翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Inspector ポリシーの開始方法
<a name="orgs_manage_policies_inspector_getting_started"></a>

Amazon Inspector ポリシーを設定する前に、前提条件と実装要件を理解していることを確認してください。このトピックでは、組織内で Security Hub ポリシーを設定および管理するためのプロセスについて説明します。

## 必要なアクセス許可について説明します。
<a name="inspector_getting_started-permissions"></a>

Amazon Inspector ポリシーを有効化またはアタッチするには、管理アカウントに次のアクセス許可が必要です。
+ `inspector2.amazonaws.com` 用の `organizations:EnableAWSServiceAccess`
+ `inspector2.amazonaws.com` 用の `organizations:RegisterDelegatedAdministrator`
+ `organizations:AttachPolicy`, `organizations:CreatePolicy`, `organizations:DescribeEffectivePolicy`
+ `inspector2:Enable` (管理アカウントと委任管理者用)

## [開始する前に]
<a name="inspector_getting_started-before-begin"></a>

Amazon Inspector ポリシーを実装する前に、次の要件を確認してください。
+ アカウントは AWS 組織の一部である必要があります
+ 次のいずれかでサインインする必要があります。
  + 組織の管理アカウント
  + Amazon Inspector ポリシーを管理するアクセス許可を持つ AWS Organizations 委任管理者
+ 組織内で Amazon Inspector の信頼されたアクセスを有効にする必要があります
+ 組織のルートで Amazon Inspector ポリシータイプを有効にする必要があります

さらに、以下を確認します。
+ Amazon Inspector は、ポリシーを適用するリージョンでサポートされています
+ 管理アカウントで`AWSServiceRoleForInspectorV2`サービスにリンクされたロールが設定されている。このロールが存在することを確認するには、`aws iam get-role --role-name AWSServiceRoleForInspectorV2` を実行します。このロールを作成する必要がある場合は、管理アカウントから任意のリージョンで `aws inspector2 enable` を実行するか、もしくは `aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com` を実行して直接作成します。

## 実装手順
<a name="inspector_getting_started-implementation"></a>

Amazon Inspector ポリシーを効果的に実装するには、以下のステップを順番に実行します。各ステップにより、適切な設定を保証し、セットアップ中の一般的な問題を防ぐことができます。管理アカウントまたは委任管理者は、 AWS Organizations コンソール、 AWS コマンドラインインターフェイス (AWS CLI)、または AWS SDKs を使用してこれらのステップを実行できます。

1. [Amazon Inspector の信頼されたアクセスを有効にします](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access)。

1. [組織の Amazon Inspector ポリシーを有効にします](enable-policy-type.md)。

1. [Amazon Inspector ポリシーを作成します](orgs_manage_policies_inspector_syntax.md)。

1. [Amazon Inspector ポリシーを組織のルート、OU、またはアカウントにアタッチします](orgs_policies_attach.md)。

1. [アカウントに適用される有効な Amazon Inspector ポリシーの組み合わせを表示します](orgs_manage_policies_effective.md)。

## Amazon Inspector ポリシーを作成する
<a name="inspector_getting_started-create-policy"></a>

### 最小アクセス許可
<a name="inspector_getting_started-create-policy-permissions"></a>

Amazon Inspector ポリシーを作成するには、次のアクセス許可が必要です。
+ `organizations:CreatePolicy`

### AWS マネジメントコンソール
<a name="inspector_getting_started-create-policy-console"></a>

**Amazon Inspector ポリシーを作成するには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。

1. Amazon Inspector コンソール内で使用中のサービスの委任管理者を設定します。

1. Amazon Inspector の委任された管理者がセットアップされたら、 AWS 組織コンソールにアクセスしてポリシーを設定します。 AWS 組織コンソールで、Amazon Inspector ポリシーページにアクセスし、**ポリシーの作成**を選択します。

1. **新しい Amazon Inspector ポリシーの作成**ページで、**ポリシー名**とオプションの**ポリシーの説明**を入力します。

1. (オプション) [**Add tag**] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、`null` にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。詳細については、「[AWS Organizations リソースのタグ付け考慮事項](orgs_tagging.md)」を参照してください。

1. JSON コードボックスに、ポリシーテキストを入力するか貼り付けます。Amazon Inspector ポリシー構文、および開始点として使用できるポリシーの例については、「」を参照してください[Amazon Inspector ポリシーの構文と例](orgs_manage_policies_inspector_syntax.md)。

1. ポリシーの編集が完了したら、ページの右下隅の [**Create policy**] (ポリシーの作成) を選択します。