翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Inspector の委任管理者アカウントとメンバーアカウントについて
<a name="admin-member-relationship"></a>

 複数アカウント環境で Amazon Inspector を使用する場合、委任管理者アカウントは特定のメタデータにアクセスできます。メタデータには、Amazon EC2、Amazon ECR、Lambda の標準スキャン、および Lambda コードスキャンが含まれます。また、メンバーアカウントのセキュリティ検出結果も含まれます。このセクションでは、委任管理者アカウントが実行できるアクションと、メンバーアカウントが実行できるアクションに関する情報を提供します。

## 組織ポリシーガバナンスモデル
<a name="org-policy-overview"></a>

 AWS Organizations ポリシーを使用して Amazon Inspector を有効にすると、許可されるアクションを決定するガバナンスモデルが適用されます。

**ポリシー管理のリソース**  
 組織ポリシーによって明示的に有効または無効にされたリソースは、委任管理者またはメンバーアカウントによって変更することはできません。ポリシー管理のスキャンタイプを有効または無効にする API リクエストは失敗し、リソースが組織ポリシーによって管理されていることを示す明確なエラーが表示されます。

**Non-policy-managedリソース**  
 組織ポリシーで指定されていないリソースは、Amazon Inspector コンソールまたは API を使用して、委任された管理者とメンバーアカウントによって通常どおり管理できます。

**スキャン設定の管理**  
 委任管理者は、リソースタイプがポリシー管理かどうかにかかわらず、EC2 スキャンモード、[詳細検査パス](https://docs.aws.amazon.com/inspector/latest/user/deep-inspection.html#deep-inspection-paths)、ECR 再スキャン期間などのスキャン設定を常に設定できます。組織ポリシーは、スキャンが有効かどうかのみを制御し、その動作は制御しません。

 Amazon Inspector 組織ポリシーの作成と管理の詳細については、Amazon Inspector ポリシーの AWS Organizations ドキュメントを参照してください。

## 委任管理者のアクション
<a name="DA-actions"></a>

通常、委任管理者が自分のアカウントに設定を適用すると、その設定は組織内の他のすべてのアカウントに適用されます。委任管理者は、自分のアカウントや関連するメンバーの情報を表示および取得することもできます。Amazon Inspector の委任管理者アカウントは、以下のアクションを実行できます。
+  委任された管理者を指定および削除できるのは AWS Organizations 管理アカウントのみです。
+  委任管理者を指定するときは、管理するメンバーアカウントと同じ組織に所属している必要があります。
+ Amazon Inspector のアクティブ化や非アクティブ化など、関連するアカウントの Amazon Inspector のステータスを表示および管理できます。
+ 組織内のすべてのメンバーアカウントのスキャンタイプをアクティブ化または非アクティブ化します。
+ 組織全体の集約された検出結果データと、組織内のすべてのメンバーアカウントの検出結果の詳細が表示されます。
+ 組織内のすべてのアカウントの検出結果に適用される抑制ルールを作成および管理します。
+ 組織のすべてのメンバーに対して Amazon ECR 拡張スキャンをアクティブ化します。
+ 組織全体のリソースカバレッジを表示します。
+ 組織内のすべてのメンバーアカウントの ECR コンテナイメージを自動的に再スキャンする期間を定義します。委任された管理者のスキャン期間設定は、メンバーアカウントが以前に設定した設定よりも優先されます。組織内のすべてのアカウントは、委任管理者の Amazon ECR 自動再スキャン期間を共有します。個別のアカウントに異なる再スキャン期間を設定することはできません。
+ 組織内のすべてのアカウントで使用される Amazon Inspector の Amazon EC2 向け詳細検査に 5 つのカスタムパスを指定します。これは、委任された管理者個々のアカウントに設定できる 5 つのカスタムパスに追加されます。詳細検査カスタムパスの設定の詳細については、「[Amazon Inspector 詳細検査のカスタムパス](deep-inspection.md#deep-inspection-paths)」を参照してください。
+ メンバーアカウントの Amazon Inspector 詳細検査をアクティブ化または非アクティブ化します。
+ 組織内のあらゆるメンバーアカウントの [SBOM をエクスポート](sbom-export.md)します。
+ 組織内のすべてのメンバーアカウントの Amazon EC2 スキャンモードを設定します。詳細については、「[スキャンモードの管理](scanning-ec2.md#scan-mode)」を参照してください。
+ メンバーアカウントによって作成されたスキャン設定を除き、組織内のすべてのアカウントの CIS スキャン設定を作成および管理します。
**注記**  
メンバーアカウントが組織を離れると、委任管理者は、そのアカウントによってスケジュールされたスキャン設定を表示できなくなります。
+ 組織内のすべてのアカウントの CIS スキャン結果を表示します。
+  組織ポリシーを使用している場合は、ポリシーマネージドリソースのスキャン設定を構成しますが、ポリシーマネージドスキャンタイプ自体を有効または無効にすることはできません。

## メンバーアカウントのアクション
<a name="member"></a>

メンバーアカウントは Amazon Inspector でアカウントに関する情報を表示および取得できますが、アカウントの設定は委任管理者によって管理されます。組織内のメンバーアカウントは Amazon Inspector で以下のアクションを実行できます。
+ メンバー自身のアカウントで Amazon Inspector をアクティベートします。
+ メンバー自身のアカウントのリソースカバレッジを表示します。
+ メンバー自身のアカウントの検出結果の詳細を表示します。
+ メンバー自身のアカウントの ECR コンテナイメージ自動再スキャン期間設定を表示します。
+ Amazon Inspector の EC2 向け詳細検査に、個々のアカウントで使用される 5 つのカスタムパスを指定します。これらのパスは、委任管理者が組織用に指定したカスタムパスに加えてスキャンされます。詳細検査パスの設定についての詳細は、「[Amazon Inspector 詳細検査のカスタムパス](deep-inspection.md#deep-inspection-paths)」を参照してください。
+ Amazon Inspector 詳細検査向けに委任管理者によって設定されたカスタムパスを表示します。
+ アカウントに関連付けられているあらゆるリソースの [SBOM をエクスポート](sbom-export.md)します。
+ アカウントのスキャンモードを表示します。
+ アカウントの CIS スキャン設定を作成および管理します。
+ 委任管理者によってスケジュールされたリソースを含む、アカウント内のリソースの CIS スキャン結果を表示します。
+  組織ポリシーによって管理されていないスキャンタイプを有効にします。メンバーアカウントでは、ポリシー管理のスキャンタイプを有効または無効にすることはできません。

**注記**  
アクティベーション後、Amazon Inspector は委任された管理者アカウントでのみ非アクティブ化できます。