入門チュートリアル: Amazon Inspector のアクティブ化 - Amazon Inspector

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

入門チュートリアル: Amazon Inspector のアクティブ化

このトピックでは、スタンドアロンアカウント環境 (メンバーアカウント) とマルチアカウント環境 (委任管理者アカウント) で Amazon Inspector をアクティブ化する方法について説明します。Amazon Inspector をアクティブ化すると、ワークロードの検出と、ソフトウェア脆弱性や意図しないネットワーク露出のスキャンが自動的に開始されます。

Standalone account environment

次の手順では、メンバーアカウントのコンソールで Amazon Inspector をアクティブ化する方法について説明します。Amazon Inspector をプログラムでアクティブ化するには、inspector2-enablement-with-cli を使用します。

  1. 認証情報を使用してサインインし、Amazon Inspector コンソール (https://console.aws.amazon.com/inspector/v2/home) を開きます。

  2. 今すぐ始める を選択します。

  3. [Amazon Inspector をアクティブ化] を選択します。

スタンドアロンアカウントで Amazon Inspector をアクティブ化すると、すべてのスキャンタイプがデフォルトでアクティブ化されます。メンバーアカウントの詳細については、「Amazon Inspector の委任管理者アカウントとメンバーアカウントについて」を参照してください。

Multi-account (with AWS Organizations policy)

AWS Organizations ポリシーは、組織全体で Amazon Inspector を有効にするための一元化されたガバナンスを提供します。組織ポリシーを使用すると、Amazon Inspector の有効化はポリシーの対象となるすべてのアカウントで自動的に管理され、メンバーアカウントは Amazon Inspector API を使用してポリシーマネージドスキャンを変更できません。

前提条件

  • アカウントは AWS Organizations 組織の一部である必要があります。

  • で組織ポリシーを作成および管理するためのアクセス許可が必要です AWS Organizations。

  • Amazon Inspector の信頼されたアクセスは、 で有効にする必要があります AWS Organizations。手順については、「 AWS Organizations ユーザーガイド」のAmazon Inspector の信頼されたアクセスの有効化」を参照してください。

  • Amazon Inspector サービスにリンクされたロールは、管理アカウントに存在する必要があります。これらを作成するには、管理アカウントで Amazon Inspector を有効にするか、管理アカウントから次のコマンドを実行します。

    • aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com

    • aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com

  • Amazon Inspector の委任された管理者を指定する必要があります。

注記

管理アカウントと委任管理者のサービスにリンクされた Amazon Inspector ロールがない場合、組織ポリシーは Amazon Inspector の有効化を適用しますが、メンバーアカウントは、一元的な検出結果とアカウント管理のために Amazon Inspector 組織に関連付けられません。

AWS Organizations ポリシーを使用して Amazon Inspector を有効にするには

  1. 組織ポリシーを作成する前にAmazon Inspector の委任管理者を指定して、メンバーアカウントが Amazon Inspector 組織に関連付けられ、結果が一元的に可視化されるようにします。 AWS Organizations 管理アカウントにサインインし、https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開き、「」の手順に従いますAWS 組織の委任管理者の指定

    注記

    AWS Organizations Amazon Inspector の委任された管理者アカウント ID と Amazon Inspector の指定された委任された管理者アカウント ID は同じにしておくことを強くお勧めします。 AWS Organizations 委任管理者アカウント ID が Amazon Inspector 委任管理者アカウント ID と異なる場合、Amazon Inspector は Inspector が指定したアカウント ID を優先します。Amazon Inspector 委任管理者が設定されていないが、 AWS Organizations 委任管理者が設定されていて、管理アカウントに Amazon Inspector サービスにリンクされたロールがある場合、Amazon Inspector は AWS Organizations 委任管理者アカウント ID を Amazon Inspector 委任管理者として自動的に割り当てます。

  2. Amazon Inspector コンソールで、管理アカウントから全般設定に移動します。委任ポリシーで、Attach ステートメントを選択します。ポリシーステートメントのアタッチダイアログで、ポリシーを確認し、ポリシーを確認し、付与するアクセス許可を理解したことを確認しステートメントのアタッチを選択します。

    重要

    委任ポリシーステートメントをアタッチするには、管理アカウントに次のアクセス許可が必要です。

    アクセスorganizations:PutResourcePolicy許可がない場合、オペレーションはエラー で失敗しますFailed to attach statement to the delegation policy

  3. 有効にするスキャンタイプとリージョン AWS Organizations を指定する Amazon Inspector ポリシーを に作成します。ポリシー構文や例など、Amazon Inspector ポリシーを作成する詳細な手順については、Amazon Inspector ポリシーの AWS Organizations ドキュメントを参照してください。

  4. ガバナンス要件に基づいて、Amazon Inspector ポリシーを組織のルート、組織単位、または特定のアカウントにアタッチします。

  5. (オプション) ポリシーが適用されていることを確認します。ポリシーアプリケーションは非同期であり、組織のサイズによっては数秒から数時間かかる場合があります。委任管理者の Amazon Inspector コンソールで、アカウント管理に移動します。Organization で、各メンバーアカウントとその有効化ステータスを表示します。 AWS Organizations ポリシーを通じて有効化されたアカウントの場合、各スキャンタイプのアクティブ化されたインジケータには、ポリシー管理かどうかが表示されます。

Amazon Inspector が組織ポリシーを通じて有効になっている場合、ポリシーの対象となるアカウントは、Amazon Inspector API またはコンソールを通じてポリシー管理のスキャンタイプを無効にすることはできません。委任管理者およびメンバーアカウントが組織ポリシーでできることとできないことの詳細については、「」を参照してくださいを使用した Amazon Inspector での複数のアカウントの管理 AWS Organizations

Multi-account (without AWS Organizations policy)
注記

この手順を完了するには、 AWS Organizations 管理アカウントを使用する必要があります。 AWS Organizations 管理アカウントのみが委任管理者を指定できます。委任管理者を指定するには、アクセス許可が必要になる場合があります。詳細については、「委任された管理者の指定に必要な許可」を参照してください。

Amazon Inspector を初めてアクティブ化すると、Amazon Inspector はアカウントのサービスリンクロール AWSServiceRoleForAmazonInspector を作成します。Amazon Inspector がサービスリンクロールを使用する方法の詳細については、「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

Amazon Inspector 用の委任された管理者の指定

  1. AWS Organizations 管理アカウントにサインインし、https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. [開始する] を選択します。

  3. 委任された管理者に、委任された管理者として AWS アカウント 指定する の 12 桁の ID を入力します。

  4. [委任] を選択し、もう一度 [委任] を選択します。

  5. (オプション) AWS Organizations 管理アカウントの Amazon Inspector をアクティブ化する場合は、サービスアクセス許可 Amazon Inspector をアクティブ化を選択します。

委任管理者を指定すると、デフォルトでアカウントのすべてのスキャンタイプがアクティブ化されます。委任管理者アカウントとメンバーアカウントの詳細については、Amazon Inspector の委任管理者アカウントとメンバーアカウントについて」を参照してください。