翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Inspector ポリシーの構文と例
Amazon Inspector ポリシーは、組織全体で Amazon Inspector を有効にして設定する方法を定義する標準化された JSON 構文に従います。Amazon Inspector ポリシーは、 AWS Organizations の管理ポリシー構文に従って構造化された JSON ドキュメントです。Amazon Inspector を自動的に有効にする組織エンティティを定義します。
基本的なポリシー構造
Amazon Inspector ポリシーは、次の基本構造を使用します。
{ "inspector": { "enablement": { "ec2_scanning": { "enable_in_regions": { "@@assign": ["us-east-1", "us-west-2"] }, "disable_in_regions": { "@@assign": ["eu-west-1"] } } } } }
ポリシーの構成要素
Amazon Inspector ポリシーには、次の主要なコンポーネントが含まれています。
inspector-
Amazon Inspector ポリシードキュメントの最上位キー。すべての Amazon Inspector ポリシーに必要です。
enablement-
Amazon Inspector を組織全体で有効にする方法を定義し、スキャンタイプ設定を含めます。
Regions (Array of Strings)-
Amazon Inspector を自動有効化するリージョンを指定します。
Amazon Inspector ポリシーの例
次の例は、一般的な Amazon Inspector ポリシー設定を示しています。
例 1 – Amazon Inspector を組織全体で有効にする
次の例では、組織ルートus-west-2内のすべてのアカウントの us-east-1および で Amazon Inspector を有効にします。
inspector-policy-enable.json ファイルを作成する:
{ "inspector": { "enablement": { "lambda_standard_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] }, "lambda_code_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } } }, "ec2_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } }, "ecr_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } }, "code_repository_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } } } } }
ルートにアタッチすると、組織内のすべてのアカウントで Amazon Inspector が自動的に有効になり、そのスキャン結果は Amazon Inspector の委任された管理者が利用できます。
ポリシーを作成してアタッチします。
POLICY_ID=$(aws organizations create-policy \ --content file://inspector-policy-enable.json \ --name InspectorOrgPolicy \ --type INSPECTOR_POLICY \ --description "Inspector organization policy to enable all resources in IAD and PDX." \ --query 'Policy.PolicySummary.Id' \ --output text) aws organizations attach-policy --policy-id $POLICY_ID --target-id <root-id>
組織に参加する新しいアカウントは、自動的に有効化を継承します。
デタッチした場合、既存のアカウントは引き続き有効になりますが、将来のアカウントは自動有効化されません。
aws organizations detach-policy --policy-id $POLICY_ID --target-id <root-id>
例 2 – 特定の OU に対して Amazon Inspector を有効にする
inspector-policy-eu-west-1.json ファイルを作成する:
{ "inspector": { "enablement": { "lambda_standard_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] }, "lambda_code_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } } }, "ec2_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } }, "ecr_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } }, "code_repository_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } } } } }
これを OU にアタッチして、 のすべての本番稼働用アカウントで Amazon Inspector が有効になり、Amazon Inspector の委任管理者にリンクeu-west-1されていることを確認します。
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)" aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
OU 外のアカウントは影響を受けません。
