翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Inspector `InspectorScan` 呼び出しアクションリファレンス
Amazon Inspector は、ソフトウェアの脆弱性や意図しないネットワークの露出についてワークロードを自動的に検出し、継続的にスキャンする脆弱性管理サービスです。CodePipeline の `InspectorScan` アクションは、オープンソースコードのセキュリティの脆弱性の検出と修正を自動化します。このアクションは、セキュリティスキャン機能を備えたマネージド型のコンピューティングアクションです。InspectorScan は、GitHub や Bitbucket Cloud などのサードパーティーのリポジトリ内のアプリケーションソースコード、またはコンテナアプリケーションのイメージで使用できます。アクションは、設定した脆弱性レベルとアラートをスキャンしてレポートします。
**重要**
このアクションでは、CodePipeline マネージド CodeBuild コンピューティングを使用して、ビルド環境でコマンドを実行します。このアクションを実行すると、 AWS CodeBuildで別途料金が発生します。
**Topics**
+ [アクションタイプ ID](#action-reference-InspectorScan-type)
+ [設定パラメータ](#action-reference-InspectorScan-parameters)
+ [入力アーティファクト](#action-reference-InspectorScan-input)
+ [出力アーティファクト](#action-reference-InspectorScan-output)
+ [出力変数](#w2aac56c62c19)
+ [サービスロールのアクセス許可: `InspectorScan` アクション](#edit-role-InspectorScan)
+ [アクションの宣言](#w2aac56c62c23)
+ [関連情報](#action-reference-InspectorScan-links)
## アクションタイプ ID
+ カテゴリ: `Invoke`
+ 所有者: `AWS`
+ プロバイダー: `InspectorScan`
+ バージョン: `1`
例:
```
{
"Category": "Invoke",
"Owner": "AWS",
"Provider": "InspectorScan",
"Version": "1"
},
```
## 設定パラメータ
**InspectorRunMode**
(必須) スキャンモードを示す文字列。有効な値は `SourceCodeScan | ECRImageScan` です。
**ECRRepositoryName**
イメージがプッシュされた Amazon ECR リポジトリの名前。
**ImageTag**
イメージに使用するタグ。
このアクションのパラメータは、指定した脆弱性のレベルをスキャンします。脆弱性のしきい値には、次のレベルがあります。
**CriticalThreshold **
CodePipeline がアクションを失敗させる必要のある、ソースで検出された重大な脆弱性の数。
**HighThreshold **
CodePipeline がアクションを失敗させる必要のある、ソースで検出された重要度が高い脆弱性の数。
**MediumThreshold**
CodePipeline がアクションを失敗させる必要のある、ソースで検出された重要度が中程度の脆弱性の数。
**LowThreshold **
CodePipeline がアクションを失敗させる必要のある、ソースで検出された重要度が低い脆弱性の数。
![\[\]](http://docs.aws.amazon.com/ja_jp/codepipeline/latest/userguide/images/inspectorscan-edit.png)
## 入力アーティファクト
+ **アーティファクトの数:** `1`
+ **説明:** 脆弱性をスキャンするソースコード。スキャンが ECR リポジトリ向けの場合、この入力アーティファクトは必要ありません。
## 出力アーティファクト
+ **アーティファクトの数:** `1`
+ **説明:** ソフトウェア部品表 (SBOM) ファイル形式のソースの脆弱性の詳細。
## 出力変数
このアクションを設定すると、パイプライン内のダウンストリームアクションのアクション設定によって参照できる変数が生成されます。このアクションは、アクションに名前空間がない場合でも、出力変数として表示できる変数を生成します。名前空間を使用してアクションを設定し、これらの変数をダウンストリームアクションの設定で使用できるようにします。
詳細については、「[変数リファレンス](reference-variables.md)」を参照してください。
**HighestScannedSeverity **
スキャンからの最も高い重要度の出力。有効な値は `medium | high | critical` です。
## サービスロールのアクセス許可: `InspectorScan` アクション
`InspectorScan` アクションをサポートするには、以下をポリシーステートメントに追加します。
```
{
"Effect": "Allow",
"Action": "inspector-scan:ScanSbom",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability"
],
"Resource": "resource_ARN"
},
```
さらに、Commands アクションにまだ追加されていない場合は、CloudWatch ログを表示するために、サービスロールに次のアクセス許可を追加します。
```
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "resource_ARN"
},
```
**注記**
サービスロールポリシーステートメントでリソースベースのアクセス許可を使用して、アクセス許可の範囲をパイプラインリソースレベルに絞り込みます。
## アクションの宣言
------
#### [ YAML ]
```
name: Scan
actionTypeId:
category: Invoke
owner: AWS
provider: InspectorScan
version: '1'
runOrder: 1
configuration:
InspectorRunMode: SourceCodeScan
outputArtifacts:
- name: output
inputArtifacts:
- name: SourceArtifact
region: us-east-1
```
------
#### [ JSON ]
```
{
"name": "Scan",
"actionTypeId": {
"category": "Invoke",
"owner": "AWS",
"provider": "InspectorScan",
"version": "1"
},
"runOrder": 1,
"configuration": {
"InspectorRunMode": "SourceCodeScan"
},
"outputArtifacts": [
{
"name": "output"
}
],
"inputArtifacts": [
{
"name": "SourceArtifact"
}
],
"region": "us-east-1"
},
```
------
## 関連情報
このアクションを利用する際に役立つ関連リソースは以下の通りです。
+ Amazon Inspector の詳細については、「[Amazon Inspector ユーザーガイド](https://aws.amazon.com/inspector/)」を参照してください。