翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # 入門チュートリアル: Amazon Inspector のアクティブ化 このトピックでは、スタンドアロンアカウント環境 (メンバーアカウント) とマルチアカウント環境 (委任管理者アカウント) で Amazon Inspector をアクティブ化する方法について説明します。Amazon Inspector をアクティブ化すると、ワークロードの検出と、ソフトウェア脆弱性や意図しないネットワーク露出のスキャンが自動的に開始されます。 ------ #### [ Standalone account environment ] 次の手順では、メンバーアカウントのコンソールで Amazon Inspector をアクティブ化する方法について説明します。Amazon Inspector をプログラムでアクティブ化するには、[inspector2-enablement-with-cli](https://github.com/aws-samples/inspector2-enablement-with-cli) を使用します。 1. 認証情報を使用してサインインし、Amazon Inspector コンソール ([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home)) を開きます。 1. **今すぐ始める** を選択します。 1. **[Amazon Inspector をアクティブ化]** を選択します。 スタンドアロンアカウントで Amazon Inspector をアクティブ化すると、[すべてのスキャンタイプ](https://docs.aws.amazon.com/inspector/latest/user/scanning-resources.html)がデフォルトでアクティブ化されます。メンバーアカウントの詳細については、「[Amazon Inspector の委任管理者アカウントとメンバーアカウントについて](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html)」を参照してください。 ------ #### [ Multi-account (with AWS Organizations policy) ] AWS Organizations ポリシーは、組織全体で Amazon Inspector を有効にするための一元化されたガバナンスを提供します。組織ポリシーを使用すると、Amazon Inspector の有効化はポリシーの対象となるすべてのアカウントで自動的に管理され、メンバーアカウントは Amazon Inspector API を使用してポリシーマネージドスキャンを変更できません。 **前提条件** + アカウントは AWS Organizations 組織の一部である必要があります。 + で組織ポリシーを作成および管理するためのアクセス許可が必要です AWS Organizations。 + Amazon Inspector の信頼されたアクセスは、 で有効にする必要があります AWS Organizations。手順については、「 *AWS Organizations ユーザーガイド*」の[Amazon Inspector の信頼されたアクセスの有効化](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-inspector2.html#integrate-enable-ta-inspector2)」を参照してください。 + Amazon Inspector サービスにリンクされたロールは、管理アカウントに存在する必要があります。これらを作成するには、管理アカウントで Amazon Inspector を有効にするか、管理アカウントから次のコマンドを実行します。 + `aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com` + `aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com` + Amazon Inspector の委任された管理者を指定する必要があります。 **注記** 管理アカウントと委任管理者のサービスにリンクされた Amazon Inspector ロールがない場合、組織ポリシーは Amazon Inspector の有効化を適用しますが、メンバーアカウントは、一元的な検出結果とアカウント管理のために Amazon Inspector 組織に関連付けられません。 **AWS Organizations ポリシーを使用して Amazon Inspector を有効にするには** 1. 組織ポリシーを作成する前にAmazon Inspector の委任管理者を指定して、メンバーアカウントが Amazon Inspector 組織に関連付けられていることを確認し、結果を一元的に可視化します。 AWS Organizations 管理アカウントにサインインし、[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) で Amazon Inspector コンソールを開き、「」の手順に従います[AWS 組織の委任管理者の指定](designating-admin.md#delegated-admin-proc)。 **注記** AWS Organizations Amazon Inspector の委任された管理者アカウント ID と Amazon Inspector の指定された委任された管理者アカウント ID は同じにしておくことを強くお勧めします。 AWS Organizations 委任管理者アカウント ID が Amazon Inspector 委任管理者アカウント ID と異なる場合、Amazon Inspector は Inspector が指定したアカウント ID を優先します。Amazon Inspector 委任管理者が設定されていないが、 AWS Organizations 委任管理者が設定されていて、管理アカウントに Amazon Inspector サービスにリンクされたロールがある場合、Amazon Inspector は AWS Organizations 委任管理者アカウント ID を Amazon Inspector 委任管理者として自動的に割り当てます。 1. Amazon Inspector コンソールで、管理アカウントから**全般設定**に移動します。**委任ポリシー**で、**Attach ステートメント**を選択します。**ポリシーステートメントのア**タッチダイアログで、ポリシーを確認し、**ポリシーを確認し、付与するアクセス許可を理解したことを確認し**、**ステートメントのアタッチ**を選択します。 **重要** 委任ポリシーステートメントをアタッチするには、管理アカウントに次のアクセス許可が必要です。 AmazonInspector2FullAccess\$1v2 管理ポリシーからの Amazon Inspector アクセス許可 [AmazonInspector2FullAccess](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2FullAccessV2) AWS Organizations `organizations:PutResourcePolicy` [AWSOrganizationsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html) 管理ポリシーからの アクセス許可 アクセス`organizations:PutResourcePolicy`許可がない場合、オペレーションはエラー で失敗します`Failed to attach statement to the delegation policy`。 1. 次に、Amazon Inspector AWS Organizations ポリシーを作成します。ナビゲーションペインから、**管理**を選択し、**設定**を選択します。 1. 脆弱性管理ポリシーを設定します。ポリシーの名前と説明 (オプション) を含む**詳細**を指定します。 1. 「インスペクターの設定」ページの**「詳細**」セクションに、ポリシーの名前と説明を入力します。**機能の選択**で、次のいずれかを実行します。 + **すべての機能の設定と有効化 (推奨)** を選択します。これにより、EC2、ECR、Lambda 標準、Lambda コードスキャン、コードセキュリティなど、すべての Inspector 機能が有効になります。 + Select **subset of capabilities **を選択します。有効にするスキャンタイプの機能を選択します。 1. **アカウント選択**セクションで、次のいずれかのオプションを選択します。 + 設定を**すべての組織単位とアカウント**に適用する場合は、すべての組織単位とアカウントを選択します。 + **特定の組織単位とアカウントに**設定を適用する場合は、特定の組織単位とアカウントを選択します。このオプションを選択した場合、検索バーまたは組織構造ツリーを使用して、ポリシーを適用する組織単位とアカウントを指定してください。 + **組織単位またはアカウントに**設定を適用しない場合は、組織単位またはアカウントなしを選択します。 1. **「リージョン**」セクションで、**「すべてのリージョンを有効にする**」、**「すべてのリージョンを無効にする**」、または**「リージョンを指定する**」を選択します。 + **[すべてのリージョンを有効にする]** を選択した場合、新しいリージョンを自動的に有効にするかどうかを選択できます。 + **[すべてのリージョンを無効にする]** を選択した場合、新しいリージョンを自動的に無効にするかどうかを選択できます。 + **[リージョンを指定する]** を選択した場合、有効または無効にするリージョンを選択する必要があります。 (オプション) **詳細設定**については、 のガイダンスを参照してください AWS Organizations。 (オプション) **リソースタグ**には、設定を簡単に識別できるように、キーと値のペアとしてタグを追加します。 1. **次**へ を選択し、変更を確認し、**適用** を選択します。ターゲットアカウントは、ポリシーに基づいて設定されます。ポリシーの設定ステータスは、ポリシーページの上部に表示されます。各機能は、設定されているかどうか、またはデプロイに障害が発生したかどうかのステータスを提供します。障害が発生した場合は、障害メッセージのリンクを選択して詳細を表示します。有効なポリシーをアカウントレベルで表示するには、[設定] ページの[組織] タブでアカウントを選択します。 組織ポリシーを通じて Amazon Inspector が有効になっている場合、ポリシーの対象となるアカウントはAmazon Inspector API またはコンソールを通じてポリシー管理のスキャンタイプを無効にすることはできません。委任管理者およびメンバーアカウントが組織ポリシーでできることとできないことの詳細については、「」を参照してください[を使用した Amazon Inspector での複数のアカウントの管理 AWS Organizations](managing-multiple-accounts.md)。 ------ #### [ Multi-account (without AWS Organizations policy) ] **注記** この手順を完了するには、 AWS Organizations 管理アカウントを使用する必要があります。 AWS Organizations 管理アカウントのみが委任管理者を指定できます。委任管理者を指定するには、アクセス許可が必要になる場合があります。詳細については、「[委任された管理者の指定に必要な許可](designating-admin.md#delegated-admin-permissions)」を参照してください。 Amazon Inspector を初めてアクティブ化すると、Amazon Inspector はアカウントのサービスリンクロール `AWSServiceRoleForAmazonInspector` を作成します。Amazon Inspector がサービスリンクロールを使用する方法の詳細については、「[Amazon Inspector でのサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。 **Amazon Inspector 用の委任された管理者の指定** 1. AWS Organizations 管理アカウントにサインインし、[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) で Amazon Inspector コンソールを開きます。 1. **[開始する]** を選択します。 1. **委任された管理者**に、委任された管理者として AWS アカウント 指定する の 12 桁の ID を入力します。 1. **[委任]** を選択し、もう一度 **[委任]** を選択します。 1. (オプション) AWS Organizations 管理アカウントの Amazon Inspector をアクティブ化する場合は、**サービスアクセス許可**で ** Amazon Inspector をアクティブ化**を選択します。 委任管理者を指定すると、デフォルトでアカウントの[すべてのスキャンタイプ](https://docs.aws.amazon.com/inspector/latest/user/scanning-resources.html)がアクティブ化されます。委任管理者アカウントとメンバーアカウントの詳細については、「[Amazon Inspector の委任管理者アカウントとメンバーアカウントについて](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html)」を参照してください。 ------