AWS Organizations の Inspector ポリシーを Inspector コンソールからフォーム形式で設定できるようになってました

AWS Organizations の Inspector ポリシーを Inspector コンソールからフォーム形式で設定できるようになってました

AWS Organizations の Inspector ポリシーを、JSON で直接書く方法と Inspector コンソールのフォーム形式で設定する方法を紹介します。実際の画面を見ながら、それぞれのメリットを確認してみましょう。
2026.07.07

はじめに

Amazon Inspector では、AWS Organizations の Inspector ポリシーを利用して、組織全体の Inspector 有効化やスキャンタイプ、対象リージョンなどを一元管理できます。

この機能自体は、2025年11月の What's New で「Amazon Inspector supports organization-wide management through AWS Organizations policies」として発表されています。

https://aws.amazon.com/jp/about-aws/whats-new/2025/11/amazon-inspector-organization-wide-management-aws-organizations-policies/

当時の案内では、AWS Organizations コンソールで Inspector policies ポリシータイプを有効化し、ポリシーを作成する流れとして説明されていました。

To get started, designate a delegated admin within Amazon Inspector, enable the “Inspector policies” policy type in the AWS Organizations console, and create a policy that specifies the desired scan types and Regions.

利用を開始するには、Amazon Inspector で委任管理者を指定し、AWS Organizations コンソールで Inspector policies ポリシータイプを有効化したうえで、必要なスキャンタイプとリージョンを指定するポリシーを作成します。

https://aws.amazon.com/jp/about-aws/whats-new/2025/11/amazon-inspector-organization-wide-management-aws-organizations-policies/

AWS Organizations コンソールから作成する場合、Inspector ポリシーは JSON 形式で設定します。

一方で、現在の Amazon Inspector コンソールでは、Management > Configurations からフォーム形式で同等のポリシーを作成できるようになっていました。

ただし、公開ドキュメントを確認した範囲では、Amazon Inspector コンソールからフォーム形式で設定できるようになった時期までは確認できませんでした。Amazon Inspector の入門チュートリアルには、現在の手順として Amazon Inspector コンソールから AWS Organizations ポリシーを作成する方法が記載されています。

https://docs.aws.amazon.com/ja_jp/inspector/latest/user/getting_started_tutorial.html

本記事では、AWS Organizations コンソールから JSON で作成する場合と、Amazon Inspector コンソールからフォーム形式で作成する場合の画面を紹介します。

事前に委任管理者の権限を確認する

Amazon Inspector コンソールで Inspector ポリシーを設定するには、Amazon Inspector の委任管理者が必要な権限を持っている必要があります。

今回の環境では、AWS Organizations の管理アカウントとして利用している共通アカウントで AWS マネジメントコンソールにログインし、東京リージョンの Amazon Inspector を開いたところ、画面上部に以下の警告が表示されました。

Your delegated administrator cannot configure Inspector policies.
Allow Inspector to automatically create a delegation policy with all required permissions.

この警告は、Amazon Inspector の委任管理者が AWS Organizations の Inspector ポリシーを設定するために必要な権限を持っていない場合に表示されます。

警告が表示されている場合は、黄色い警告内の [Attach statement] をクリックします。

cm-hirai-screenshot 2026-06-25 15.29.31
Amazon Inspector コンソールに表示された委任管理者向けの警告

確認画面が表示されるため、内容を確認します。

I acknowledge that I have reviewed the policy and understand the permissions it grants. にチェックを入れ、[Attach statement] をクリックします。

b72tae9eybu6gtprcumpのコピー2
delegation policy statement をアタッチする確認画面

この操作により、必要な delegation policy statement が自動作成され、委任管理者が Inspector ポリシーを設定できるようになります。

Amazon Inspector の入門チュートリアルにも、委任管理者が Inspector ポリシーを設定するための手順が記載されています。

https://docs.aws.amazon.com/ja_jp/inspector/latest/user/getting_started_tutorial.html

AWS Organizations コンソールから作成する場合

まず、AWS Organizations コンソールから Amazon Inspector ポリシーを作成する場合です。

AWS Organizations のポリシー一覧から、Amazon Inspector のポリシーを作成できます。

cm-hirai-screenshot 2026-06-26 10.41.14
AWS Organizations コンソールで Inspector ポリシーを作成する画面

AWS Organizations コンソールから作成する場合、ポリシー本文は JSON 形式で入力します。

cm-hirai-screenshot 2026-06-26 10.41.45
AWS Organizations コンソールでは JSON 形式で Inspector ポリシーを入力する

JSON の構文は、以下のドキュメントを参考にしながら作成します。

https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_inspector_syntax.html

たとえば、ec2_scanningecr_scanning などのスキャンタイプごとに、enable_in_regionsdisable_in_regions を指定します。

イメージとしては以下のような JSON です。

{
  "inspector": {
    "enablement": {
      "ec2_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "ap-northeast-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": []
        }
      },
      "ecr_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "ap-northeast-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": []
        }
      }
    }
  }
}

上記は例です。実際に利用する場合は、有効化したいスキャンタイプや対象リージョンを自分の環境に合わせて変更してください。

AWS Organizations コンソールから設定する場合は、JSON のキー名や @@assign などの構文を把握しておく必要があります。そのため、初めて設定する場合はドキュメントを確認しながら作成することになります。

Amazon Inspector コンソールから作成する場合

次に、Amazon Inspector コンソールから作成する場合です。

Amazon Inspector コンソールの [Configurations] から、Inspector ポリシーを作成できます。

また、AWS Organizations コンソールで作成した Inspector ポリシーも、Amazon Inspector コンソール上に表示され、編集できることを確認しました。

cm-hirai-screenshot 2026-06-26 10.42.04
Amazon Inspector コンソールの Configurations 画面

作成画面に進むと、コンソール上では [脆弱性管理ポリシーを設定] と表示されていました。

cm-hirai-screenshot 2026-06-26 10.42.30
脆弱性管理ポリシーをフォーム形式で設定する画面

Amazon Inspector コンソールから作成する場合、以下の項目を画面上で設定できます。

  • 名前
  • 機能の選択
  • アカウントの選択
  • リージョンの選択
  • リソースタグ

JSON を直接編集する必要がないため、どの項目を設定しているのかが分かりやすいです。

Amazon Inspector の入門チュートリアルにも、Amazon Inspector コンソールから AWS Organizations ポリシーを作成する手順が記載されています。

https://docs.aws.amazon.com/ja_jp/inspector/latest/user/getting_started_tutorial.html

推奨設定を確認できる

Inspector コンソールでは、設定画面上に推奨設定も表示されます。

cm-hirai-screenshot 2026-06-26 10.42.52
リージョン設定では推奨値を確認できる

迷った場合は、画面上の推奨値を参考にできます。

今回確認した画面では、リージョンについて全リージョンを有効化することが推奨されていました。Organizations コンソールで JSON を入力する場合と比べて、画面上で推奨値を確認しながら設定できる点が分かりやすいです。

機能選択

機能選択では、すべての機能を有効化するか、一部の機能のみ有効化するか、無効化するかを選択できます。

cm-hirai-screenshot 2026-06-26 10.55.07
機能選択では有効化する Inspector の機能を選択できる

JSON で設定する場合は、スキャンタイプごとのキー名を確認しながら記述する必要があります。

一方で、Inspector コンソールでは画面上で対象機能を選択できるため、設定内容を把握しやすいです。

アカウント選択

アカウント選択では、ポリシーを適用する範囲を選択できます。

cm-hirai-screenshot 2026-06-26 10.54.52
アカウント選択では組織全体、組織単位、アカウントを選択できる

今回確認した画面では、組織全体、特定の組織単位、個別アカウントなどを選択できました。

AWS Organizations のポリシーとしては、組織ルート、組織単位、アカウントに対してアタッチする考え方になりますが、Inspector コンソールではその選択をフォーム上で行えます。

リージョン選択

リージョン選択では、全リージョンを有効化するか、一部リージョンのみ有効化するかを選択できます。

cm-hirai-screenshot 2026-06-26 10.43.59
リージョン選択では全リージョンまたは特定リージョンを選択できる

AWS Organizations の JSON では、enable_in_regionsdisable_in_regions を記述する必要があります。

Inspector コンソールではリージョン一覧から選択できるため、JSON のキー名や構文を意識せずに設定できます。

設定後のステータスを確認できる

Amazon Inspector コンソールから設定する場合、ポリシーの設定ステータスも画面上で確認できます。

Amazon Inspector の入門チュートリアルでは、ポリシー適用後のステータスについて以下のように説明されています。

次へ を選択し、変更を確認し、適用 を選択します。ターゲットアカウントは、ポリシーに基づいて設定されます。ポリシーの設定ステータスは、ポリシーページの上部に表示されます。各機能は、設定されているかどうか、またはデプロイに障害が発生したかどうかのステータスを提供します。障害が発生した場合は、障害メッセージのリンクを選択して詳細を表示します。有効なポリシーをアカウントレベルで表示するには、[設定] ページの [組織] タブでアカウントを選択します。

https://docs.aws.amazon.com/ja_jp/inspector/latest/user/getting_started_tutorial.html

今回の環境でも、ポリシー設定後にステータスを確認できました。

cm-hirai-screenshot 2026-06-26 11.43.22
ポリシーの設定ステータスを確認できる画面

機能ごとの設定状況も確認できます。

cm-hirai-screenshot 2026-06-26 11.45.13
各機能の設定ステータスを確認できる画面

AWS Organizations コンソールで JSON を入力する場合は、ポリシー本文として何を設定するかを管理できます。一方で、Inspector コンソールでは、ポリシー適用後に各機能が設定済みか、デプロイに失敗していないかを画面上で確認できます。

このステータス確認まで同じ画面で行える点は、Inspector コンソールから設定するメリットだと感じました。

フォーム形式で設定できると分かりやすい

AWS Organizations コンソールから Inspector ポリシーを作成する場合、JSON を直接入力します。

JSON 形式で設定できるため、設定内容をテキストとして確認できます。一方で、初めて設定する場合は、ec2_scanningecr_scanningenable_in_regionsdisable_in_regions@@assign などのキーや構文をドキュメントで確認しながら作成する必要があります。

Inspector コンソールから作成する場合は、名前、機能選択、アカウント選択、リージョン選択、リソースタグをフォーム上で設定できます。画面上に推奨設定も表示され、ポリシー適用後のステータスも確認できるため、どの項目をどのように設定すればよいか把握しやすいです。

特に、初回設定や設定内容の確認では、Inspector コンソールからフォーム形式で設定できるようになったことで、作業しやすくなったと感じました。


そのマルチアカウント運用、気合いで支えていませんか

Organizations や Control Tower で土台は作れても、アカウントもポリシーも増えるほど、運用は「詳しい一人」に寄りかかっていく。属人化が限界を迎える前に、組織として回す仕組み=CCoEへ。5,600社の支援から得た立ち上げの型を、無料資料にまとめました。

CCoE総合支援

組織で回す仕組みの資料をもらう

この記事をシェアする

AWSのお困り事はクラスメソッドへ

関連記事