翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Inspector と AWS Organizations
Amazon Inspector は、Amazon EC2 とコンテナのワークロードを継続的にスキャンして、ソフトウェアの脆弱性や意図しないネットワークの公開 (ネットワークエクスポージャー) を検出する、自動化された脆弱性管理サービスです。
Amazon Inspector を使用すると、Amazon Inspector の管理者アカウントを委任 AWS Organizations するだけで、 を介して関連付けられている複数のアカウントを管理できます。委任管理者は、組織の Amazon Inspector を管理し、組織に代わって次のようなタスクを実行するための特別なアクセス許可が付与されます。
+ メンバーアカウントへのスキャンを有効または無効にする
+ 組織全体の集約された調査結果データを表示する
+ 抑制ルールを作成して管理する
詳細については、「*Amazon Inspector ユーザーガイド*」の「[AWS Organizationsで複数のアカウントを管理する](https://docs.aws.amazon.com//inspector/latest/user/managing-multiple-accounts.html)」を参照してください。
以下の情報は、Amazon Inspector を と統合するのに役立ちます AWS Organizations。
## 統合を有効にする際に作成されるサービスにリンクされたロール
信頼されたアクセスを有効にすると、以下の[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)が組織の管理アカウントに自動的に作成されます。このロールにより、Amazon Inspector は、サポートされているオペレーションを組織内の組織のアカウントで実行できます。
このロールを削除または変更できるのは、Amazon Inspector と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。
+ `AWSServiceRoleForAmazonInspector2`
詳細については、「*Amazon Inspector ユーザーガイド*」の「[Amazon Inspector でのサービスにリンクされたロールの使用](https://docs.aws.amazon.com//inspector/latest/user/using-service-linked-roles.html)」を参照してください。
## サービスにリンクされたロールで使用されるサービスプリンシパル
前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Amazon Inspector によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。
+ `inspector2.amazonaws.com`
## Amazon Inspector との信頼されたアクセスを有効にするには
信頼されたアクセスの有効化に必要な権限に関しては、[信頼されたアクセスを有効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_perms) を参照してください。
Amazon Inspector では、組織のこのサービスの委任管理者としてメンバーアカウントを指定する AWS Organizations 前に、 への信頼されたアクセスが必要です。
Amazon Inspector の委任管理者を指定すると、組織の Amazon Inspector に対する信頼されたアクセスが自動的に有効になります。
ただし、CLI またはいずれかの AWS SDKs を使用して AWS 委任管理者アカウントを設定する場合は、 `EnableAWSServiceAccess`オペレーションを明示的に呼び出し、サービスプリンシパルをパラメータとして指定する必要があります。次に、`EnableDelegatedAdminAccount` を呼び出して Inspector 管理者アカウントを委任します。
信頼されたアクセスを有効にするには、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。
------
#### [ AWS CLI, AWS API ]
**Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには**
信頼されたサービスアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用します。
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)
次のコマンドを実行し、Amazon Inspector を Organizations で信頼されたサービスとして有効にします。
```
$ aws organizations enable-aws-service-access \
--service-principal inspector2.amazonaws.com
```
このコマンドが成功した場合、出力は生成されません。
+ AWS API: [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)
------
**注記**
`EnableAWSServiceAccess` API を使用している場合、[https://docs.aws.amazon.com/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html) も呼び出して Inspector 管理者アカウントを委任する必要があります。
## Amazon Inspector との信頼されたアクセスを無効にするには
信頼されたアクセスの無効化に必要なアクセス権限に関しては、[信頼されたアクセスを無効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms) を参照してください。
Amazon Inspector で信頼されたアクセスを無効にすることができるのは、 AWS Organizations 管理アカウントの管理者のみです。
信頼されたアクセスは、Organizations ツールを使用してのみ無効にできます。
信頼されたアクセスを無効にするには、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。
------
#### [ AWS CLI, AWS API ]
**Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには**
信頼されたサービスアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用します。
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)
次のコマンドを実行し、Organizations で信頼されたサービスとして Amazon Inspector を無効にします。
```
$ aws organizations disable-aws-service-access \
--service-principal inspector2.amazonaws.com
```
このコマンドが成功した場合、出力は生成されません。
+ AWS API: [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)
------
## Amazon Inspector 用の委任管理者アカウントの有効化
Amazon Inspector を使用すると、 AWS Organizations サービスで委任された管理者を使用して、組織内の複数のアカウントを管理できます。
AWS Organizations 管理アカウントは、組織内のアカウントを Amazon Inspector の委任管理者アカウントとして指定します。委任管理者は、組織の Amazon Inspector を管理し、組織に代わってタスクを実行するための特別なアクセス許可が付与されます。タスクには、メンバーアカウントのスキャンの有効化または無効化、組織全体の集約された調査結果データの表示、抑制ルールの作成および管理などが含まれます
委任管理者が組織アカウントを管理する方法については、「*Amazon Inspector ユーザーガイド*」の「[管理者とメンバーアカウントの関係について](https://docs.aws.amazon.com//inspector/latest/user/admin-member-relationship.html)」を参照してください。
Amazon Inspector 用の委任管理者を設定できるのは、組織管理アカウントの管理者だけです。
委任管理者アカウントを指定する場合は、Amazon Inspector コンソールまたは API を介して、あるいは Organizations CLI または SDK オペレーションを使用して行います。
**最小アクセス許可**
Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Amazon Inspector の委任管理者としてメンバーアカウントを設定できます
Amazon Inspector コンソールを使用して委任管理者を設定するには、「*Amazon Inspector ユーザーガイド*」の「[ステップ 1: Amazon Inspector を有効にする – Multi-account environment](https://docs.aws.amazon.com//inspector/latest/user/getting_started_tutorial.html#tutorial_enable_scans)」を参照してください。
**注記**
Amazon Inspector を使用する各リージョンで、`inspector2:enableDelegatedAdminAccount` を呼び出す必要があります。
------
#### [ AWS CLI, AWS API ]
CLI またはいずれかの AWS SDKs を使用して AWS 委任管理者アカウントを設定する場合は、次のコマンドを使用できます。
+ AWS CLI:
```
$ aws organizations register-delegated-administrator \
--account-id 123456789012 \
--service-principal inspector2.amazonaws.com
```
+ AWS SDK: Organizations `RegisterDelegatedAdministrator`オペレーションとメンバーアカウントの ID 番号を呼び出し、アカウントサービスプリンシパルをパラメータ`account.amazonaws.com`として識別します。
------
## Amazon Inspector 用の委任管理者の無効化
組織から委任管理者アカウントを削除できるのは、 AWS Organizations 管理アカウントの管理者のみです。
委任管理者を削除する場合は、Amazon Inspector コンソールまたは API を介して、あるいは Organizations `DeregisterDelegatedAdministrator` CLI または SDK オペレーションを使用して行います。Amazon Inspector コンソールを使用して委任管理者を削除するには、「*Amazon Inspector ユーザーガイド*」の「[委任管理者の削除](https://docs.aws.amazon.com//inspector/latest/user/remove-delegated-admin.html)」を参照してください。