入門チュートリアル: Amazon Inspector のアクティブ化 - Amazon Inspector

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

入門チュートリアル: Amazon Inspector のアクティブ化

このトピックでは、スタンドアロンアカウント環境 (メンバーアカウント) とマルチアカウント環境 (委任管理者アカウント) で Amazon Inspector をアクティブ化する方法について説明します。Amazon Inspector をアクティブ化すると、ワークロードの検出と、ソフトウェア脆弱性や意図しないネットワーク露出のスキャンが自動的に開始されます。

Standalone account environment

次の手順では、メンバーアカウントのコンソールで Amazon Inspector をアクティブ化する方法について説明します。Amazon Inspector をプログラムでアクティブ化するには、inspector2-enablement-with-cli を使用します。

  1. 認証情報を使用してサインインし、Amazon Inspector コンソール (https://console.aws.amazon.com/inspector/v2/home) を開きます。

  2. 今すぐ始める を選択します。

  3. [Amazon Inspector をアクティブ化] を選択します。

スタンドアロンアカウントで Amazon Inspector をアクティブ化すると、すべてのスキャンタイプがデフォルトでアクティブ化されます。メンバーアカウントの詳細については、「Amazon Inspector の委任管理者アカウントとメンバーアカウントについて」を参照してください。

Multi-account (with AWS Organizations policy)

AWS Organizations ポリシーは、組織全体で Amazon Inspector を有効にするための一元化されたガバナンスを提供します。組織ポリシーを使用すると、Amazon Inspector の有効化はポリシーの対象となるすべてのアカウントで自動的に管理され、メンバーアカウントは Amazon Inspector API を使用してポリシーマネージドスキャンを変更できません。

前提条件

  • アカウントは AWS Organizations 組織の一部である必要があります。

  • で組織ポリシーを作成および管理するためのアクセス許可が必要です AWS Organizations。

  • Amazon Inspector の信頼されたアクセスは、 で有効にする必要があります AWS Organizations。手順については、「 AWS Organizations ユーザーガイド」のAmazon Inspector の信頼されたアクセスの有効化」を参照してください。

  • Amazon Inspector サービスにリンクされたロールは、管理アカウントに存在する必要があります。これらを作成するには、管理アカウントで Amazon Inspector を有効にするか、管理アカウントから次のコマンドを実行します。

    • aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com

    • aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com

  • Amazon Inspector の委任された管理者を指定する必要があります。

注記

管理アカウントと委任管理者のサービスにリンクされた Amazon Inspector ロールがない場合、組織ポリシーは Amazon Inspector の有効化を適用しますが、メンバーアカウントは、一元的な検出結果とアカウント管理のために Amazon Inspector 組織に関連付けられません。

AWS Organizations ポリシーを使用して Amazon Inspector を有効にするには

  1. 組織ポリシーを作成する前にAmazon Inspector の委任管理者を指定して、メンバーアカウントが Amazon Inspector 組織に関連付けられていることを確認し、結果を一元的に可視化します。 AWS Organizations 管理アカウントにサインインし、https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開き、「」の手順に従いますAWS 組織の委任管理者の指定

    注記

    AWS Organizations Amazon Inspector の委任された管理者アカウント ID と Amazon Inspector の指定された委任された管理者アカウント ID は同じにしておくことを強くお勧めします。 AWS Organizations 委任管理者アカウント ID が Amazon Inspector 委任管理者アカウント ID と異なる場合、Amazon Inspector は Inspector が指定したアカウント ID を優先します。Amazon Inspector 委任管理者が設定されていないが、 AWS Organizations 委任管理者が設定されていて、管理アカウントに Amazon Inspector サービスにリンクされたロールがある場合、Amazon Inspector は AWS Organizations 委任管理者アカウント ID を Amazon Inspector 委任管理者として自動的に割り当てます。

  2. Amazon Inspector コンソールで、管理アカウントから全般設定に移動します。委任ポリシーで、Attach ステートメントを選択します。ポリシーステートメントのアタッチダイアログで、ポリシーを確認し、ポリシーを確認し、付与するアクセス許可を理解したことを確認しステートメントのアタッチを選択します。

    重要

    委任ポリシーステートメントをアタッチするには、管理アカウントに次のアクセス許可が必要です。

    アクセスorganizations:PutResourcePolicy許可がない場合、オペレーションはエラー で失敗しますFailed to attach statement to the delegation policy

  3. 次に、Amazon Inspector AWS Organizations ポリシーを作成します。ナビゲーションペインから、管理を選択し、設定を選択します。

  4. 脆弱性管理ポリシーを設定します。ポリシーの名前と説明 (オプション) を含む詳細を指定します。

  5. 「インスペクターの設定」ページの「詳細」セクションに、ポリシーの名前と説明を入力します。機能の選択で、次のいずれかを実行します。

    • すべての機能の設定と有効化 (推奨) を選択します。これにより、EC2、ECR、Lambda 標準、Lambda コードスキャン、コードセキュリティなど、すべての Inspector 機能が有効になります。

    • Select subset of capabilities を選択します。有効にするスキャンタイプの機能を選択します。

  6. アカウント選択セクションで、次のいずれかのオプションを選択します。

    • 設定をすべての組織単位とアカウントに適用する場合は、すべての組織単位とアカウントを選択します。

    • 特定の組織単位とアカウントに設定を適用する場合は、特定の組織単位とアカウントを選択します。このオプションを選択した場合、検索バーまたは組織構造ツリーを使用して、ポリシーを適用する組織単位とアカウントを指定してください。

    • 組織単位またはアカウントに設定を適用しない場合は、組織単位またはアカウントなしを選択します。

  7. 「リージョン」セクションで、「すべてのリージョンを有効にする」、「すべてのリージョンを無効にする」、または「リージョンを指定する」を選択します。

    • [すべてのリージョンを有効にする] を選択した場合、新しいリージョンを自動的に有効にするかどうかを選択できます。

    • [すべてのリージョンを無効にする] を選択した場合、新しいリージョンを自動的に無効にするかどうかを選択できます。

    • [リージョンを指定する] を選択した場合、有効または無効にするリージョンを選択する必要があります。

    (オプション) 詳細設定については、 のガイダンスを参照してください AWS Organizations。

    (オプション) リソースタグには、設定を簡単に識別できるように、キーと値のペアとしてタグを追加します。

  8. へ を選択し、変更を確認し、適用 を選択します。ターゲットアカウントは、ポリシーに基づいて設定されます。ポリシーの設定ステータスは、ポリシーページの上部に表示されます。各機能は、設定されているかどうか、またはデプロイに障害が発生したかどうかのステータスを提供します。障害が発生した場合は、障害メッセージのリンクを選択して詳細を表示します。有効なポリシーをアカウントレベルで表示するには、[設定] ページの[組織] タブでアカウントを選択します。

組織ポリシーを通じて Amazon Inspector が有効になっている場合、ポリシーの対象となるアカウントはAmazon Inspector API またはコンソールを通じてポリシー管理のスキャンタイプを無効にすることはできません。委任管理者およびメンバーアカウントが組織ポリシーでできることとできないことの詳細については、「」を参照してくださいを使用した Amazon Inspector での複数のアカウントの管理 AWS Organizations

Multi-account (without AWS Organizations policy)
注記

この手順を完了するには、 AWS Organizations 管理アカウントを使用する必要があります。 AWS Organizations 管理アカウントのみが委任管理者を指定できます。委任管理者を指定するには、アクセス許可が必要になる場合があります。詳細については、「委任された管理者の指定に必要な許可」を参照してください。

Amazon Inspector を初めてアクティブ化すると、Amazon Inspector はアカウントのサービスリンクロール AWSServiceRoleForAmazonInspector を作成します。Amazon Inspector がサービスリンクロールを使用する方法の詳細については、「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

Amazon Inspector 用の委任された管理者の指定

  1. AWS Organizations 管理アカウントにサインインし、https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. [開始する] を選択します。

  3. 委任された管理者に、委任された管理者として AWS アカウント 指定する の 12 桁の ID を入力します。

  4. [委任] を選択し、もう一度 [委任] を選択します。

  5. (オプション) AWS Organizations 管理アカウントの Amazon Inspector をアクティブ化する場合は、サービスアクセス許可 Amazon Inspector をアクティブ化を選択します。

委任管理者を指定すると、デフォルトでアカウントのすべてのスキャンタイプがアクティブ化されます。委任管理者アカウントとメンバーアカウントの詳細については、「Amazon Inspector の委任管理者アカウントとメンバーアカウントについて」を参照してください。