Amazon Inspector のサービスにリンクされたロールの許可
Amazon Inspector は、AWSServiceRoleForAmazonInspector2 という名前の管理ポリシーを使用します。このサービスにリンクされたロールは、ロールを引き受ける上で inspector2.amazonaws.com サービスを信頼します。
AmazonInspector2ServiceRolePolicy という名前のロールのアクセス許可ポリシーにより、Amazon Inspector は次のようなタスクを実行することが許可されます。
-
Amazon Elastic Compute Cloud (Amazon EC2) のアクションを使用して、インスタンスとネットワークパスに関する情報を取得します。
-
AWS Systems Manager アクションを使用して Amazon EC2 インスタンスからインベントリを取得し、カスタムパスからサードパーティ製パッケージの情報を取得します。
-
AWS Systems Manager
SendCommandアクションを使用して、ターゲットインスタンスの CIS スキャンを呼び出します。 -
Amazon Elastic Container Registry アクションを使用して、コンテナイメージに関する情報を取得します。
-
AWS Lambda アクションを使用して、Lambda 関数に関する情報を取得します。
-
AWS Organizations アクションを使用して、関連付けられたアカウントを記述します。
-
CloudWatch アクションを使用して、Lambda関数が最後に呼び出されたときの情報を取得します。
-
選択した IAM アクションを使用して、Lambda コードにセキュリティ脆弱性を生じさせる可能性のある IAM ポリシーに関する情報を取得します。
-
Amazon Q アクションを使用して、Lambda 関数のコードのスキャンを実行します。Amazon Inspector は、次の Amazon Q アクションを使用します。
codeguru-security:CreateScan – Amazon Q スキャンを作成するアクセス許可を付与します。
codeguru-security:GetScan – Amazon Q スキャンメタデータを取得するための許可を付与します。
codeguru-security:ListFindings – Amazon Q によって生成された検出結果を取得するための許可を付与します。
codeguru-security:DeleteScansByCategory – Amazon Q が Amazon Inspector によって開始されたスキャンを削除するアクセス許可を付与します。
codeguru-security:BatchGetFindings – Amazon Q によって生成された特定の検出結果をバッチ取得するための許可を付与します。
選択した Elastic Load Balancing アクションを使用して、Elastic Load Balancing ターゲットグループの一部である EC2 インスタンスのネットワークスキャンを実行します。
Amazon ECS および Amazon EKS アクションを使用して、クラスターとタスクを表示し、タスクを記述するための読み取り専用アクセスを許可します。
AWS Organizations アクションを使用して、組織全体の Amazon Inspector の委任管理者を一覧表示します。
Amazon Inspector アクションを使用して、組織全体で Amazon Inspector を有効または無効にします。
Amazon Inspector アクションを使用して、委任管理者アカウントを指定し、組織全体のメンバーアカウントを関連付けます。
注記
Amazon Inspector は、現在 CodeGuru を使用した Lambda スキャンを行なっていません。 AWS は、2025 年 11 月 20 日に CodeGuru のサポートを終了します。詳細については、「CodeGuru Security のサポート終了」を参照してください。Amazon Inspector は Amazon Q を使用して Lambda スキャンを実行するようになりました。これには、このセクションで説明するアクセス許可は必要ありません。
このポリシーの許可を確認するには、「AWS マネージドポリシーリファレンスガイド」の「AmazonInspector2ServiceRolePolicy」を参照してください。
