Amazon Inspector 用の委任管理者アカウントの指定

委任管理者は、組織のサービスを管理するアカウントです。このトピックでは、Amazon Inspector の委任管理者を指定する方法について説明します。

考慮事項

委任管理者を指定する前に、次の点に注意してください。

委任管理者は、最大 10,000 のメンバーを管理することができます。: メンバーアカウント数が 10,000 を超えると、Amazon CloudWatch Personal Health Dashboard から通知が届き、委任管理者アカウントには E メールで通知が届きます。

注記
10,000 を超えるアカウント (最大 50,000) を持つ組織の AWS Organizations ポリシーを通じて Amazon Inspector が有効になっている場合、ポリシーはすべてのアカウントに適用されます。ただし、Amazon Inspector 組織に関連付けられるアカウントは 10,000 アカウントのみです。つまり、委任管理者は Amazon Inspector コンソールでこれらの 10,000 アカウントの結果とアカウントステータスのみを表示できます。
委任された管理者はリージョンレベルです。: Amazon Inspector はリージョナルサービスです。Amazon Inspector を使用する AWS リージョン予定のすべてのの手順の手順を繰り返す必要があります。
組織は、委任された管理者を 1 名だけ持つことができます。: あるアカウントでアカウントを委任管理者として指定すると AWS リージョン、そのアカウントは他のすべてのアカウントで委任管理者である必要があります AWS リージョン。
委任された管理者を変更しても、メンバーアカウントの Amazon Inspector は非アクティブ化になりません。: 委任管理者を削除すると、メンバーアカウントはスタンドアロンアカウントになり、スキャン設定は影響を受けません。
Organization では、すべての機能がアクティブ化されている AWS 必要があります。: これはのデフォルト設定です AWS Organizations。アクティブ化になっていない場合は、「Activating all features in your organization」を参照してください。
組織ポリシーは、委任管理者設定よりも優先されます。: 組織が AWS Organizations ポリシーを使用して Amazon Inspector を有効にする場合、ポリシー設定によって有効になっているスキャンタイプが決まります。一貫したガバナンスを確保するために、組織ポリシーを作成する前に委任管理者を指定することをお勧めします。詳細については、「組織ポリシーガバナンスモデル」を参照してください。

委任された管理者の指定に必要な許可

Amazon Inspector をアクティブ化し、Amazon Inspector に委任された管理者を指定するアクセス許可が必要です。IAM ポリシーの最後に次のステートメントを追加することで、これらの許可を付与します。詳細については、「IAM ポリシーを管理する」を参照してください。



{
    "Sid": "PermissionsForInspectorAdmin",
    "Effect": "Allow",
    "Action": [
        "inspector2:EnableDelegatedAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization"
    ],
    "Resource": "*"
}

AWS 組織の委任管理者の指定

次の手順では、組織の委任管理者を指定する方法を説明します。手順を完了する前に、委任管理者に管理させたいメンバーアカウントと同じ組織内にいることを確認してください。

注記

この手順を完了するには、 AWS Organizations 管理アカウントを使用する必要があります。 AWS Organizations 管理アカウントのみが委任管理者を指定できます。委任管理者を指定するには、アクセス許可が必要になる場合があります。詳細については、「委任された管理者の指定に必要な許可」を参照してください。

Amazon Inspector を初めてアクティブ化すると、Amazon Inspector はアカウントのサービスリンクロール AWSServiceRoleForAmazonInspector を作成します。Amazon Inspector がサービスリンクロールを使用する方法の詳細については、「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。

Console

Amazon Inspector 用の委任された管理者の指定

AWS Organizations 管理アカウントにサインインし、https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。
AWS リージョンセレクターを使用して、委任管理者を指定する AWS リージョンを指定します。
ナビゲーションペインから、[全般設定] を選択します。
委任された管理者に、委任された管理者として AWS アカウント指定するの 12 桁の ID を入力します。
[委任] を選択し、もう一度 [委任] を選択します。

委任管理者を指定すると、デフォルトでアカウントのすべてのスキャンタイプがアクティブ化されます。 AWS Organizations 管理アカウントの Amazon Inspector をアクティブ化する場合は、次の手順を実行します。

AWS Organizations 管理アカウントの Amazon Inspector をアクティブ化するには

委任管理者アカウントにサインインし、Amazon Inspector コンソール (https://console.aws.amazon.com/inspector/v2/home) を開きます。
ナビゲーションペインから、[アカウント管理] を選択します。
アカウントで管理 AWS Organizations アカウントを選択し、アクティブ化を選択します。
AWS Organizations 管理アカウントに対してアクティブ化するスキャンタイプを選択し、送信を選択します。

API

API で委任された管理者を指定する

Organizations 管理アカウントのの認証情報を使用して、EnableDelegatedAdminAccount API AWS アカウントオペレーションを実行します。これを行う AWS Command Line Interface には、次の CLI コマンドを実行しますaws inspector2 enable-delegated-admin-account --delegated-admin-account-id 11111111111。

注記
Amazon Inspector の委任管理者にしたいアカウントのアカウント ID を必ず指定してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

委任管理者アカウントとメンバーアカウントについて

メンバーアカウントの Amazon Inspector スキャンをアクティブ化する