Amazon Inspector のアクション、リソース、および条件キー
Amazon Inspector (サービスプレフィックス: inspector) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
Amazon Inspector で定義されるアクション
IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| AddAttributesToFindings | 検出結果の ARN によって指定されている検出結果に属性 (キーと値のペア) を割り当てるためのアクセス許可を付与 | Write | |||
| CreateAssessmentTarget | CreateResourceGroup によって生成されているリソースグループの ARN を使用して、新しい評価ターゲットを作成する許可を付与 | Write | |||
| CreateAssessmentTemplate | 評価ターゲットの ARN によって指定されている評価ターゲットの評価テンプレートを作成する許可を付与 | Write | |||
| CreateExclusionsPreview | 指定された評価テンプレートの除外プレビューの生成を開始する許可を付与 | Write | |||
| CreateResourceGroup | Amazon Inspector の評価ターゲットに含まれる EC2 インスタンスの選択に使用される、指定されたタグセット (キーと値のペア) を使用してリソースグループを作成する許可を付与 | Write | |||
| DeleteAssessmentRun | 評価の実行の ARN によって指定されている評価の実行を削除する許可を付与 | Write | |||
| DeleteAssessmentTarget | 評価ターゲットの ARN によって指定されている評価ターゲットを削除する許可を付与 | Write | |||
| DeleteAssessmentTemplate | 評価テンプレートの ARN によって指定されている評価テンプレートを削除する許可を付与 | Write | |||
| DescribeAssessmentRuns | 評価の実行の ARN によって指定されている評価の実行を記述する許可を付与 | Read | |||
| DescribeAssessmentTargets | 評価ターゲットの ARN によって指定されている評価ターゲットを記述する許可を付与 | Read | |||
| DescribeAssessmentTemplates | 評価テンプレートの ARN によって指定されている評価テンプレートを記述する許可を付与 | Read | |||
| DescribeCrossAccountAccessRole | Amazon Inspector が AWS アカウント にアクセスできるようにする IAM ロールを記述するアクセス許可を付与 | Read | |||
| DescribeExclusions | 除外の ARN によって指定されている除外を記述する許可を付与 | Read | |||
| DescribeFindings | 検出結果の ARN によって指定されている検出結果を記述する許可を付与 | Read | |||
| DescribeResourceGroups | リソースグループの ARN によって指定されているリソースグループを記述する許可を付与 | Read | |||
| DescribeRulesPackages | ルールパッケージの ARN によって指定されているルールパッケージを記述する許可を付与 | Read | |||
| GetAssessmentReport | 指定された評価の実行の詳細かつ包括的な結果を含む評価レポートを作成する許可を付与 | Read | |||
| GetExclusionsPreview | プレビュートークンによって指定されている除外プレビュー (ExclusionPreview オブジェクトのリスト) を取得する許可を付与 | Read | |||
| GetTelemetryMetadata | 指定された評価の実行用に収集されているデータに関する情報を取得する許可を付与 | Read | |||
| ListAssessmentRunAgents | 評価の実行の ARN によって指定されている評価の実行のエージェントを一覧表示する許可を付与 | リスト | |||
| ListAssessmentRuns | 評価テンプレートの ARN によって指定されている評価テンプレートに対応する評価の実行を一覧表示する許可を付与 | リスト | |||
| ListAssessmentTargets | この AWS アカウント 内の評価ターゲットの ARN を一覧表示するアクセス許可を付与 | リスト | |||
| ListAssessmentTemplates | 評価ターゲットの ARN によって指定されている評価ターゲットに対応する評価テンプレートを一覧表示する許可を付与 | リスト | |||
| ListEventSubscriptions | 評価テンプレートの ARN によって指定されている評価テンプレートのすべてのイベントサブスクリプションを一覧表示する許可を付与 | リスト | |||
| ListExclusions | 評価の実行によって生成された除外を一覧表示する許可を付与 | リスト | |||
| ListFindings | 評価の実行の ARN によって指定されている評価の実行によって生成された結果を一覧表示する許可を付与 | リスト | |||
| ListRulesPackages | 利用可能な Amazon Inspector ルールパッケージを一覧表示する許可を付与 | リスト | |||
| ListTagsForResource | 評価テンプレートに関連付けられたすべてのタグを一覧表示する許可を付与 | Read | |||
| PreviewAgents | 指定された評価ターゲットの一部である EC2 インスタンスにインストールされているエージェントをプレビューする許可を付与 | Read | |||
| RegisterCrossAccountAccessRole | 評価の実行の開始時または PreviewAgents アクションを呼び出す際に Amazon Inspector による EC2 インスタンスの一覧表示に使用される IAM ロールを登録する許可を付与 | Write | |||
| RemoveAttributesFromFindings | 指定されたキーを持つ属性が存在する検索結果の ARN によって指定されている検索結果から属性全体 (キーと値のペア) を削除する許可を付与 | Write | |||
| SetTagsForResource | タグ (キーと値のペア) を評価テンプレートの ARN によって指定されている評価テンプレートに設定する許可を付与 | タグ付け | |||
| StartAssessmentRun | 評価テンプレートの ARN によって指定されている評価の実行を開始する許可を付与 | Write | |||
| StopAssessmentRun | 評価の実行の ARN によって指定されている評価の実行を停止する許可を付与 | Write | |||
| SubscribeToEvent | 指定されたイベントに関する Amazon Simple Notification Service (SNS) 通知を指定された SNS トピックに送信するプロセスを有効にする許可を付与 | Write | |||
| UnsubscribeFromEvent | 指定されたイベントに関する Amazon Simple Notification Service (SNS) 通知を指定された SNS トピックに送信するプロセスを無効にする許可を付与 | Write | |||
| UpdateAssessmentTarget | 評価ターゲットの ARN によって指定されている評価ターゲットを更新する許可を付与 | Write |
Amazon Inspector で定義されるリソースタイプ
Amazon Inspector では、IAM ポリシーステートメントの Resource 要素でのリソース ARN の指定はサポートされていません。Amazon Inspector へのアクセスを許可するには、ポリシーで "Resource": "*" を指定します。
Amazon Inspector の条件キー
Inspector には、ポリシーステートメントの Condition 要素で使用できるサービス固有のコンテキストキーはありません。すべてのサービスで使用できるグローバルなコンテキストキーのリストについては、条件に利用可能なキーを参照してください。
