View a markdown version of this page

Amazon Inspector ポリシーの開始方法 - AWS Organizations
必要なアクセス許可について説明します。[開始する前に]実装手順Amazon Inspector ポリシーを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Inspector ポリシーの開始方法

Amazon Inspector ポリシーを設定する前に、前提条件と実装要件を理解していることを確認してください。このトピックでは、組織内で Security Hub ポリシーを設定および管理するためのプロセスについて説明します。

必要なアクセス許可について説明します。

Amazon Inspector ポリシーを有効化またはアタッチするには、管理アカウントに次のアクセス許可が必要です。

  • inspector2.amazonaws.com 用の organizations:EnableAWSServiceAccess

  • inspector2.amazonaws.com 用の organizations:RegisterDelegatedAdministrator

  • organizations:AttachPolicy, organizations:CreatePolicy, organizations:DescribeEffectivePolicy

  • inspector2:Enable (管理アカウントと委任管理者用)

[開始する前に]

Amazon Inspector ポリシーを実装する前に、次の要件を確認してください。

  • アカウントは AWS 組織の一部である必要があります

  • 次のいずれかでサインインする必要があります。

    • 組織の管理アカウント

    • Amazon Inspector ポリシーを管理するアクセス許可を持つ AWS Organizations 委任管理者

  • 組織内で Amazon Inspector の信頼されたアクセスを有効にする必要があります

  • 組織のルートで Amazon Inspector ポリシータイプを有効にする必要があります

さらに、以下を確認します。

  • Amazon Inspector は、ポリシーを適用するリージョンでサポートされています

  • 管理アカウントでAWSServiceRoleForInspectorV2サービスにリンクされたロールが設定されている。このロールが存在することを確認するには、aws iam get-role --role-name AWSServiceRoleForInspectorV2 を実行します。このロールを作成する必要がある場合は、管理アカウントから任意のリージョンで aws inspector2 enable を実行するか、もしくは aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com を実行して直接作成します。

実装手順

Amazon Inspector ポリシーを効果的に実装するには、以下のステップを順番に実行します。各ステップにより、適切な設定を保証し、セットアップ中の一般的な問題を防ぐことができます。管理アカウントまたは委任管理者は、 AWS Organizations コンソール、 AWS コマンドラインインターフェイス (AWS CLI)、または AWS SDKs を使用してこれらのステップを実行できます。

  1. Amazon Inspector の信頼されたアクセスを有効にします

  2. 組織の Amazon Inspector ポリシーを有効にします

  3. Amazon Inspector ポリシーを作成します

  4. Amazon Inspector ポリシーを組織のルート、OU、またはアカウントにアタッチします

  5. アカウントに適用される有効な Amazon Inspector ポリシーの組み合わせを表示します

Amazon Inspector ポリシーを作成する

最小アクセス許可

Amazon Inspector ポリシーを作成するには、次のアクセス許可が必要です。

  • organizations:CreatePolicy

AWS マネジメントコンソール

Amazon Inspector ポリシーを作成するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。

  2. Amazon Inspector コンソール内で使用中のサービスの委任管理者を設定します。

  3. Amazon Inspector の委任された管理者がセットアップされたら、 AWS 組織コンソールにアクセスしてポリシーを設定します。 AWS 組織コンソールで、Amazon Inspector ポリシーページにアクセスし、ポリシーの作成を選択します。

  4. 新しい Amazon Inspector ポリシーの作成ページで、ポリシー名とオプションのポリシーの説明を入力します。

  5. (オプション) [Add tag] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「AWS Organizations リソースのタグ付け」を参照してください。

  6. JSON コードボックスに、ポリシーテキストを入力するか貼り付けます。Amazon Inspector ポリシー構文、および開始点として使用できるポリシーの例については、「」を参照してくださいAmazon Inspector ポリシーの構文と例

  7. ポリシーの編集が完了したら、ページの右下隅の [Create policy] (ポリシーの作成) を選択します。