翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Inspector ポリシー
Amazon Inspector ポリシーを使用すると、 AWS 組織内のアカウント間で Amazon Inspector を一元的に有効化および管理できます。Amazon Inspector ポリシーでは、Amazon Inspector が自動的に有効になり、Amazon Inspector 委任管理者アカウントにリンクされている組織エンティティ (ルート、OUs、またはアカウント) Amazon Inspector を指定します。Amazon Inspector ポリシーを使用すると、サービス全体のオンボーディングを簡素化し、既存のアカウントと新しく作成されたすべてのアカウントで Amazon Inspector を一貫して有効にできます。
主な機能と利点
Amazon Inspector ポリシーを使用すると、組織またはそのサブセットに対して有効にするスキャンタイプを定義できるため、一貫したカバレッジを確保し、手動作業を削減できます。実装すると、新しいアカウントを自動的にオンボーディングし、組織のスケーリングに応じてスキャンベースラインを維持するのに役立ちます。
仕組み
Amazon Inspector ポリシーを組織エンティティにアタッチすると、ポリシーはその範囲内のすべてのメンバーアカウントに対して Amazon Inspector を自動的に有効にします。また、Amazon Inspector の委任管理者を登録して Amazon Inspector のセットアップを確定した場合、そのアカウントはAmazon Inspector が有効になっている組織内のアカウントに対する脆弱性を一元的に可視化できます。
Amazon Inspector ポリシーは、組織全体、特定の組織単位 (OUs)、または個々のアカウントに適用できます。組織に参加するアカウント、または Amazon Inspector ポリシーがアタッチされた OU に移行するアカウントは、ポリシーを自動的に継承し、Amazon Inspector を有効にして Amazon Inspector 委任管理者にリンクします。Amazon Inspector ポリシーを使用すると、Amazon EC2 スキャン、Amazon ECR スキャン、または Lambda Standard とコードスキャン、およびコードセキュリティを有効にできます。特定の設定と抑制ルールは、組織の委任管理者アカウントを介して管理できます。
Amazon Inspector ポリシーを組織または組織単位にアタッチすると、 AWS Organizations は自動的にポリシーを評価し、定義した範囲に基づいてポリシーを適用します。ポリシーの適用プロセスは、特定の競合解決ルールに従います。
-
リージョンが有効化リストと無効化リストの両方に表示される場合、無効化設定が優先されます。例えば、リージョンが有効設定と無効設定の両方にリストされている場合、Amazon Inspector はそのリージョンで無効になります。
-
を有効にするために
ALL_SUPPORTEDを指定すると、明示的に無効になっていない限り、Amazon Inspector は現在および将来のすべてのリージョンで有効になります。これにより、 が新しいリージョンに拡大するにつれて AWS 、包括的なカバレッジを維持できます。 -
子ポリシーは、継承演算子を使用して親ポリシー設定を変更できるため、さまざまな組織レベルできめ細かなコントロールを可能にします。この階層的アプローチにより、特定の組織単位がベースラインコントロールを維持しながらそれぞれのセキュリティ設定をカスタマイズできるようになります。
用語
このトピックでは、Amazon Inspector ポリシーについて説明するときに、次の用語を使用します。
| 用語 | 定義 |
|---|---|
| 有効なポリシー | 継承されたすべてのポリシーを結合した後にアカウントに適用される最後のポリシー。 |
| ポリシーの継承 | アカウントが親組織単位からポリシーを継承するプロセス。 |
| 委任管理者 | 組織に代わって Amazon Inspector ポリシーを管理するために指定されたアカウント。 |
| サービスリンクロール | Amazon Inspector が他の AWS サービスとやり取りできるようにする IAM ロール。 |
Amazon Inspector ポリシーのユースケース
複数のアカウントで大規模なワークロードを起動する組織は、このポリシーを使用して、すべてのアカウントが正しいスキャンタイプをすぐに有効にし、ギャップを回避できます。規制またはコンプライアンス駆動型環境では、子ポリシーを使用して、スキャンタイプを OU で上書きまたは制限できます。急速な成長環境では、新しく作成されたアカウントの有効化を自動化できるため、常にベースラインに準拠しています。
ポリシーの継承と適用
組織全体で効果的なセキュリティ管理を行うには、ポリシーの継承方法と適用方法を理解することが不可欠です。継承モデルは AWS Organizations 階層に従い、予測可能で一貫したポリシーアプリケーションを確保します。
-
ルートレベルでアタッチされたポリシーはすべてのアカウントに適用されます
-
親組織単位から各アカウントへのポリシー継承
-
複数のポリシーを単一のリソースに適用できます。
-
より具体的なポリシー (階層内でそのアカウントにより近いもの) が優先されます
ポリシー検証
Amazon Inspector ポリシーを作成すると、次の検証が行われます。
-
リージョン名は有効な AWS リージョン識別子である必要があります
-
リージョンは Amazon Inspector でサポートされている必要があります
-
ポリシー構造は AWS Organizations ポリシー構文ルールに従う必要があります
-
enable_in_regionsとdisable_in_regionsの両方のリストが存在していること (リストは空であっても可です)
リージョン関連の考慮事項とサポートされているリージョン
Amazon Inspector ポリシーは、Amazon Inspector と AWS Organizations の信頼されたアクセスが利用可能なリージョンにのみ適用されます。リージョン別の動作を理解することで、組織のグローバルフットプリント全体で効果的なセキュリティコントロールを実装できます。
-
ポリシーの適用は各リージョンで個別に行われます
-
ポリシーに含めるリージョンおよび除外するリージョンを指定できます。
-
ALL_SUPPORTEDオプションを使用すると、将来発生するすべての新しいリージョンが自動的に含まれます。 -
ポリシーは、Amazon Inspector が利用可能なリージョンにのみ適用されます。
デタッチ動作
Amazon Inspector ポリシーをデタッチしても、Amazon Inspector は以前にカバーされたアカウントで有効のままになります。ただし、組織構造に対する今後の変更 (新規アカウントが参加したり、既存のアカウントが OU に移行したりするなど) では、Amazon Inspector が自動的に有効になることはありません。それ以降の有効化は、手動で実行するか、ポリシーを再アタッチして実行する必要があります。
その他の詳細
委任された管理者
組織内の Amazon Inspector に登録できる委任管理者は 1 人のみです。Amazon Inspector ポリシーをアタッチする前に、Amazon Inspector コンソールまたは APIs を使用してこれを設定する必要があります。
前提条件
AWS Organizations の信頼されたアクセスを有効にし、Amazon Inspector の委任管理者を登録し、すべてのアカウントでサービスにリンクされたロールを使用できるようにする必要があります。
サポート対象のリージョン
Amazon Inspector が利用可能なすべてのリージョン。
