchGetFindingDetails 検出結果に関する強化された脆弱性インテリジェンスの詳細をお客様が取得できるようにするアクセス許可を付与します 読み取り
BatchGetFreeTrialInfo アカウントの Amazon Inspector アカウントに関する無料トライアル期間の資格を取得する権限を付与します。 読み取り
BatchGetMemberEc2DeepInspectionStatus 委任管理者にメンバーアカウントの ec2 Deep Inspection ステータスを取得するアクセス許可を付与します 読み取り
BatchUpdateMemberEc2DeepInspectionStatus 関連するメンバーアカウントの委任管理者による ec2 Deep Inspection ステータスを更新するアクセス許可を付与します 書き込み
CancelFindingsReport 調査結果レポートの生成をキャンセルするアクセス許可を付与します。 書き込み
CancelSbomExport SBOM レポートの生成をキャンセルする許可を付与 書き込み
CreateCisScanConfiguration CIS スキャン設定の設定を作成および定義するアクセス許可を付与します 書き込み

CIS Scan Configuration*

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFilter 結果フィルターの設定を作成および定義する許可を付与 書き込み

Filter*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFindingsReport 調査結果レポートの生成を要求する権限を付与します。 書き込み
CreateSbomExport SBOM レポートの生成をリクエストする許可を付与 書き込み
DeleteCisScanConfiguration CIS スキャン設定を削除する許可を付与 書き込み

CIS Scan Configuration*

aws:ResourceTag/${TagKey}

DeleteFilter 結果フィルターを削除する許可を付与 書き込み

Filter*

DescribeOrganizationConfiguration AWS 組織の Amazon Inspector 構成設定に関する情報を取得する許可を付与します。 読み取り
Disable Amazon Inspector アカウントを無効にするアクセス許可を付与します。 書き込み
DisableDelegatedAdminAccount AWS 組織の Amazon Inspector の委任管理者としてアカウントを無効にする許可を付与します。 書き込み
DisassociateMember Amazon Inspector 管理者アカウントに Inspector メンバーアカウントとの関連付けを解除する許可を付与します。 書き込み
Enable 新しい Amazon Inspector アカウントの設定を有効にして指定するためのアクセス許可を付与します。 書き込み
EnableDelegatedAdminAccount AWS 組織の Amazon Inspector の委任管理者としてアカウントを有効にする許可を付与します。 書き込み
GetCisScanReport 完了した CIS スキャンに関する情報を含むレポートを取得する許可を付与 読み取り
GetCisScanResultDetails 1 つの CIS スキャンと 1 つのターゲットリソースに関連するすべての詳細に関する情報を取得するアクセス許可を付与します リスト
GetConfiguration AWS アカウント の Amazon Inspector 構成設定に関する情報を取得するための許可を付与します。 読み取り
GetDelegatedAdminAccount Amazon Inspector 管理者アカウントに関する情報を取得するアクセス許可をアカウントに付与します。 読み取り
GetEc2DeepInspectionConfiguration スタンドアロンアカウント、委任管理者、およびメンバーアカウントの ec2 Deep Inspection 構成を取得するアクセス許可を付与します 読み取り
GetEncryptionKey コードスニペットの暗号化に使用される KMS キーに関する情報を取得する許可を付与 読み取り
GetFindingsReportStatus リクエストされた結果レポートのステータスを取得するアクセス許可を付与します。 読み取り
GetMember Amazon Inspector 管理者アカウントに関連付けられているアカウントに関する情報を取得する許可を付与します。 読み取り
GetSbomExport リクエストされた SBOM レポートを取得する許可を付与 読み取り
ListAccountPermissions 組織内の Amazon Inspector アカウントに関連付けられている機能設定アクセス許可を取得するアクセス許可を付与します リスト
ListCisScanConfigurations すべての CIS スキャン設定に関する情報を取得する許可を付与 リスト
ListCisScanResultsAggregatedByChecks 1 つの CIS スキャンに関連するすべてのチェックに関する情報を取得する許可を付与 リスト
ListCisScanResultsAggregatedByTargetResource 1 つの CIS スキャンに関連するすべてのリソースに関する情報を取得する許可を付与 リスト
ListCisScans 完了した CIS スキャンに関する情報を取得する許可を付与 リスト
ListCoverage Amazon Inspector がリソースインスペクターモニターに対して生成できる統計情報のタイプを取得する権限を付与します。 リスト
ListCoverageStatistics Amazon Inspector がモニターするリソースに関する統計データおよびその他の情報を取得する許可を付与します。 リスト
ListDelegatedAdminAccounts 組織の委任された Amazon Inspector 管理者アカウントに関する情報を取得する許可を付与します。AWS リスト
ListFilters すべての結果フィルターに関する情報を取得する許可を付与 リスト
ListFindingAggregations Amazon Inspector の調査結果に関する統計データおよびその他の情報を取得するアクセス許可を付与します。 リスト
ListFindings 1 つ以上の結果に関する情報のサブセットを取得する許可を付与 リスト
ListMembers Inspector 管理者アカウントに関連付けられている Amazon Inspector メンバーアカウントに関する情報を取得する許可を付与します。 リスト
ListTagsForResource Amazon Inspector リソースのタグを取得する許可を付与します。 読み取り
ListUsageTotals アカウントの集計使用状況データを取得する許可を付与 リスト
ResetEncryptionKey Amazon が所有する KMS キーを使用してコードスニペットを暗号化するため、お客様がリセットできるようにする許可を付与 書き込み
SearchVulnerabilities 特定の脆弱性に対する Amazon Inspector のカバレッジ詳細を一覧表示する許可を付与します 読み取り
SendCisSessionHealth CIS スキャンの CIS ヘルスを送信するアクセス許可を付与します 書き込み
SendCisSessionTelemetry CIS スキャンの CIS テレメトリを送信するアクセス許可を付与します 書き込み
StartCisSession CIS スキャンセッションを開始する許可を付与 書き込み
StopCisSession CIS スキャンセッションを停止するアクセス許可を付与します 書き込み
TagResource Amazon Inspector リソースのタグを追加もしくは更新する許可を付与します。 タグ付け

CIS Scan Configuration

inspector2:Cis Scan Configuration

Filter

inspector2:Filter

aws:RequestTag/${TagKey}

aws:TagKeys

aws:ResourceTag/${TagKey}

UntagResource Amazon Inspectorリソースからタグを削除するためのアクセス許可を付与します。 タグ付け

CIS Scan Configuration

inspector2:Cis Scan Configuration

Filter

inspector2:Filter

aws:ResourceTag/${TagKey}

aws:TagKeys

UpdateCisScanConfiguration CIS スキャン設定の設定を更新する許可を付与 書き込み

CIS Scan Configuration*

aws:ResourceTag/${TagKey}

UpdateConfiguration AWS アカウント の Amazon Inspector 構成設定に関する情報を更新するための許可を付与します 書き込み
UpdateEc2DeepInspectionConfiguration 委任管理者、メンバー、およびスタンドアロンアカウントによる ec2 Deep Inspection 構成を更新するアクセス許可を付与します 書き込み
UpdateEncryptionKey お客様が KMS キーを使用してコードスニペットを暗号化できるようにする許可を付与 書き込み
UpdateFilter 結果フィルターの設定を更新する許可を付与 書き込み

Filter*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateOrgEc2DeepInspectionConfiguration 関連するメンバーアカウントの委任管理者による ec2 Deep Inspection 構成を更新するアクセス許可を付与します 書き込み
UpdateOrganizationConfiguration 組織の Amazon Inspector 構成設定を更新する許可を付与します。AWS 書き込み

Amazon Inspector2によって定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
Filter arn:${Partition}:inspector2:${Region}:${Account}:owner/${OwnerId}/filter/${FilterId}

aws:ResourceTag/${TagKey}

Finding arn:${Partition}:inspector2:${Region}:${Account}:finding/${FindingId}
CIS Scan Configuration arn:${Partition}:inspector2:${Region}:${Account}:owner/${OwnerId}/cis-configuration/${CISScanConfigurationId}

aws:ResourceTag/${TagKey}

Amazon Inspector2 の条件キー

Amazon Inspector2 では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアが存在するかどうかでアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーおよび値のペアでアクセスをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングします ArrayOfString