

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Inspector のセキュリティ
<a name="security"></a>

のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャからメリットを得られます。

セキュリティは、 AWS とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)ではこれをクラウド*の*セキュリティおよびクラウド*内*のセキュリティと説明しています。
+ **クラウドのセキュリティ** – AWS は、 で AWS サービスを実行するインフラストラクチャを保護する責任があります AWS クラウド。 AWS また、 では、安全に使用できるサービスも提供しています。サードパーティーの監査者は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)コンプライアンスプログラムの一環として、当社のセキュリティの有効性を定期的にテストおよび検証。Amazon Inspector に適用されるコンプライアンスプログラムの詳細については、「コンプライアンスプログラム[AWS による対象範囲内のサービスコンプライアンスプログラム](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウドのセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。

このドキュメントは、Amazon Inspector の使用時に責任共有モデルがどのように適用されるかを理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンス上の目的を達成するように Amazon Inspector を設定する方法について説明します。また、Amazon Inspector リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。

**Topics**
+ [Amazon Inspector におけるデータ保護](data-protection.md)
+ [Amazon Inspector のための Identity and Access Management](security-iam.md)
+ [Amazon Inspector のモニタリング](monitoring-overview.md)
+ [Amazon Inspector のコンプライアンス検証](inspector-compliance.md)
+ [Amazon Inspector の耐障害性](disaster-recovery-resiliency.md)
+ [Amazon Inspector のインフラストラクチャセキュリティ](infrastructure-security.md)
+ [Amazon Inspector でのインシデントへの対応](security-incident-response.md)
+ [インターフェイスエンドポイント (AWS PrivateLink) を使用して Amazon Inspector にアクセスします。](vpc-interface-endpoints-inspector.md)

# Amazon Inspector におけるデータ保護
<a name="data-protection"></a>

責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、Amazon Inspector でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。

データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+  AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Amazon Inspector AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

**Topics**
+ [保管中の暗号化](encryption-rest.md)
+ [転送中の暗号化](encryption-transit.md)

# 保管中の暗号化
<a name="encryption-rest"></a>

 デフォルトでは、Amazon Inspector は AWS 暗号化ソリューションを使用して保管中のデータを保存します。Amazon Inspector は、次のようなデータを暗号化します。
+  で収集されたリソースインベントリ AWS Systems Manager。
+  Amazon Elastic Container Registry イメージから解析されたリソースインベントリ 
+  から AWS 所有の暗号化キーを使用して生成されたセキュリティ検出結果 AWS Key Management Service 

 AWS 所有キーを管理、使用、または表示することはできません。ただし、データを暗号化するキーを保護するために何らかの操作を行ったり、プログラムを変更したりする必要はありません。詳細については、「[AWS 所有キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)」を参照してください。

 Amazon Inspector を無効にすると、収集したインベントリやセキュリティ検出結果など、Amazon Inspector が保存または管理するすべてのリソースが永久に削除されます。

## 検出結果のコードの保管時の暗号化
<a name="encryption-code-snippets"></a>

 Amazon Inspector Lambda コードスキャンの場合、Amazon Inspector は Amazon Q と提携してコードの脆弱性をスキャンします。脆弱性が検出されると、Amazon Q は脆弱性を含むコードのスニペットを抽出し、Amazon Inspector がアクセスをリクエストするまでそのコードを保存します。デフォルトでは、Amazon Q は AWS 所有キーを使用して抽出されたコードを暗号化します。ただし、暗号化に独自のカスタマーマネージド AWS KMS キーを使用するように Amazon Inspector を設定できます。

 次のワークフローでは、Amazon Inspector が、設定したキーを使用してコードを暗号化する方法を説明しています。

1.  Amazon Inspector [UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEncryptionKey.html) API を使用して Amazon Inspector に AWS KMS キーを指定します。

1.  Amazon Inspector は AWS KMS キーに関する情報を Amazon Q に転送し、Amazon Q は将来使用するために情報を保存します。

1.  Amazon Q は、キーポリシーを通じて Amazon Inspector で設定した KMS キーを使用します。

1.  Amazon Q は、キーから暗号化されたデータ AWS KMS キーを作成し、保存します。このデータキーは、Amazon Q によって保存されたコードデータを暗号化するために使用されます。

1.  Amazon Inspector がコードスキャンからデータをリクエストすると、Amazon Q は KMS キーを使用してデータキーを復号します。Lambda コードスキャンを無効にすると、Amazon Q は関連付けられたデータキーを削除します。

## カスタマーマネージドキーによるコード暗号化のアクセス許可
<a name="cmk-permissions"></a>

 暗号化するには、Amazon Inspector と Amazon Q が次のアクションを実行可能にするステートメントを含む[ポリシー](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html)を使用して KMS キーを作成する必要があります。
+  `kms:Decrypt` 
+  `kms:DescribeKey` 
+  `kms:Encrypt` 
+  `kms:GenerateDataKey` 
+  `kms:GenerateDataKeyWithoutPlainText` 

**ポリシーステートメント**  
 KMS キーを作成する際、次のポリシーステートメントを使用できます。

**注記**  
 を 12 桁の AWS アカウント ID `account-id`に置き換えます。を、Amazon Inspector と Lambda コードスキャンを有効に AWS リージョン した `Region`に置き換えます。`role-ARN` を IAM ロールの Amazon リソースネームに置き換えます。

```
{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    },
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    },
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:DescribeKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    }
  }
}
```

 ポリシーステートメントは JSON 形式でフォーマットされます。ステートメントを含めたら、ポリシーの構文が有効であることを確認します。ステートメントがポリシーの最後のステートメントの場合は、前のステートメントの右中括弧の後にカンマを追加します。ステートメントが最初のステートメントであるか、ポリシー内の既存の 2 つのステートメントの間にある場合は、右中括弧の後にカンマを追加します。

**注記**  
 Amazon Inspector は、パッケージから抽出されたコードスニペットを暗号化するための[許可](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)をサポートしなくなりました。許可ベースのポリシーを使用している場合でも、検出結果にアクセスできます。ただし、KMS キーを更新またはリセットするか、Lambda コードスキャンを無効にする場合は、このセクションで説明する KMS キーポリシーを使用する必要があります。

 アカウントの暗号化キーを設定、更新、またはリセットする場合は、 AWS 管理ポリシー などの Amazon Inspector 管理者ポリシーを使用する必要があります`AmazonInspector2FullAccess`。

## カスタマーマネージドキーによる暗号化の設定
<a name="configure-cmk-encryption"></a>

カスタマーマネージドキーを使用してアカウントの暗号化を設定するには、[カスタマーマネージドキーによるコード暗号化のアクセス許可](#cmk-permissions) で説明されているアクセス許可を持つ Amazon Inspector 管理者である必要があります。さらに、検出結果と同じ AWS リージョンに AWS KMS キー、または[マルチリージョンキー](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)が必要になります。アカウントで既存の対称キーを使用するか、 AWS マネジメントコンソールまたは AWS KMS APIs を使用して対称カスタマーマネージドキーを作成できます。詳細については、 AWS KMS ユーザーガイドの[「対称暗号化 AWS KMS キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)」を参照してください。

**注記**  
 2025 年 6 月 13 日以降、コードスニペットの暗号化/復号中に CloudTrail に記録された AWS KMS リクエストのサービスプリンシパルは「codeguru-reviewer」から「q」に変更されます。

### Amazon Inspector APL を使用して暗号化を設定する
<a name="w2aac60c14c13c17b7"></a>

暗号化用のキーを設定するには、Amazon Inspector 管理者としてサインインしているときに Amazon Inspector API の [UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEncryptionKey.html) オペレーションを実行します。API リクエストで、 `kmsKeyId`フィールドを使用して、使用する AWS KMS キーの ARN を指定します。`scanType` に `CODE` を、`resourceType` に `AWS_LAMBDA_FUNCTION` を入力します。

[UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_GetEncryptionKey.html) API を使用して、Amazon Inspector が暗号化に使用している AWS KMS キーを確認できます。

**注記**  
 カスタマーマネージドキーを設定`GetEncryptionKey`していない場合に を使用しようとすると、オペレーションは`ResourceNotFoundException`エラーを返します。これは、 AWS 所有キーが暗号化に使用されていることを意味します。

キーを削除したり、Amazon Inspector や Amazon Q へのアクセスを拒否するようにポリシーを変更したりすると、コードの脆弱性の検出結果にアクセスできなくなり、アカウントの Lambda コードスキャンが失敗します。

`ResetEncryptionKey` を使用して、 AWS 所有キーの使用を再開し、Amazon Inspector の検出結果の一部として抽出されたコードを暗号化できます。

# 転送中の暗号化
<a name="encryption-transit"></a>

 AWS は、 AWS 内部システムと他の AWS サービス間で転送されるすべてのデータを暗号化します。 AWS Systems Manager は、評価のために Transport Layer Security (TLS) で保護されたチャネル AWS を介して に送信する顧客所有の EC2 インスタンスからテレメトリデータを収集します。Security Hub CSPM に送信される Amazon ECR および AWS Lambda 関数スキャンの検出結果は、TLS で保護されたチャネルを使用して暗号化されます。詳細については、「[Systems Manager でのデータ保護](https://docs.aws.amazon.com/systems-manager/latest/userguide/data-protection.html)」を参照して、SSM が転送中のデータを暗号化する方法を理解してください。

# Amazon Inspector のための Identity and Access Management
<a name="security-iam"></a>


AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に Amazon Inspector リソースの使用を*承認* (許可を付与) するかを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。

**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [Amazon Inspector と IAM の連携](security_iam_service-with-iam.md)
+ [Amazon Inspector アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)
+ [AWS Amazon Inspector の マネージドポリシー](security-iam-awsmanpol.md)
+ [Amazon Inspector でのサービスにリンクされたロールの使用](using-service-linked-roles.md)
+ [Amazon Inspector アイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md)

## オーディエンス
<a name="security_iam_audience"></a>

 AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[Amazon Inspector アイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[Amazon Inspector と IAM の連携](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[Amazon Inspector アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照)

## アイデンティティを使用した認証
<a name="security_iam_authentication"></a>

認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。

 AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。

プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。

### AWS アカウント ルートユーザー
<a name="security_iam_authentication-rootuser"></a>

 を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *ルートユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。

### フェデレーテッドアイデンティティ
<a name="security_iam_authentication-federated"></a>

ベストプラクティスとして、人間のユーザーが一時的な認証情報 AWS のサービス を使用して にアクセスするには、ID プロバイダーとのフェデレーションを使用する必要があります。

*フェデレーティッド ID* は、エンタープライズディレクトリ、ウェブ ID プロバイダー、または ID Directory Service ソースの認証情報 AWS のサービス を使用して にアクセスするユーザーです。フェデレーテッドアイデンティティは、一時的な認証情報を提供するロールを引き受けます。

アクセスを一元管理する場合は、 AWS IAM アイデンティティセンターをお勧めします。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。

### IAM ユーザーとグループ
<a name="security_iam_authentication-iamuser"></a>

*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。

### IAM ロール
<a name="security_iam_authentication-iamrole"></a>

*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。

IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。

## ポリシーを使用したアクセスの管理
<a name="security_iam_access-manage"></a>

でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。

管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。

デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。

### アイデンティティベースのポリシー
<a name="security_iam_access-manage-id-based-policies"></a>

アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。

アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。

### リソースベースのポリシー
<a name="security_iam_access-manage-resource-based-policies"></a>

リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。

リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。

### その他のポリシータイプ
<a name="security_iam_access-manage-other-policies"></a>

AWS は、より一般的なポリシータイプによって付与されるアクセス許可の上限を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。

### 複数のポリシータイプ
<a name="security_iam_access-manage-multiple-policies"></a>

1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。

# Amazon Inspector と IAM の連携
<a name="security_iam_service-with-iam"></a>

IAM を使用して Amazon Inspector へのアクセスを管理する前に、Amazon Inspectorで使用できる IAM 機能について理解しておく必要があります。


**Amazon Inspector で使用できる IAM の機能**  

| IAM 機能 | Amazon Inspector のサポート | 
| --- | --- | 
|  [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)  |   あり  | 
|  [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)  |   なし   | 
|  [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions)  |   あり  | 
|  [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources)  |   はい  | 
|  [ポリシー条件キー (サービス固有)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   はい  | 
|  [ACL](#security_iam_service-with-iam-acls)  |   なし   | 
|  [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-tags)  |   部分的  | 
|  [一時認証情報](#security_iam_service-with-iam-roles-tempcreds)  |   あり  | 
|  [プリンシパルアクセス権限](#security_iam_service-with-iam-principal-permissions)  |   あり  | 
|  [サービスロール](#security_iam_service-with-iam-roles-service)  |   いいえ   | 
|  [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked)  |   はい  | 

Amazon Inspector およびその他の がほとんどの IAM 機能と AWS のサービス 連携する方法の概要を把握するには、IAM *ユーザーガイド*の[AWS のサービス 「IAM と連携する ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

## Amazon Inspector アイデンティティベースのポリシー
<a name="security_iam_service-with-iam-id-based-policies"></a>

**アイデンティティベースのポリシーのサポート:** あり

アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。

IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。

### Amazon Inspector アイデンティティベースのポリシーの例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>


Amazon Inspector アイデンティティベースのポリシーの例は、「[Amazon Inspector アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。

## Amazon Inspector内のリソースベースのポリシー
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**リソースベースのポリシーのサポート:** なし 

リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM *ロールの信頼ポリシー* や Amazon S3 *バケットポリシー* があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。

クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。詳細については、IAM ユーザーガイド**の[IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)を参照してください。

## Amazon Inspector のポリシーアクション
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**ポリシーアクションのサポート:** あり

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。

JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。


Amazon Inspector アクションのリストを確認するには、「*サービス認可リファレンス*」の「[Amazon Inspector で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions)」を参照してください。

Amazon Inspector のポリシーアクションは、アクションの前にプレフィックスを使用します。

```
inspector2
```

単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。

```
"Action": [
      "inspector2:action1",
      "inspector2:action2"
         ]
```


Amazon Inspector アイデンティティベースのポリシーの例は、「[Amazon Inspector アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。

## Amazon Inspector のポリシーリソース
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**ポリシーリソースのサポート:** あり

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。

`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。

```
"Resource": "*"
```

Amazon Inspectorリソースのタイプとその ARN のリストを確認するには、「*サービス認可リファレンス*」の「[Amazon Inspector で定義されるリソース](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-resources-for-iam-policies)」を参照してください。どのアクションで各リソースの ARN を指定できるかについては、「[Amazon Inspector で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions)」を参照してください。


Amazon Inspector アイデンティティベースのポリシーの例は、「[Amazon Inspector アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。

## Amazon Inspector のポリシー条件キー
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**サービス固有のポリシー条件キーのサポート:** あり

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。

`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。

Amazon Inspector の条件キーの一覧については、「*サービス認可リファレンス*」の「[Amazon Inspector の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-policy-keys)」を参照してください。どのアクションやリソースで条件キーを使用できるかについては、「[Amazon Inspector で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions)」を参照してください。

Amazon Inspector アイデンティティベースのポリシーの例は、「[Amazon Inspector アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」でご確認ください。

## Amazon Inspector の ACL
<a name="security_iam_service-with-iam-acls"></a>

**ACL のサポート:** なし 

アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。

## Amazon Inspector と ABAC
<a name="security_iam_service-with-iam-tags"></a>

**ABAC (ポリシー内のタグ) のサポート:** 一部

属性ベースのアクセスコントロール (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。

タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。

サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。

ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。

## Amazon Inspector での一時的な認証情報の使用
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**一時的な認証情報のサポート:** あり

一時的な認証情報は、 AWS リソースへの短期的なアクセスを提供し、フェデレーションまたはスイッチロールの使用時に自動的に作成されます。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

## Amazon Inspector のクロスサービスプリンシパル許可
<a name="security_iam_service-with-iam-principal-permissions"></a>

**転送アクセスセッション (FAS) のサポート:** あり

 転送アクセスセッション (FAS) は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする を使用します。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。

## Amazon Inspector のサービスロール
<a name="security_iam_service-with-iam-roles-service"></a>

**サービスロールのサポート:** なし 

 サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。

**警告**  
サービスロールの許可を変更すると、Amazon Inspectorの機能が破損する可能性があります。Amazon Inspector が指示する場合以外は、サービスロールを編集しないでください。

## Amazon Inspector でのサービスにリンクされたロール
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**サービスリンクロールのサポート:** あり

 サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールの権限を表示できますが、編集することはできません。

サービスリンクロールの作成または管理の詳細については、「[IAM と提携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。表の中から、[**Service-linked role (サービスリンクロール)**] 列に `Yes` と記載されたサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**[はい]** リンクを選択します。

# Amazon Inspector アイデンティティベースのポリシーの例
<a name="security_iam_id-based-policy-examples"></a>

デフォルトでは、ユーザーおよびロールにはAmazon Inspectorリソースを作成または変更する許可はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。

これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。

Amazon Inspector が定義するアクションとリソースタイプ (リソースタイプごとの ARN の形式を含む) の詳細については、「*サービス認可リファレンス*」の「[Amazon Inspector のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html)」を参照してください。

**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [Amazon Inspector コンソールの使用](#security_iam_id-based-policy-examples-console)
+ [自分の権限の表示をユーザーに許可する](#security_iam_id-based-policy-examples-view-own-permissions)
+ [すべての Amazon Inspector リソースへの読み取り専用アクセスを許可する](#security_iam_id-based-policy-examples-read-only)
+ [すべての Amazon Inspector リソースへのフルアクセスを許可する](#security_iam_id-based-policy-examples-full-access)

## ポリシーに関するベストプラクティス
<a name="security_iam_service-with-iam-policy-best-practices"></a>

ID ベースのポリシーは、ユーザーのアカウント内で誰かが Amazon Inspectorリソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、*最小特権*アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。

IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。

## Amazon Inspector コンソールの使用
<a name="security_iam_id-based-policy-examples-console"></a>

Amazon Inspector コンソールにアクセスするには、許可の最小限のセットが必要です。アクセス許可により、 AWS アカウントの Amazon Inspector リソースの詳細をリストおよび表示できます。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。

 AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。

ユーザーとロールが引き続き Amazon Inspector コンソールを使用できるようにするには、エンティティに Amazon Inspector `ConsoleAccess`または `ReadOnly` AWS 管理ポリシーもアタッチします。詳細については、「*IAM ユーザーガイド*」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。

## 自分の権限の表示をユーザーに許可する
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## すべての Amazon Inspector リソースへの読み取り専用アクセスを許可する
<a name="security_iam_id-based-policy-examples-read-only"></a>

この例では、すべての Amazon Inspector リソースへの読み取り専用アクセスを許可するポリシーを示します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "inspector2:Describe*",
                "inspector2:Get*",
                "inspector2:BatchGet*",
                "inspector2:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## すべての Amazon Inspector リソースへのフルアクセスを許可する
<a name="security_iam_id-based-policy-examples-full-access"></a>

この例では、すべての Amazon Inspector リソースへのフルアクセスを許可するポリシーを示します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "inspector2:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "inspector2.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```

------


# AWS Amazon Inspector の マネージドポリシー
<a name="security-iam-awsmanpol"></a>


 AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

 AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。

 AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。


## AWS 管理ポリシー: AmazonInspector2FullAccess\$1v2
<a name="security-iam-awsmanpol-AmazonInspector2FullAccessV2"></a>

 `AmazonInspector2FullAccess_v2` ポリシーを IAM アイデンティティにアタッチできます。

 このポリシーは、Amazon Inspector へのフルアクセスと、関連するサービスへのアクセスを付与します。

 **アクセス許可の詳細** 

 このポリシーには、以下のアクセス許可が含まれています。
+ `inspector2` – Amazon Inspector API への完全なアクセスを許可します。
+  `codeguru-security` – 管理者がアカウントのセキュリティ検出結果と設定を取得できるようにします。
+  `iam` – Amazon Inspector がサービスにリンクされたロール `AWSServiceRoleForAmazonInspector2` と `AWSServiceRoleForAmazonInspector2Agentless` を作成できるようにします。`AWSServiceRoleForAmazonInspector2` は、Amazon Inspector が Amazon EC2 インスタンス、Amazon ECR リポジトリ、Amazon ECR コンテナイメージに関する情報の取得などのオペレーションを実行するために必要です。また、 AWS KMS キーで暗号化された Amazon EBS スナップショットを復号することも必要です。詳細については、「[Amazon Inspector でのサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
+  `organizations` – は、サービスにリンクされたロールの作成 AWS アカウント、組織の委任管理者 AWS アカウント としての の登録、および組織の委任管理者の一覧表示のみをサービスプリンシパル`AllowServicePrincipalBasedAccessToOrganizationApis`に許可します。 `AllowOrganizationalBasedAccessToOrganizationApis` は、ポリシー所有者が組織単位に関する情報、特にリソースレベルの ARNs を取得できるようにします。 `AllowAccountsBasedAccessToOrganizationApis` は、ポリシー所有者が に関する情報、特にリソースレベルの ARNs を取得できるようにします AWS アカウント。 `AllowAccessToOrganizationApis` は、ポリシー所有者が組織および組織情報と AWS のサービス 統合された を表示できるようにします。このポリシーでは、Inspector ポリシータイプによるフィルタリング、管理アカウントによって確立された委任リソースポリシーの表示、アカウントに適用される有効な Inspector ポリシーの表示を含む、Inspector の組織ポリシーを一覧表示できます。

**注記**  
 Amazon Inspector は、現在 CodeGuru を使用した Lambda スキャンを行なっていません。 AWS は、2025 年 11 月 20 日に CodeGuru のサポートを終了します。詳細については、「[CodeGuru Security のサポート終了](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html)」を参照してください。Amazon Inspector は Amazon Q を使用して Lambda スキャンを実行するようになりました。これには、このセクションで説明するアクセス許可は必要ありません。

 このポリシーのアクセス許可を確認するには、「 *AWS マネージドポリシーリファレンスガイド*」の[AmazonInspector2FullAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess_v2.html)」を参照してください。

## AWS 管理ポリシー: AWSInspector2OrganizationsAccess
<a name="security-iam-awsmanpol-AWSInspector2OrganizationsAccess"></a>

 `AWSInspector2OrganizationsAccess` ポリシーを IAM アイデンティティにアタッチできます。

 このポリシーは、 の組織の Amazon Inspector を有効化および管理するための管理アクセス許可を付与します AWS Organizations。このポリシーのアクセス許可により、組織管理アカウントは Amazon Inspector の委任管理者アカウントを指定できます。また、Security Hub 委任管理者アカウントで、組織アカウントをメンバーアカウントとして有効化することもできます。

 このポリシーは、 のアクセス許可のみを提供します AWS Organizations。組織管理アカウントおよび Security Hub 委任管理者アカウントは、関連する各種アクションに対する許可も必要とします。これらの許可は、`AmazonInspector2FullAccess_v2` マネージドポリシーを使用して付与することができます。

 **許可の詳細** 

 このポリシーには、以下のアクセス許可が含まれています。
+ `organizations:ListAccounts` - 組織に属するアカウントリストの取得をプリンシパルに許可します。
+ `organizations:DescribeOrganization` - 組織に関する情報の取得をプリンシパルに許可します。
+ `organizations:ListRoots` - 組織ルートの一覧表示をプリンシパルに許可します。
+ `organizations:ListDelegatedAdministrators` - 組織の委任管理者の一覧表示をプリンシパルに許可します。
+ `organizations:ListAWSServiceAccessForOrganization` – プリンシパル AWS のサービス が、組織が使用する を一覧表示できるようにします。
+ `organizations:ListOrganizationalUnitsForParent` - 親 OU の子組織単位 (OU) の一覧表示をプリンシパルに許可します。
+ `organizations:ListAccountsForParent` - 親 OU の子アカウントの一覧表示をプリンシパルに許可します。
+ `organizations:ListParents` – 指定された子 OU もしくはアカウントの直接の親として機能するルートまたは組織単位 (OU) を一覧表示します。
+ `organizations:DescribeAccount` - 組織内のアカウントに関する情報の取得をプリンシパルに許可します。
+ `organizations:DescribeOrganizationalUnit` - 組織内の OU に関する情報の取得をプリンシパルに許可します。
+ `organizations:ListPolicies` – 指定されたタイプの組織内のすべてのポリシーのリストを取得します。
+ `organizations:ListPoliciesForTarget` – 指定されたターゲットルート、組織単位 (OU)、またはアカウントに直接アタッチされているポリシーを一覧表示します。
+ `organizations:ListTargetsForPolicy` – 指定されたポリシーがアタッチされているすべてのルート、組織単位 (OU)、およびアカウントを一覧表示します。
+ `organizations:DescribeResourcePolicy` – リソースポリシーに関する情報を取得します。
+ `organizations:EnableAWSServiceAccess` – Organizations との統合の有効化を、プリンシパルに許可します。
+ `organizations:RegisterDelegatedAdministrator` – 委任管理者アカウントの指定を、プリンシパルに許可します。
+ `organizations:DeregisterDelegatedAdministrator` – 委任管理者アカウントの削除を、プリンシパルに許可します。
+ `organizations:DescribePolicy` – ポリシーに関する情報を取得します。
+ `organizations:DescribeEffectivePolicy` – 指定されたポリシータイプとアカウントについて有効なポリシーのコンテンツを返します。
+ `organizations:CreatePolicy` – ルート、組織単位 (OU)、または個人にアタッチできる指定されたタイプのポリシーを作成します AWS アカウント。
+ `organizations:UpdatePolicy` – 既存のポリシーを、新しい名前、説明、またはコンテンツで更新します。
+ `organizations:DeletePolicy` – 指定されたポリシーを組織から削除します。
+ `organizations:AttachPolicy` – ルート、組織単位 (OU)、または個々のアカウントにポリシーをアタッチします。
+ `organizations:DetachPolicy` – ターゲットのルート、組織単位 (OU)、またはアカウントからポリシーをデタッチします。
+ `organizations:EnablePolicyType` – ルート内の特定のポリシータイプを有効化します。
+ `organizations:DisablePolicyType` – ルート内の特定の組織ポリシータイプを無効化します。
+ `organizations:TagResource` – 指定されたリソースに 1 つまたは複数のタグを追加します。
+ `organizations:UntagResource` – 指定されたリソースから、指定されたキーを持つタグを削除します。
+ `organizations:ListTagsForResource` – 指定されたリソースにアタッチされているタグのリストを表示します。

 このポリシーのアクセス許可を確認するには、「 *AWS マネージドポリシーリファレンスガイド*」の[AWSInspector2OrganizationsAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSInspector2OrganizationsAccess.html)」を参照してください。

## AWS 管理ポリシー: AmazonInspector2FullAccess
<a name="security-iam-awsmanpol-AmazonInspector2FullAccess"></a>

 
 `AmazonInspector2FullAccess` ポリシーを IAM アイデンティティにアタッチできます。

 
このポリシーは、Amazon Inspector へのフルアクセスを許可する管理許可を付与します。

 
**重要**  
 Inspector 2 サービスプリンシパルに対するセキュリティを強化し、アクセス許可を制限するには、[AmazonInspector2FullAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess_v2.html) を使用することをお勧めします。

 **アクセス許可の詳細** 

 このポリシーには、以下のアクセス許可が含まれています。

 
+ `inspector2` – Amazon Inspector 機能へのフルアクセスを許可します。
+  `iam` – Amazon Inspector がサービスにリンクされたロール `AWSServiceRoleForAmazonInspector2` と `AWSServiceRoleForAmazonInspector2Agentless` を作成できるようにします。`AWSServiceRoleForAmazonInspector2` は、Amazon Inspector が Amazon EC2 インスタンス、Amazon ECR リポジトリ、コンテナイメージに関する情報の取得などのオペレーションを実行するために必要です。また、Amazon Inspector は、VPC ネットワークを分析し、組織に関連付けられているアカウントを記述する必要もあります。`AWSServiceRoleForAmazonInspector2Agentless` は、Amazon Inspector が Amazon EC2 インスタンスや Amazon EBS スナップショットに関する情報の取得などのオペレーションを実行するために必要です。また、 AWS KMS キーで暗号化された Amazon EBS スナップショットを復号することも必要です。詳細については、「[Amazon Inspector でのサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。
+  `organizations` — 管理者による AWS Organizationsの組織への Amazon Inspector の使用を許可します。で Amazon Inspector の[信頼されたアクセスを有効にする](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)と AWS Organizations、委任管理者アカウントのメンバーは設定を管理し、組織全体の結果を表示できます。
+  `codeguru-security` – 管理者は Amazon Inspector を使用して、CodeGuru Security が保存しているコードの情報コードスニペットを取得し、暗号化設定を変更できます。詳細については、「[検出結果のコードの保管時の暗号化](encryption-rest.md#encryption-code-snippets)」を参照してください。

 
 このポリシーのアクセス許可を確認するには、「 *AWS マネージドポリシーリファレンスガイド*」の[AmazonInspector2FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess.html)」を参照してください。

## AWS 管理ポリシー: AmazonInspector2ReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess"></a>


`AmazonInspector2ReadOnlyAccess` ポリシーを IAM アイデンティティにアタッチできます。


このポリシーは、Amazon Inspector への読み取り専用アクセスを可能にする許可を付与します。


**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。


+ `inspector2` – Amazon Inspector 機能への読み取り専用アクセスを許可します。
+ `organizations` – の組織の Amazon Inspector カバレッジの詳細を表示 AWS Organizations できるようにします。さらに、 を使用して Inspector 組織ポリシーを表示`ListPolicies`し、Inspector ポリシータイプでフィルタリングしたり、 を使用して委任リソースポリシーを表示したり`DescribeResourcePolicy`、 を介してアカウントに適用された有効な Inspector ポリシーを表示したりできます`DescribeEffectivePolicy`。これにより、ユーザーは組織ポリシーを通じて確立された一元化されたインスペクターの有効化を、変更することなく理解できます。
+ `codeguru-security` — CodeGuru Security からコードスニペットを取得できるようにします。また、CodeGuru Security に保存されているコードの暗号化設定を表示することもできます。

 このポリシーのアクセス許可を確認するには、「 *AWS マネージドポリシーリファレンスガイド*」の[AmazonInspector2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ReadOnlyAccess.html)」を参照してください。

## AWS 管理ポリシー: AmazonInspector2ManagedCisPolicy
<a name="security-iam-awsmanpol-AmazonInspector2ManagedCisPolicy"></a>

IAM エンティティに `AmazonInspector2ManagedCisPolicy` ポリシーをアタッチできます。このポリシーは、Amazon EC2 インスタンスにインスタンスの CIS スキャンの実行を許可するアクセス許可を与えるロールにアタッチする必要があります。IAM ロールを使用して、EC2 インスタンスで実行され、 AWS CLI または AWS API リクエストを行うアプリケーションの一時的な認証情報を管理できます。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。EC2 インスタンスに AWS ロールを割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時的な認証情報を取得できます。詳細については、「*IAM ユーザーガイド*」の「[Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用して許可を付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)」を参照してください。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `inspector2` – CIS スキャンの実行に使用されるアクションへのアクセスを許可します。

 このポリシーのアクセス許可を確認するには、「 *AWS マネージドポリシーリファレンスガイド*」の[AmazonInspector2ManagedCisPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ManagedCisPolicy.html)」を参照してください。

## AWS 管理ポリシー: AmazonInspector2ServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy"></a>

IAM エンティティに `AmazonInspector2ServiceRolePolicy` ポリシーをアタッチすることはできません。このポリシーは、Amazon Inspector がユーザーに代わってアクションを実行することを許可するサービスリンクロールにアタッチされます。詳細については、「[Amazon Inspector でのサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。

## AWS 管理ポリシー: AmazonInspector2AgentlessServiceRolePolicy
<a name="security-iam-awsmanpol-AWSServiceRoleForAmazonInspector2Agentless"></a>

IAM エンティティに `AmazonInspector2AgentlessServiceRolePolicy` ポリシーをアタッチすることはできません。このポリシーは、Amazon Inspector がユーザーに代わってアクションを実行することを許可するサービスリンクロールにアタッチされます。詳細については、「[Amazon Inspector でのサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。

## AWS 管理ポリシー: AmazonInspector2ManagedTelemetryPolicy
<a name="security-iam-awsmanpol-AmazonInspector2ManagedTelemetryPolicy"></a>

IAM エンティティに `AmazonInspector2ManagedTelemetryPolicy` ポリシーをアタッチできます。このポリシーは、Amazon Inspector テレメトリオペレーションのアクセス許可を付与し、サービスが脆弱性スキャンのためにパッケージインベントリデータを収集して送信できるようにします。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `inspector2-telemetry` – パッケージインベントリデータ送信のアクションへのアクセスを許可します。

 JSON ポリシードキュメントの最新バージョンなど、ポリシーの詳細については、「 *AWS マネージドポリシーリファレンスガイド*」の[AmazonInspector2ManagedTelemetryPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ManagedTelemetryPolicy.html)」を参照してください。


## AWS マネージドポリシーに対する Amazon Inspector の更新
<a name="security-iam-awsmanpol-updates"></a>


このサービスがこれらの変更の追跡を開始してからの Amazon Inspector の AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートを受け取るには、Amazon Inspector の[ドキュメント履歴](doc-history.md)ページで RSS フィードにサブスクライブしてください。


| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|   [AWSInspector2OrganizationsAccess](#security-iam-awsmanpol-AWSInspector2OrganizationsAccess) – 新しいポリシー   |   Amazon Inspector は、ポリシーを介して Amazon Inspector を有効化および管理するために必要なアクセス許可を付与する新しい管理 AWS Organizations ポリシーを追加しました。  | 2026 年 3 月 3 日 | 
|   [AmazonInspector2ManagedTelemetryPolicy](#security-iam-awsmanpol-AmazonInspector2ManagedTelemetryPolicy) – 新しいポリシー   |   Amazon Inspector は、Amazon Inspector テレメトリオペレーションのアクセス許可を付与する新しいマネージドポリシーを追加しました。これにより、サービスは脆弱性スキャンのためにパッケージインベントリデータを収集して送信できます。  | 2026 年 2 月 5 日 | 
|   [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/slr-permissions.html) — 既存のポリシーの更新   |   Amazon Inspector は、Amazon Inspector がネットワーク到達可能性分析用のファイアウォールメタデータを記述できるようにする新しいアクセス許可を追加しました。さらに、Amazon Inspector は、Amazon Inspector が SSM ドキュメント との SSM 関連付けを作成、更新、開始できるように、リソーススコープを追加しました`AWS-ConfigureAWSPackage`。  | 2026 年 2 月 3 日 | 
|   [AmazonInspector2FullAccess\$1v2](#security-iam-awsmanpol-AmazonInspector2FullAccessV2) および [AmazonInspector2ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) – 既存のポリシーの更新   |   Amazon Inspector は、ポリシー所有者が Inspector の組織ポリシーと委任設定を表示できるようにする新しいアクセス許可を追加しました。これにより、 AWS Organizations ポリシーによる Inspector 有効化の一元管理と可視性がサポートされます。  | 2025 年 11 月 14 日 | 
|   [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/slr-permissions.html) — 既存のポリシーの更新   |   Amazon Inspector は、Amazon Inspector ポリシーが Amazon AWS Organizations Inspector の有効化と無効化を適用できるようにする新しいアクセス許可を追加しました Amazon Inspector 。  | 2025 年 11 月 10 日 | 
|   [AmazonInspector2FullAccess\$1v2](#security-iam-awsmanpol-AmazonInspector2FullAccessV2) – 新しいポリシー   |   Amazon Inspector に、Amazon Inspector へのフルアクセスと、他の関連サービスへのアクセスを提供するマネージドポリシーが追加されました。  | 2025 年 7 月 3 日 | 
|   [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — 既存のポリシーの更新   |   Amazon Inspector に、Amazon Inspector が IP アドレスとインターネットゲートウェイを記述できるようにする新しいアクセス許可が追加されました。  | 2025 年 4 月 29 日 | 
|   [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — 既存のポリシーの更新   |   Amazon Inspector に、Amazon ECS および Amazon EKS アクションへの読み取り専用アクセスを許可する新しいアクセス許可が追加されました。  | 2025 年 3 月 25 日 | 
|   [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — 既存のポリシーの更新   |   Amazon Inspector は、Amazon Inspector が AWS Lambdaで関数タグを返すことを許可する新しいアクセス許可を追加しました。  | 2024 年 7 月 31 日 | 
|   [AmazonInspector2FullAccess](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2FullAccess) — 既存のポリシーの更新  |   Amazon Inspector は、Amazon Inspector がサービスにリンクされたロール `AWSServiceRoleForAmazonInspector2Agentless` を作成できるようにするアクセス許可を追加しました。これにより、ユーザーは Amazon Inspector を有効にするときに[エージェントベースのスキャン](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agent-based)と[エージェントレススキャン](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agentless)を実行できます。  | 2024 年 4 月 24 日 | 
|  [AmazonInspector2ManagedCisPolicy](#security-iam-awsmanpol-AmazonInspector2ManagedCisPolicy) – 新しいポリシー  |  Amazon Inspector は、インスタンスプロファイルの一部として使用してインスタンスの CIS スキャンを許可する新しい管理ポリシーを追加しました。  | 2024 年 1 月 23 日 | 
|  [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — 既存のポリシーの更新  |  Amazon Inspector は、Amazon Inspector にターゲットインスタンスで CIS スキャンを開始できるようにする新しいアクセス許可を追加しました。  | 2024 年 1 月 23 日 | 
|  [AmazonInspector2AgentlessServiceRolePolicy](using-service-linked-roles.md) – 新しいポリシー  |  Amazon Inspector には、EC2 インスタンスのエージェントレススキャンを可能にする、サービスリンクロールの新しいポリシーが追加されました。  | 2023 年 11 月 27 日 | 
|  [AmazonInspector2ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — 既存のポリシーの更新  |  Amazon Inspector には、読み取り専用ユーザーがパッケージの脆弱性検出結果の脆弱性インテリジェンスの詳細を取得できる新しいアクセス許可が追加されました。  | 2023 年 9 月 22 日 | 
|  [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — 既存のポリシーの更新  |  Amazon Inspector には、Elastic Load Balancing ターゲットグループの一部である Amazon EC2 インスタンスのネットワーク設定をスキャンできるようにする新しいアクセス許可が追加されました。  | 2023 年 8 月 31 日 | 
|  [AmazonInspector2ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) - 既存のポリシーの更新  |  Amazon Inspector には、読み取り専用ユーザーがリソースのソフトウェア部品表 (SBOM) をエクスポートできる新しいアクセス許可が追加されました。  | 2023 年 6 月 29 日 | 
|  [AmazonInspector2ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) - 既存のポリシーの更新  |  Amazon Inspector には、読み取り専用ユーザーが自分のアカウントの Lambda コードスキャン検出結果の暗号化設定の詳細を取得できるようにする新しいアクセス許可が追加されました。  | 2023 年 6 月 13 日 | 
|  [AmazonInspector2FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) — 既存のポリシーの更新  |  Amazon Inspector には、Lambda コードスキャンの検出結果に含まれるコードを暗号化するようにカスタマーマネージドキー KMS キーをユーザーが設定できる新しいアクセス許可が追加されました。  | 2023 年 6 月 13 日 | 
|  [AmazonInspector2ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) - 既存のポリシーの更新  |  Amazon Inspector には、読み取り専用ユーザーが自分のアカウントの Lambda コードスキャンのステータスと検出結果の詳細を取得できる新しいアクセス許可が追加されました。  | 2023 年 5 月 2 日 | 
|  [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — 既存のポリシーの更新  |  Amazon Inspector は、Lambda スキャンをアクティブ化するときに Amazon Inspector がアカウントに AWS CloudTrail サービスにリンクされたチャネルを作成できるようにする新しいアクセス許可を追加しました。これにより、Amazon Inspector はアカウントの CloudTrail イベントをモニタリングできます。  | 2023 年 4 月 30 日 | 
|  [AmazonInspector2FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) — 既存のポリシーの更新  |  Amazon Inspector には、ユーザーが Lambda コードスキャンから得られたコード脆弱性の検出結果を取得できる新しいアクセス許可が追加されました。  | 2023 年 4 月 21 日 | 
|  [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — 既存のポリシーの更新  |  Amazon Inspector は、Amazon EC2 詳細検査向けにカスタマーが定義したカスタムパスに関する情報を Amazon EC2 Systems Manager に送信できるようにする新しいアクセス許可を追加しました。  | 2023 年 4 月 17 日 | 
|  [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — 既存のポリシーの更新  |  Amazon Inspector は、Lambda スキャンをアクティブ化するときに Amazon Inspector がアカウントに AWS CloudTrail サービスにリンクされたチャネルを作成できるようにする新しいアクセス許可を追加しました。これにより、Amazon Inspector はアカウントの CloudTrail イベントをモニタリングできます。  | 2023 年 4 月 30 日 | 
|  [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — 既存のポリシーの更新  |  Amazon Inspector は、Amazon Inspector が AWS Lambda 関数内の開発者コードのスキャンをリクエストし、Amazon CodeGuru Security からスキャンデータを受信できるようにする新しいアクセス許可を追加しました。さらに、Amazon Inspector には、IAM ポリシーを確認するためのアクセス許可が追加されました。Amazon Inspector はこの情報を使用して Lambda 関数のコード脆弱性をスキャンします。  | 2023 年 2 月 28 日 | 
|  [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — 既存のポリシーの更新  |  Amazon Inspector は、 AWS Lambda Amazon Inspector が関数が最後に呼び出された日時に関する情報を CloudWatch から取得できるようにする新しいステートメントを追加しました。Amazon Inspector はこの情報を使用して、過去 90 日間にアクティブだった環境内の Lambda 関数にスキャンの対象を絞ります。  | 2023 年 2 月 20 日 | 
|  [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — 既存のポリシーの更新  |  Amazon Inspector は、Amazon Inspector が各 AWS Lambda 関数に関連付けられている各レイヤーバージョンを含む関数に関する情報を取得できるようにする新しいステートメントを追加しました。Amazon Inspector はこの情報を使用して Lambda 関数のセキュリティ脆弱性をスキャンします。  | 2022 年 11 月 28 日 | 
|  [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — 既存のポリシーの更新  |  Amazon Inspector には、Amazon Inspector が SSM 関連付け実行を記述できるようにする新しいアクションが追加されました。さらに、Amazon Inspector では、`AmazonInspector2` 所有の SSM ドキュメントとの SSM 関連付けを作成、更新、削除、および開始できるように、リソーススコープが追加されました。  | 2022 年 8 月 31 日 | 
|  [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) 既存のポリシーの更新  |  Amazon Inspector は、Amazon Inspector が他の AWS パーティションでソフトウェアインベントリを収集できるように、ポリシーのリソーススコープを更新しました。  | 2022 年 8 月 12 日 | 
|  [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — 既存のポリシーの更新  |  Amazon Inspector はアクションのリソーススコープを再構築し、Amazon Inspector が SSM 関連付けを作成、削除、および更新できるようにしました。  | 2022 年 8 月 10 日 | 
|  [AmazonInspector2ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — 新しいポリシー  |  Amazon Inspector には、機能への読み取り専用アクセスを許可する新しいポリシーが追加されました。  | 2022 年 1 月 21 日 | 
|  [AmazonInspector2FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) — 新しいポリシー  |  Amazon Inspector には、機能へのフルアクセスを許可する新しいポリシーが追加されました。  | 2021 年 11 月 29 日 | 
|  [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — 新しいポリシー  |  Amazon Inspector には、Amazon Inspector がお客様に代わって他のサービスでアクションを実行できるようになりました。  | 2021 年 11 月 29 日 | 
|  Amazon Inspector が変更の追跡を開始しました。  |  Amazon Inspector は、 AWS 管理ポリシーの変更の追跡を開始しました。  | 2021 年 11 月 29 日 | 

# Amazon Inspector でのサービスにリンクされたロールの使用
<a name="using-service-linked-roles"></a>

Amazon Inspector は、 という名前の AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します`AWSServiceRoleForAmazonInspector2`。このサービスリンクロールは、Amazon Inspector に直接リンクされた IAM ロールです。これは Amazon Inspector によって事前定義されており、Amazon Inspector が AWS のサービス ユーザーに代わって他の を呼び出すために必要なすべてのアクセス許可が含まれています。

必要な許可を手動で追加する必要がないため、サービスリンクロールは Amazon Inspector のセットアップを容易にします。Amazon Inspector はサービスリンクロールのアクセス許可を定義し、他に定義されていない限り、Amazon Inspector のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (グループまたはロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。サービスリンクロールを削除するには、その関連リソースを削除します。これにより、リソースへの意図しないアクセスによる許可の削除が防止され、 Amazon Inspector リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」があるサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで確認するには、**[はい]** リンクを選択します。

# Amazon Inspector のサービスにリンクされたロールの許可
<a name="slr-permissions"></a>

 Amazon Inspector は、[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html) という名前の管理ポリシーを使用します。このサービスにリンクされたロールは、ロールを引き受ける上で `inspector2.amazonaws.com` サービスを信頼します。

[https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) という名前のロールのアクセス許可ポリシーにより、Amazon Inspector は次のようなタスクを実行することが許可されます。
+ Amazon Elastic Compute Cloud (Amazon EC2) のアクションを使用して、インスタンスとネットワークパスに関する情報を取得します。
+  AWS Systems Manager アクションを使用して Amazon EC2 インスタンスからインベントリを取得し、カスタムパスからサードパーティーパッケージに関する情報を取得します。
+ アクションを使用して、ターゲットインスタンスの CIS スキャンを AWS Systems Manager `SendCommand`呼び出します。
+ Amazon Elastic Container Registry アクションを使用して、コンテナイメージに関する情報を取得します。
+  AWS Lambda アクションを使用して、Lambda 関数に関する情報を取得します。
+  AWS Organizations アクションを使用して、関連付けられたアカウントを記述します。
+ CloudWatch アクションを使用して、Lambda関数が最後に呼び出されたときの情報を取得します。
+ 選択した IAM アクションを使用して、Lambda コードにセキュリティ脆弱性を生じさせる可能性のある IAM ポリシーに関する情報を取得します。
+ Amazon Q アクションを使用して、Lambda 関数のコードのスキャンを実行します。Amazon Inspector は、次の Amazon Q アクションを使用します。
  + codeguru-security:CreateScan – Amazon Q スキャンを作成するアクセス許可を付与します。
  + codeguru-security:GetScan – Amazon Q スキャンメタデータを取得するための許可を付与します。
  + codeguru-security:ListFindings – Amazon Q によって生成された検出結果を取得するための許可を付与します。
  + codeguru-security:DeleteScansByCategory – Amazon Q が Amazon Inspector によって開始されたスキャンを削除するアクセス許可を付与します。
  + codeguru-security:BatchGetFindings – Amazon Q によって生成された特定の検出結果をバッチ取得するための許可を付与します。
+ 選択した Elastic Load Balancing アクションを使用して、Elastic Load Balancing ターゲットグループの一部である EC2 インスタンスのネットワークスキャンを実行します。
+ Amazon ECS および Amazon EKS アクションを使用して、クラスターとタスクを表示し、タスクを記述するための読み取り専用アクセスを許可します。
+  AWS Organizations アクションを使用して、組織全体の Amazon Inspector の委任された管理者を一覧表示します。
+ Amazon Inspector アクションを使用して、組織全体で Amazon Inspector を有効または無効にします。
+ Amazon Inspector アクションを使用して、委任管理者アカウントを指定し、組織全体のメンバーアカウントを関連付けます。

**注記**  
 Amazon Inspector は、現在 CodeGuru を使用した Lambda スキャンを行なっていません。 AWS は、2025 年 11 月 20 日に CodeGuru のサポートを終了します。詳細については、「[CodeGuru Security のサポート終了](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html)」を参照してください。Amazon Inspector は Amazon Q を使用して Lambda スキャンを実行するようになりました。これには、このセクションで説明するアクセス許可は必要ありません。

 このポリシーの許可を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html)」を参照してください。

## Amazon Inspector のサービスリンクロールの作成
<a name="create-slr"></a>

サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で Amazon Inspector をアクティブ化すると、Amazon Inspector によってサービスにリンクされたロールが作成されます。

## Amazon Inspector のサービスリンクロールの編集
<a name="edit-slr"></a>

Amazon Inspector では、`AWSServiceRoleForAmazonInspector2` のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールが作成されると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「**IAM ユーザーガイド」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## Amazon Inspector のサービスリンクロールの削除
<a name="delete-slr"></a>

Amazon Inspector の使用が不要になった場合は、`AWSServiceRoleForAmazonInspector2` サービスにリンクされたロールを削除することをお勧めします。ロールを削除する前に、アクティブ化 AWS リージョン されている各 で Amazon Inspector を非アクティブ化する必要があります。Amazon Inspector を非アクティブ化しても、ロールは削除されません。したがって、Amazon Inspector を再度アクティブ化すると、既存のロールを使用することができます。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされるのを防ぐことができます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

サービスにリンクされたこのロールを削除したが、再作成する必要がある場合は、同じプロセスで、アカウントにロールを再作成することができます。Amazon Inspector をアクティブ化すると、Amazon Inspector がサービスリンクロールを再作成します。

**注記**  
リソースを削除しようとしているときに Amazon Inspector サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

IAM コンソール、 AWS CLI、または AWS API を使用して、`AWSServiceRoleForAmazonInspector2`サービスにリンクされたロールを削除できます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

# Amazon Inspector のエージェントレススキャンに対するサービスリンクロールのアクセス許可
<a name="slr-permissions-agentless"></a>

Amazon Inspector のエージェントレススキャンでは、`AWSServiceRoleForAmazonInspector2Agentless` という名前のサービスリンクロールを使用します。このサービスリンクロールにより、Amazon Inspector はアカウントに Amazon EBS ボリュームのスナップショットを作成し、そのスナップショットからデータにアクセスできるようになります。このサービスリンクロールは、ロールを引き受ける上で `agentless.inspector2.amazonaws.com` サービスを信頼します。

**重要**  
このサービスリンクロールのステートメントにより、Amazon Inspector は、`InspectorEc2Exclusion` タグを使用してスキャンから除外した EC2 インスタンスに対してエージェントレススキャンを実行できなくなります。さらに、このステートメントは、暗号化に使用される KMS キーに `InspectorEc2Exclusion` タグが付いている場合に、Amazon Inspector がボリュームの暗号化されたデータにアクセスできないようにします。詳細については、「[Amazon Inspector スキャンからのインスタンスの除外](scanning-ec2.md#exclude-ec2)」を参照してください。

`AmazonInspector2AgentlessServiceRolePolicy` という名前のロールのアクセス許可ポリシーにより、Amazon Inspector は次のようなタスクを実行することが許可されます。
+ Amazon Elastic Compute Cloud (Amazon EC2) アクションを使用して、EC2 インスタンス、ボリューム、スナップショットに関する情報を取得します。
  + Amazon EC2 のタグ付けアクションを使用して、`InspectorScan` タグキーでスキャンのスナップショットにタグを付けます。
  + Amazon EC2 のスナップショットアクションを使用してスナップショットを作成し、`InspectorScan` タグキーでタグ付けしてから、`InspectorScan` タグキーでタグ付けされた Amazon EBS ボリュームのスナップショットを削除します。
+ Amazon EBS アクションを使用して、`InspectorScan` タグキーでタグ付けされたスナップショットから情報を取得します。
+ Select AWS KMS 復号アクションを使用して、 AWS KMS カスタマーマネージドキーで暗号化されたスナップショットを復号します。Amazon Inspector は、スナップショットの暗号化に使用された KMS キーに `InspectorEc2Exclusion` タグが付いている場合、スナップショットを復号しません。

ロールは、次のアクセス許可ポリシーを使用して設定されます。

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "InstanceIdentification",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeVolumes",
				"ec2:DescribeSnapshots"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetSnapshotData",
			"Effect": "Allow",
			"Action": [
				"ebs:ListSnapshotBlocks",
				"ebs:GetSnapshotBlock"
			],
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"aws:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsAnyInstanceOrVolume",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:volume/*"
			]
		},
		{
			"Sid": "DenyCreateSnapshotsOnExcludedInstances",
			"Effect": "Deny",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:instance/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:CreateAction": "CreateSnapshots"
				},
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "DeleteOnlySnapshotsTaggedForScanning",
			"Effect": "Allow",
			"Action": "ec2:DeleteSnapshot",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "DenyKmsDecryptForExcludedKeys",
			"Effect": "Deny",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksVolContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "vol-*"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksSnapContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "snap-*"
				}
			}
		},
		{
			"Sid": "DescribeKeysForEbsOperations",
			"Effect": "Allow",
			"Action": "kms:DescribeKey",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListKeyResourceTags",
			"Effect": "Allow",
			"Action": "kms:ListResourceTags",
			"Resource": "arn:aws:kms:*:*:key/*"
		}
	]
}
```

------

## エージェントレススキャンのサービスリンクロールの作成
<a name="create-slr"></a>

サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で Amazon Inspector をアクティブ化すると、Amazon Inspector によってサービスにリンクされたロールが作成されます。

## エージェントレススキャンのサービスリンクロールの編集
<a name="edit-slr"></a>

Amazon Inspector では、`AWSServiceRoleForAmazonInspector2Agentless` のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールが作成されると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## エージェントレススキャンのサービスリンクロールの削除
<a name="delete-slr"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。

**重要**  
`AWSServiceRoleForAmazonInspector2Agentless` ロールを削除するには、エージェントレススキャンが可能なすべてのリージョンで、スキャンモードをエージェントベースに設定する必要があります。

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForAmazonInspector2Agentless サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

# Amazon Inspector アイデンティティとアクセスのトラブルシューティング
<a name="security_iam_troubleshoot"></a>

以下の情報を使用して、Amazon Inspector と IAM の使用時に発生する可能性がある一般的な問題の診断と修正に役立てます。

**Topics**
+ [Amazon Inspector でアクションを実行する認可がない](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がありません](#security_iam_troubleshoot-passrole)
+ [自分の 以外のユーザーに Amazon Inspector リソース AWS アカウント へのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)

## Amazon Inspector でアクションを実行する認可がない
<a name="security_iam_troubleshoot-no-permissions"></a>

あるアクションを実行するアクセス許可がないというエラーが表示された場合、そのアクションを実行できるようにポリシーを更新する必要があります。

次のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して、ある `my-example-widget` リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要な `inspector2:GetWidget` アクセス許可を持っていない場合に発生するものです。

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: inspector2:GetWidget on resource: my-example-widget
```

この場合、`inspector2:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスを許可するように、`mateojackson` ユーザーのポリシーを更新する必要があります。

サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン認証情報を提供した担当者が管理者です。

## iam:PassRole を実行する権限がありません
<a name="security_iam_troubleshoot-passrole"></a>

`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Amazon Inspector にロールを渡せるようにする必要があります。

一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、そのサービスに既存のロールを渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。

以下のエラーの例は、`marymajor` という名前の IAM ユーザーがコンソールを使用して Amazon Inspector でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。

サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。

## 自分の 以外のユーザーに Amazon Inspector リソース AWS アカウント へのアクセスを許可したい
<a name="security_iam_troubleshoot-cross-account-access"></a>

他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。

詳細については、以下を参照してください:
+ Amazon Inspector がこれらの機能をサポートしているかどうかを確認するには、「[Amazon Inspector と IAM の連携](security_iam_service-with-iam.md)」を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、IAM *ユーザーガイド*の[「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、*IAM ユーザーガイド* の [IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。

# Amazon Inspector のモニタリング
<a name="monitoring-overview"></a>

 モニタリングは、Amazon Inspector やその他の AWS ソリューションの可用性、信頼性、パフォーマンスを維持する上で重要な部分です。 AWS には、Amazon Inspector をモニタリングし、発生した問題を報告して、これらの問題を修正するためのアクションを実行するためのツールが用意されています。
+  [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) は、イベントを使用してアプリケーションコンポーネントを接続し、スケーラブルなイベント駆動型アプリケーションを簡単に構築できるようにする AWS サービスです。EventBridge は、アプリケーション、Software-as-a-Service (SaaS) アプリケーション、 AWS サービスとルートからリアルタイムデータのストリームを配信するため、サービスで発生するイベントをモニタリングし、イベント駆動型アーキテクチャを構築できます。
+  [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) は、 によって、または に代わって行われた API コールおよび関連イベントをキャプチャする AWS サービスです AWS アカウント。CloudTrail は、指定した Amazon S3 バケットにログファイルを配信するため、 を呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、呼び出しの発生日時を特定できます。

# を使用した Amazon Inspector API コールのログ記録 AWS CloudTrail
<a name="logging-using-cloudtrail"></a>

Amazon Inspector は AWS CloudTrail、Amazon Inspector の IAM ユーザーまたはロール、または によって実行されたアクションを記録するサービスである AWS のサービスと統合されています。CloudTrail は、Amazon Inspector へのすべての API コールをイベントとしてキャプチャします。キャプチャされた呼び出しには、Amazon Inspector コンソールからの呼び出しと、Amazon Inspector API オペレーションへの呼び出しが含まれます。追跡を作成する場合は、Amazon Inspector のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの **[イベント履歴]** で最新のイベントを表示できます。CloudTrail によって収集されたデータを使用して、以下の情報を判断できます。
+ Amazon Inspector に対して行われたリクエスト
+ リクエストが行われた IP アドレス。
+ 誰がリクエストを行ったか。
+ リクエストが行われた時。


CloudTrail の詳細については、「*[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)*」を参照してください。

## CloudTrail での Amazon Inspector 情報
<a name="service-name-info-in-cloudtrail"></a>

CloudTrail は、アカウントの作成 AWS アカウント 時に で有効になります。Amazon Inspector でアクティビティが発生すると、そのアクティビティは **[イベント履歴]** で AWS のサービス のその他のサービスのイベントと共に CloudTrail イベントにレコードされます。で最近のイベントを表示、検索、ダウンロードできます AWS アカウント。詳細については、「[CloudTrail イベント履歴でのイベントの表示](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)」を参照してください。

Amazon Inspector のイベントなど AWS アカウント、 のイベントの継続的な記録については、証跡を作成します。*証跡*により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての AWS リージョンに適用されます。証跡は、 AWS パーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集されたイベントデータをさらに分析して処理 AWS のサービス するように他の を設定できます。詳細については、以下の各トピックを参照してください。
+ [追跡を作成するための概要](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail がサポートされているサービスと統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ 「[CloudTrail の Amazon SNS 通知の設定](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)」
+ [複数のアカウントから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ [CloudTrail ログ ファイルを複数のリージョンから受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)

すべての Amazon Inspector アクションが Amazon CloudTrail によりログに記録されます。Amazon Inspector で実行できるすべてのアクションは、「[Amazon Inspector API リファレンス](https://docs.aws.amazon.com/inspector/latest/APIReference/)」に記載されています。たとえば、`CreateFindingsReport`、`ListCoverage`、`UpdateOrganizationConfiguration` の各アクションを呼び出すと、CloudTrail ログファイルにエントリが生成されます。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。
+ リクエストが、ルートユーザーまたは IAM ユーザーのどちらの認証情報を使用して送信されたかどうか。
+ リクエストが、ロールとフェデレーションユーザーのどちらかの一時的なセキュリティ認証情報を使用して送信されたかどうか。
+ リクエストが、別の AWS のサービスによって送信されたかどうか。

詳細については、「[CloudTrail userIdentity エレメント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)」を参照してください。

## Amazon Inspector ログファイルエントリの理解
<a name="understanding-service-name-entries"></a>

「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail ログファイルには、1 つ以上のログエントリがあります。イベント は、任意の送信元からの単一の要求を表します。イベントには、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

## CloudTrail での Amazon Inspector スキャンの情報
<a name="inspector-scan-in-cloudtrail"></a>

Amazon Inspector スキャンは CloudTrail と統合されています。Amazon Inspector スキャン API オペレーションはすべて管理イベントとしてログ記録されます。Amazon Inspector が CloudTrail にログ記録する Amazon Inspector スキャン API オペレーションのリストについては、「Amazon Inspector API リファレンス」の「[Amazon Inspector スキャン](https://docs.aws.amazon.com/inspector/v2/APIReference/API_Operations_Inspector_Scan.html)」を参照してください。

以下は、`ScanSbom` アクションを示す CloudTrail ログエントリの例です。

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROA123456789EXAMPLE:akua_mansa",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/akua_mansa",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROA123456789EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-10-17T15:22:59Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-10-17T16:02:34Z",
    "eventSource": "gamma-inspector-scan.amazonaws.com",
    "eventName": "ScanSbom",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "aws-sdk-java/2.20.162 Mac_OS_X/13.5.2 OpenJDK_64-Bit_Server_VM/17.0.8+7-LTS Java/17.0.8 vendor/Amazon.com_Inc. io/sync http/UrlConnection cfg/retry-mode/legacy",
    "requestParameters": {
        "sbom": {
            "specVersion": "1.5",
            "metadata": {
                "component": {
                    "name": "debian",
                    "type": "operating-system",
                    "version": "9"
                }
            },
            "components": [
                {
                    "name": "packageOne",
                    "purl": "pkg:deb/debian/packageOne@1.0.0?arch=x86_64&distro=9",
                    "type": "application"
                }
            ],
            "bomFormat": "CycloneDX"
        }
    },
    "responseElements": null,
    "requestID": "f041a27f-f33e-4f70-b09b-5fbc5927282a",
    "eventID": "abc8d1e4-d214-4f07-bc56-8a31be6e36fe",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
```

# Amazon Inspector のコンプライアンス検証
<a name="inspector-compliance"></a>

 AWS のサービス が特定のコンプライアンスプログラムの範囲内にあるかどうかを確認するには、[AWS のサービス 「コンプライアンスプログラムによる対象範囲内](https://aws.amazon.com/compliance/services-in-scope/)のコンプライアンス」を参照し、関心のあるコンプライアンスプログラムを選択します。一般的な情報については、[AWS 「コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。

を使用して、サードパーティーの監査レポートをダウンロードできます AWS Artifact。詳細については、[「Downloading Reports in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。

を使用する際のお客様のコンプライアンス責任 AWS のサービス は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。を使用する際のコンプライアンス責任の詳細については AWS のサービス、[AWS 「 セキュリティドキュメント](https://docs.aws.amazon.com/security/)」を参照してください。

# Amazon Inspector の耐障害性
<a name="disaster-recovery-resiliency"></a>

 AWS グローバルインフラストラクチャは、 AWS リージョン およびアベイラビリティーゾーンを中心に構築されています。 は、低レイテンシー、高スループット、および高度に冗長なネットワークに接続されている、物理的に分離された複数のアベイラビリティーゾーン AWS リージョン を提供します。アベイラビリティーゾーンでは、ゾーン間で中断することなく自動的にフェールオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、フォールトトレランス、および拡張性が優れています。

# Amazon Inspector のインフラストラクチャセキュリティ
<a name="infrastructure-security"></a>

マネージドサービスである Amazon Inspector は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、[AWS 「 クラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して環境を AWS 設計するには、*「Security Pillar AWS Well‐Architected Framework*」の[「Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)」を参照してください。

 AWS 公開された API コールを使用して、ネットワーク経由で Amazon Inspector にアクセスします。クライアントは次をサポートする必要があります。
+ Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。

# Amazon Inspector でのインシデントへの対応
<a name="security-incident-response"></a>

 AWSでは、セキュリティが最優先事項です。「クラウドのセキュリティ」の[AWS 「 責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model)」で説明されているように、 AWS は AWS クラウド内のすべてのサービスを実行するインフラストラクチャを保護する責任があります。 AWS は、Amazon Inspector サービスに関連するインシデント対応にも責任を負います。

 お客様は AWS 、 AWS クラウドでセキュリティを維持する責任を共有します。つまり、実装するセキュリティを制御します。これには、アクセスするすべての AWS ツールと機能が含まれます。また、責任共有モデルのユーザー側でインシデント対応を行う責任があることを意味します。

 AWS クラウドで実行されているアプリケーションのすべての目的を満たすセキュリティベースラインを確立することで、対応できる逸脱を検出できます。インシデント対応は複雑なトピックであり、インシデント対応の影響と、選択した内容がお客様の企業目標にどのように影響するかをより良く理解するために、次のリソースをご確認ください:「[AWS セキュリティインシデント対応ガイド](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)」、「[AWS セキュリティのベストプラクティス](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc)」、「[AWS クラウド導入フレームワーク: セキュリティの観点](https://d1.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf)」。

# インターフェイスエンドポイント (AWS PrivateLink) を使用して Amazon Inspector にアクセスします。
<a name="vpc-interface-endpoints-inspector"></a>

 を使用して AWS PrivateLink 、VPC と Amazon Inspector の間にプライベート接続を作成できます。インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続を使用せずに、VPC 内にあるかのように Amazon Inspector にアクセスできます。VPC のインスタンスはパブリック IP アドレスがなくても Amazon Inspector にアクセスできます。

 このプライベート接続を確立するには、 AWS PrivateLinkを利用した*インターフェイスエンドポイント*を作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは Amazon Inspector 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理型ネットワークインターフェイスです。

 詳細については、「 *AWS PrivateLink ガイド*」の[「Access AWS のサービス through AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)」を参照してください。

## Amazon Inspector に関する考慮事項
<a name="vpc-endpoint-considerations"></a>

 Amazon Inspector のインターフェイスエンドポイントを設定する前に、「*AWS PrivateLink ガイド*」の「[考慮事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)」を確認してください。

 Amazon Inspector は、インターフェイスエンドポイントを介したすべての API アクションの呼び出しをサポートしています。

 Amazon Inspector では、VPC エンドポイントポリシーはサポートされていません。デフォルトで、インターフェイスエンドポイントを通じて Amazon Inspector への完全なアクセスが許可されます。またはセキュリティグループをエンドポイントのネットワークインターフェイスに関連付けて、インターフェイスエンドポイントを介して Amazon Inspector へのトラフィックを制御することもできます。

## Amazon Inspector 用のインターフェイスエンドポイントを作成します
<a name="vpc-endpoint-create"></a>

 Amazon Inspector のインターフェイスエンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface () を使用して作成できますAWS CLI。詳細については、「*AWS PrivateLink ガイド*」の「[インターフェイスエンドポイントを作成](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」を参照してください。

 Amazon Inspector のインターフェイスエンドポイントを作成する場合は、次のサービス名を使用します。

```
com.amazonaws.region.inspector2
```

```
com.amazonaws.region.inspector-scan
```

 *region* を該当する の AWS リージョン コードに置き換えます AWS リージョン。

 インターフェイスエンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (例: 米国東部 (バージニア北部)の `service-name.us-east-1.amazonaws.com ` または `service-name.us-east-1.api.aws.com`) を使用して、 Amazon Inspector への API リクエストを実行できます。