翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Inspector のサービスにリンクされたロールの許可
Amazon Inspector は、 という名前の管理ポリシーを使用しますAWSServiceRoleForAmazonInspector2。このサービスにリンクされたロールは、ロールを引き受ける上で inspector2.amazonaws.com サービスを信頼します。
AmazonInspector2ServiceRolePolicy という名前のロールのアクセス許可ポリシーにより、Amazon Inspector は次のようなタスクを実行することが許可されます。
-
Amazon Elastic Compute Cloud (Amazon EC2) のアクションを使用して、インスタンスとネットワークパスに関する情報を取得します。
-
AWS Systems Manager アクションを使用して Amazon EC2 インスタンスからインベントリを取得し、カスタムパスからサードパーティーパッケージに関する情報を取得します。
-
アクションを使用して、ターゲットインスタンスの CIS スキャンを AWS Systems Manager
SendCommand呼び出します。 -
Amazon Elastic Container Registry アクションを使用して、コンテナイメージに関する情報を取得します。
-
AWS Lambda アクションを使用して、Lambda 関数に関する情報を取得します。
-
AWS Organizations アクションを使用して、関連付けられたアカウントを記述します。
-
CloudWatch アクションを使用して、Lambda関数が最後に呼び出されたときの情報を取得します。
-
選択した IAM アクションを使用して、Lambda コードにセキュリティ脆弱性を生じさせる可能性のある IAM ポリシーに関する情報を取得します。
-
Amazon Q アクションを使用して、Lambda 関数でコードのスキャンを実行します。Amazon Inspector は、次の Amazon Q アクションを使用します。
codeguru-security:CreateScan – Amazon Q; スキャンを作成するアクセス許可を付与します。
codeguru-security:GetScan – Amazon Q スキャンメタデータを取得するアクセス許可を付与します。
codeguru-security:ListFindings – Amazon Q によって生成された結果を取得するアクセス許可を付与します。
codeguru-security:DeleteScansByCategory – Amazon Q が Amazon Inspector によって開始されたスキャンを削除するアクセス許可を付与します。
codeguru-security:BatchGetFindings – Amazon Q によって生成された特定の結果のバッチを取得するアクセス許可を付与します。
選択した Elastic Load Balancing アクションを使用して、Elastic Load Balancing ターゲットグループの一部である EC2 インスタンスのネットワークスキャンを実行します。
Amazon ECS および Amazon EKS アクションを使用して、クラスターとタスクを表示し、タスクを記述するための読み取り専用アクセスを許可します。
注記
Amazon Inspector はCodeGuru を使用して Lambda スキャンを実行しなくなりました。 AWS は、2025 年 11 月 20 日に CodeGuru のサポートを終了します。詳細については、CodeGuru Security のサポート終了」を参照してください。Amazon Inspector は Amazon Q を使用して Lambda スキャンを実行するようになりました。このセクションで説明するアクセス許可は必要ありません。
ロールは、次のアクセス許可ポリシーを使用して設定されます。
