翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Inspector ポリシーの構文と例
Amazon Inspector ポリシーは、組織全体で Amazon Inspector を有効にして設定する方法を定義する標準化された JSON 構文に従います。Amazon Inspector ポリシーは、 AWS Organizations の管理ポリシー構文に従って構造化された JSON ドキュメントです。Amazon Inspector を自動的に有効にする組織エンティティを定義します。
## Amazon Inspector ポリシーの主な考慮事項
Amazon Inspector ポリシーを作成する前に、ポリシー構文に関する以下の重要なポイントを理解してください。
+ `enable_in_regions` と の両方`disable_in_regions`のリストは、ポリシーに含まれるスキャンタイプごとに必要ですが、空の配列 () にすることができます`"@@assign": []`。
+ 有効なポリシーを処理する場合、 `disable_in_regions`は よりも優先されます`enable_in_regions`。リージョンが両方のリストに表示される場合、そのリージョンではスキャンは無効になります。
+ 子ポリシーは、明示的に制限されていない限り、継承演算子 (`@@assign`、`@@append`、`@@remove`) を使用して親ポリシーを変更できます。
+ `ALL_SUPPORTED` 指定には、Amazon Inspector が利用可能な現在および将来の AWS リージョンの両方が含まれます。
+ リージョン名は、Amazon Inspector がサポートされている有効な AWS リージョンである必要があります。無効なリージョン名を使用すると、検証エラーが発生します。
## 基本的なポリシー構造
Amazon Inspector ポリシーはこの基本構造を使用します。各スキャンタイプには、空の配列であっても`disable_in_regions`、 `enable_in_regions`と の両方が必要です。
```
{
"inspector": {
"enablement": {
"ec2_scanning": {
"enable_in_regions": {
"@@assign": ["us-east-1", "us-west-2"]
},
"disable_in_regions": {
"@@assign": ["eu-west-1"]
}
}
}
}
}
```
## ポリシーの構成要素
Amazon Inspector ポリシーには、次の主要なコンポーネントが含まれています。
`inspector`
Amazon Inspector ポリシードキュメントの最上位キー。すべての Amazon Inspector ポリシーに必要です。
`enablement`
Amazon Inspector を組織全体で有効にする方法を定義し、スキャンタイプ設定を含めます。
`Regions (Array of Strings)`
Amazon Inspector を自動有効化するリージョンを指定します。
## スキャンタイプ
| [スキャンタイプ] | キー | 必須 |
| --- | --- | --- |
| Lambda 標準スキャン | lambda\_standard\_scanning | いいえ |
| Lambda コードスキャン | lambda\_standard\_scanning.lambda\_code\_scanning | いいえ |
| EC2 スキャン | ec2\_scanning | いいえ |
| ECR スキャン | ecr\_scanning | いいえ |
| コードリポジトリのスキャン | code\_repository\_scanning | いいえ |
各スキャンタイプはオプションです。設定するスキャンタイプのみを含めます。ただし、含めるスキャンタイプごとに、 `enable_in_regions`と の両方`disable_in_regions`が必要です。
## Amazon Inspector ポリシーの例
次の例は、一般的な Amazon Inspector ポリシー設定を示しています。
### 例 1 – Amazon Inspector を組織全体で有効にする
次の例では、組織ルート`us-west-2`内のすべてのアカウントの `us-east-1`および で Amazon Inspector を有効にします。
`inspector-policy-enable.json` ファイルを作成する:
```
{
"inspector": {
"enablement": {
"lambda_standard_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"lambda_code_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
}
},
"ec2_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
},
"ecr_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
},
"code_repository_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
}
}
}
}
```
ルートにアタッチすると、組織内のすべてのアカウントで Amazon Inspector が自動的に有効になり、そのスキャン結果は Amazon Inspector の委任された管理者が利用できます。
ポリシーを作成してアタッチします。
```
POLICY_ID=$(aws organizations create-policy \
--content file://inspector-policy-enable.json \
--name InspectorOrgPolicy \
--type INSPECTOR_POLICY \
--description "Inspector organization policy to enable all resources in IAD and PDX." \
--query 'Policy.PolicySummary.Id' \
--output text)
aws organizations attach-policy --policy-id $POLICY_ID --target-id
```
組織に参加する新しいアカウントは、自動的に有効化を継承します。
デタッチした場合、既存のアカウントは引き続き有効になりますが、将来のアカウントは自動有効化されません。
```
aws organizations detach-policy --policy-id $POLICY_ID --target-id
```
### 例 2 – 特定の OU に対して Amazon Inspector を有効にする
`inspector-policy-eu-west-1.json` ファイルを作成する:
```
{
"inspector": {
"enablement": {
"lambda_standard_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
},
"lambda_code_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
}
},
"ec2_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
},
"ecr_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
},
"code_repository_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
}
}
}
}
```
これを OU にアタッチして、 のすべての本番稼働用アカウントで Amazon Inspector が有効になり、Amazon Inspector の委任管理者にリンク`eu-west-1`されていることを確認します。
```
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)"
aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
```
OU 外のアカウントは影響を受けません。