翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Inspector でのサービスにリンクされたロールの使用
<a name="using-service-linked-roles"></a>

Amazon Inspector は、 という名前の AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します`AWSServiceRoleForAmazonInspector2`。このサービスリンクロールは、Amazon Inspector に直接リンクされた IAM ロールです。これは Amazon Inspector によって事前定義されており、Amazon Inspector が AWS のサービス ユーザーに代わって他の を呼び出すために必要なすべてのアクセス許可が含まれています。

必要な許可を手動で追加する必要がないため、サービスリンクロールは Amazon Inspector のセットアップを容易にします。Amazon Inspector はサービスリンクロールのアクセス許可を定義し、他に定義されていない限り、Amazon Inspector のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (グループまたはロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。サービスリンクロールを削除するには、その関連リソースを削除します。これにより、リソースへの意図しないアクセスによる許可の削除が防止され、 Amazon Inspector リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」があるサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで確認するには、**[はい]** リンクを選択します。

# Amazon Inspector のサービスにリンクされたロールの許可
<a name="slr-permissions"></a>

 Amazon Inspector は、[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html) という名前の管理ポリシーを使用します。このサービスにリンクされたロールは、ロールを引き受ける上で `inspector2.amazonaws.com` サービスを信頼します。

[https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) という名前のロールのアクセス許可ポリシーにより、Amazon Inspector は次のようなタスクを実行することが許可されます。
+ Amazon Elastic Compute Cloud (Amazon EC2) のアクションを使用して、インスタンスとネットワークパスに関する情報を取得します。
+  AWS Systems Manager アクションを使用して Amazon EC2 インスタンスからインベントリを取得し、カスタムパスからサードパーティーパッケージに関する情報を取得します。
+ アクションを使用して、ターゲットインスタンスの CIS スキャンを AWS Systems Manager `SendCommand`呼び出します。
+ Amazon Elastic Container Registry アクションを使用して、コンテナイメージに関する情報を取得します。
+  AWS Lambda アクションを使用して、Lambda 関数に関する情報を取得します。
+  AWS Organizations アクションを使用して、関連付けられたアカウントを記述します。
+ CloudWatch アクションを使用して、Lambda関数が最後に呼び出されたときの情報を取得します。
+ 選択した IAM アクションを使用して、Lambda コードにセキュリティ脆弱性を生じさせる可能性のある IAM ポリシーに関する情報を取得します。
+ Amazon Q アクションを使用して、Lambda 関数のコードのスキャンを実行します。Amazon Inspector は、次の Amazon Q アクションを使用します。
  + codeguru-security:CreateScan – Amazon Q スキャンを作成するアクセス許可を付与します。
  + codeguru-security:GetScan – Amazon Q スキャンメタデータを取得するための許可を付与します。
  + codeguru-security:ListFindings – Amazon Q によって生成された検出結果を取得するための許可を付与します。
  + codeguru-security:DeleteScansByCategory – Amazon Q が Amazon Inspector によって開始されたスキャンを削除するアクセス許可を付与します。
  + codeguru-security:BatchGetFindings – Amazon Q によって生成された特定の検出結果をバッチ取得するための許可を付与します。
+ 選択した Elastic Load Balancing アクションを使用して、Elastic Load Balancing ターゲットグループの一部である EC2 インスタンスのネットワークスキャンを実行します。
+ Amazon ECS および Amazon EKS アクションを使用して、クラスターとタスクを表示し、タスクを記述するための読み取り専用アクセスを許可します。
+  AWS Organizations アクションを使用して、組織全体の Amazon Inspector の委任された管理者を一覧表示します。
+ Amazon Inspector アクションを使用して、組織全体で Amazon Inspector を有効または無効にします。
+ Amazon Inspector アクションを使用して、委任管理者アカウントを指定し、組織全体のメンバーアカウントを関連付けます。

**注記**  
 Amazon Inspector は、現在 CodeGuru を使用した Lambda スキャンを行なっていません。 AWS は、2025 年 11 月 20 日に CodeGuru のサポートを終了します。詳細については、「[CodeGuru Security のサポート終了](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html)」を参照してください。Amazon Inspector は Amazon Q を使用して Lambda スキャンを実行するようになりました。これには、このセクションで説明するアクセス許可は必要ありません。

 このポリシーの許可を確認するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html)」を参照してください。

## Amazon Inspector のサービスリンクロールの作成
<a name="create-slr"></a>

サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で Amazon Inspector をアクティブ化すると、Amazon Inspector によってサービスにリンクされたロールが作成されます。

## Amazon Inspector のサービスリンクロールの編集
<a name="edit-slr"></a>

Amazon Inspector では、`AWSServiceRoleForAmazonInspector2` のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールが作成されると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「**IAM ユーザーガイド」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## Amazon Inspector のサービスリンクロールの削除
<a name="delete-slr"></a>

Amazon Inspector の使用が不要になった場合は、`AWSServiceRoleForAmazonInspector2` サービスにリンクされたロールを削除することをお勧めします。ロールを削除する前に、アクティブ化 AWS リージョン されている各 で Amazon Inspector を非アクティブ化する必要があります。Amazon Inspector を非アクティブ化しても、ロールは削除されません。したがって、Amazon Inspector を再度アクティブ化すると、既存のロールを使用することができます。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされるのを防ぐことができます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

サービスにリンクされたこのロールを削除したが、再作成する必要がある場合は、同じプロセスで、アカウントにロールを再作成することができます。Amazon Inspector をアクティブ化すると、Amazon Inspector がサービスリンクロールを再作成します。

**注記**  
リソースを削除しようとしているときに Amazon Inspector サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

IAM コンソール、 AWS CLI、または AWS API を使用して、`AWSServiceRoleForAmazonInspector2`サービスにリンクされたロールを削除できます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

# Amazon Inspector のエージェントレススキャンに対するサービスリンクロールのアクセス許可
<a name="slr-permissions-agentless"></a>

Amazon Inspector のエージェントレススキャンでは、`AWSServiceRoleForAmazonInspector2Agentless` という名前のサービスリンクロールを使用します。このサービスリンクロールにより、Amazon Inspector はアカウントに Amazon EBS ボリュームのスナップショットを作成し、そのスナップショットからデータにアクセスできるようになります。このサービスリンクロールは、ロールを引き受ける上で `agentless.inspector2.amazonaws.com` サービスを信頼します。

**重要**  
このサービスリンクロールのステートメントにより、Amazon Inspector は、`InspectorEc2Exclusion` タグを使用してスキャンから除外した EC2 インスタンスに対してエージェントレススキャンを実行できなくなります。さらに、このステートメントは、暗号化に使用される KMS キーに `InspectorEc2Exclusion` タグが付いている場合に、Amazon Inspector がボリュームの暗号化されたデータにアクセスできないようにします。詳細については、「[Amazon Inspector スキャンからのインスタンスの除外](scanning-ec2.md#exclude-ec2)」を参照してください。

`AmazonInspector2AgentlessServiceRolePolicy` という名前のロールのアクセス許可ポリシーにより、Amazon Inspector は次のようなタスクを実行することが許可されます。
+ Amazon Elastic Compute Cloud (Amazon EC2) アクションを使用して、EC2 インスタンス、ボリューム、スナップショットに関する情報を取得します。
  + Amazon EC2 のタグ付けアクションを使用して、`InspectorScan` タグキーでスキャンのスナップショットにタグを付けます。
  + Amazon EC2 のスナップショットアクションを使用してスナップショットを作成し、`InspectorScan` タグキーでタグ付けしてから、`InspectorScan` タグキーでタグ付けされた Amazon EBS ボリュームのスナップショットを削除します。
+ Amazon EBS アクションを使用して、`InspectorScan` タグキーでタグ付けされたスナップショットから情報を取得します。
+ Select AWS KMS 復号アクションを使用して、 AWS KMS カスタマーマネージドキーで暗号化されたスナップショットを復号します。Amazon Inspector は、スナップショットの暗号化に使用された KMS キーに `InspectorEc2Exclusion` タグが付いている場合、スナップショットを復号しません。

ロールは、次のアクセス許可ポリシーを使用して設定されます。

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "InstanceIdentification",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeVolumes",
				"ec2:DescribeSnapshots"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetSnapshotData",
			"Effect": "Allow",
			"Action": [
				"ebs:ListSnapshotBlocks",
				"ebs:GetSnapshotBlock"
			],
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"aws:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsAnyInstanceOrVolume",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:volume/*"
			]
		},
		{
			"Sid": "DenyCreateSnapshotsOnExcludedInstances",
			"Effect": "Deny",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:instance/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:CreateAction": "CreateSnapshots"
				},
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "DeleteOnlySnapshotsTaggedForScanning",
			"Effect": "Allow",
			"Action": "ec2:DeleteSnapshot",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "DenyKmsDecryptForExcludedKeys",
			"Effect": "Deny",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksVolContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "vol-*"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksSnapContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "snap-*"
				}
			}
		},
		{
			"Sid": "DescribeKeysForEbsOperations",
			"Effect": "Allow",
			"Action": "kms:DescribeKey",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListKeyResourceTags",
			"Effect": "Allow",
			"Action": "kms:ListResourceTags",
			"Resource": "arn:aws:kms:*:*:key/*"
		}
	]
}
```

------

## エージェントレススキャンのサービスリンクロールの作成
<a name="create-slr"></a>

サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で Amazon Inspector をアクティブ化すると、Amazon Inspector によってサービスにリンクされたロールが作成されます。

## エージェントレススキャンのサービスリンクロールの編集
<a name="edit-slr"></a>

Amazon Inspector では、`AWSServiceRoleForAmazonInspector2Agentless` のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールが作成されると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## エージェントレススキャンのサービスリンクロールの削除
<a name="delete-slr"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。

**重要**  
`AWSServiceRoleForAmazonInspector2Agentless` ロールを削除するには、エージェントレススキャンが可能なすべてのリージョンで、スキャンモードをエージェントベースに設定する必要があります。

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForAmazonInspector2Agentless サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。