AWS Organizations の Amazon Inspector ポリシー利用時に後からオプトインリージョンを有効化した場合の対応手順を整理してみた

AWS Organizations の Amazon Inspector ポリシー利用時に後からオプトインリージョンを有効化した場合の対応手順を整理してみた

AWS Organizations の Amazon Inspector ポリシーでオプトインリージョンを後から有効化する際の挙動を検証しました。リージョン有効化と委任管理者設定だけではメンバーアカウントが自動有効化されず、既存ポリシーの再評価が必要だったため、その手順と結果をまとめます。
2026.07.03

はじめに

AWS Organizations の Amazon Inspector ポリシーを利用すると、組織配下のアカウントに対して Amazon Inspector のスキャン設定を一元管理できます。

今回は、すでに AWS Organizations の Root に Amazon Inspector ポリシーをアタッチし、対象リージョンに ALL_SUPPORTED(Amazon Inspector がサポートする全リージョン)を指定している環境で、後からオプトインリージョンである香港リージョン(ap-east-1)を有効化した場合の挙動を確認しました。

ドキュメントでは、ALL_SUPPORTED を指定すると新しいリージョンが自動的に含まれること、Amazon Inspector の委任管理者はリージョン単位であることが説明されています。

ALL_SUPPORTED オプションを使用すると、新しいリージョンが自動的に含まれるようになります。

https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_inspector.html

委任された管理者はリージョンレベルです。

https://docs.aws.amazon.com/ja_jp/inspector/latest/user/designating-admin.html

一方で、後から有効化したオプトインリージョンで委任管理者を設定した際に、既存の Amazon Inspector ポリシーが自動的に再評価されるかまでは、ドキュメント上確認できる範囲では明示されていません。

結論として、今回の検証では以下の挙動を確認しました。

  • 香港リージョンを有効化しただけでは、メンバーアカウントの Amazon Inspector は自動有効化されなかった
  • 香港リージョンで Amazon Inspector の委任管理者を設定しただけでも、メンバーアカウントの Amazon Inspector は有効化されなかった
  • 委任管理者設定後、既存の Amazon Inspector ポリシーを内容変更なしで更新して再評価させることで、メンバーアカウントの Amazon Inspector が有効化された

前提

今回の検証環境では、以下の状態から確認しました。

項目 内容
Amazon Inspector ポリシーのアタッチ先 AWS Organizations Root
Amazon Inspector ポリシーの対象リージョン ALL_SUPPORTED

本記事では、Amazon Inspector ポリシー自体の作成手順ではなく、既存の Amazon Inspector ポリシーがある状態で、後からオプトインリージョンを有効化した場合の挙動に絞って記載します。

香港リージョンを有効化する

まず、管理アカウントとメンバーアカウントで、オプトインリージョンである香港リージョンを有効化しました。

cm-hirai-screenshot 2026-07-03 9.05.23
管理アカウントとメンバーアカウントで香港リージョンを有効化している画面

有効化後、リージョンの状態を確認します。

cm-hirai-screenshot 2026-07-03 9.13.33
香港リージョンが有効化されたことを確認している画面

ここで有効化しているのは、AWS アカウントとして香港リージョンを利用できるようにする操作です。
この操作だけで、Amazon Inspector の組織管理やメンバーアカウントの関連付けまで完了するわけではありません。

香港リージョンの Amazon Inspector 画面を確認する

香港リージョンを有効化した後、管理アカウントで香港リージョンの Amazon Inspector 画面に遷移しました。

この時点では、まだ Amazon Inspector ポリシーによる有効化は確認できませんでした。

cm-hirai-screenshot 2026-07-03 9.15.48
管理アカウントの香港リージョンで Amazon Inspector がまだ有効化されていない状態

リージョン有効化後、Amazon Inspector 側の表示や状態反映にはラグがある場合があるようです。
今回の検証環境では、しばらく時間をおいて Account coverage を確認したところ、管理アカウントのみが Activated になりました。

一方で、メンバーアカウントは Account coverage に表示されていませんでした。

cm-hirai-screenshot 2026-07-03 13.30.23
香港リージョンの Account coverage で管理アカウントのみが Activated になっている状態

この結果から、今回の検証では、管理アカウントとメンバーアカウントで香港リージョンを有効化しただけでは、メンバーアカウントの Amazon Inspector が自動的に有効化されることは確認できませんでした。

香港リージョンで Amazon Inspector の委任管理者を設定する

次に、香港リージョンで Amazon Inspector の委任管理者を設定しました。

cm-hirai-screenshot 2026-07-03 13.32.32
香港リージョンで Amazon Inspector の委任管理者を設定している画面

委任管理者を設定すると、Amazon Inspector の組織管理を行うための前提が整います。

委任管理者設定後の Account coverage を確認する

委任管理者を設定した後、Amazon Inspector ポリシーを再評価する前に Account coverage を確認しました。

すると、メンバーアカウントは表示されるようになりましたが、ステータスは Disassociated のままでした。

cm-hirai-screenshot 2026-07-03 14.26.26
委任管理者設定後、ポリシー再評価前の Account coverage でメンバーアカウントが Disassociated になっている状態

この結果から、今回の検証では、香港リージョンで委任管理者を設定しただけでは、既存の Amazon Inspector ポリシーによるメンバーアカウントの有効化までは実行されませんでした。

後からオプトインリージョンを追加する場合、ここがつまずきやすい点です。
委任管理者を設定すれば自動的に既存の Amazon Inspector ポリシーが再適用される、という挙動ではありませんでした。

Amazon Inspector ポリシーを再評価する

次に、AWS Organizations にアタッチしている Amazon Inspector ポリシーを内容変更なしで更新し、再評価させます。

今回は AWS マネジメントコンソールから、Amazon Inspector ポリシーを編集し、内容を変更せずに更新しました。

まず、AWS Organizations の Amazon Inspector ポリシー画面で、組織にアタッチしているポリシーを選択します。

cm-hirai-screenshot 2026-07-03 14.13.24
AWS Organizations の Configurations から Amazon Inspector ポリシーを選択している画面

ポリシー詳細画面で編集をクリックします。

cm-hirai-screenshot 2026-07-03 14.15.19
Amazon Inspector ポリシーの編集画面へ進む操作

今回はポリシー本文を変更せず、そのまま更新しました。

cm-hirai-screenshot 2026-07-03 14.15.02
Amazon Inspector ポリシーを内容変更なしで更新している画面

今回の検証では、ポリシー本文を変更しなくても、更新操作によって Amazon Inspector ポリシーが再評価されました。

実運用では、誤ってポリシー内容を変更しないように、更新前後のポリシー内容を確認してから実行するのがよさそうです。

メンバーアカウントの Account coverage を確認する

Amazon Inspector ポリシーを再評価した後、香港リージョンの Account coverage を確認しました。

メンバーアカウントのステータスが Activated になりました。

cm-hirai-screenshot 2026-07-03 14.26.11
ポリシー再評価後、メンバーアカウントが Activated になっている状態

これで、香港リージョンでも Amazon Inspector ポリシーに基づいてメンバーアカウントが有効化されたことを確認できました。

必要に応じて ECR 再スキャン設定を確認する

最後に、必要に応じて ECR 再スキャン設定を確認します。

今回の検証では、香港リージョンで Amazon Inspector の ECR 再スキャン設定画面を確認しました。

cm-hirai-screenshot 2026-07-03 14.23.41
香港リージョンで ECR 再スキャン設定を確認している画面

Amazon Inspector ポリシーでは、ECR スキャンを有効化するリージョンは管理できます。
一方で、ECR 再スキャン期間などの詳細設定は Amazon Inspector ポリシーでは設定できないため、必要に応じて委任管理者アカウント側で別途確認・設定します。

運用手順として整理する

後からオプトインリージョンを有効化する場合は、以下の流れにしておくとよさそうです。

  1. 対象のオプトインリージョンを管理アカウントと対象メンバーアカウントで有効化する
  2. 当該リージョンで Amazon Inspector の委任管理者を設定する
  3. Amazon Inspector ポリシーを再評価させる
  4. Account coverage で対象アカウントが Activated になることを確認する
  5. 必要に応じて ECR 再スキャン設定を当該リージョンで確認する

このように、オプトインリージョンを後から追加する運用では、「リージョン有効化後にポリシーが自動的にすべて再適用される」前提にせず、委任管理者設定とポリシー再評価を手順に含めておくのがよさそうです。

まとめ

AWS Organizations の Amazon Inspector ポリシーを利用している環境で、後からオプトインリージョンである香港リージョンを有効化した場合の挙動を確認しました。

今回の検証では、香港リージョンを有効化し、当該リージョンで Amazon Inspector の委任管理者を設定しただけでは、メンバーアカウントの Amazon Inspector は有効化されませんでした。

既存の Amazon Inspector ポリシーを内容変更なしで更新して再評価させることで、メンバーアカウントが Activated になることを確認しました。

後からオプトインリージョンを追加する場合は、リージョン有効化、委任管理者設定、Amazon Inspector ポリシーの再評価、Account coverage の確認を一連の運用手順として整理しておくとよさそうです。


そのマルチアカウント運用、気合いで支えていませんか

Organizations や Control Tower で土台は作れても、アカウントもポリシーも増えるほど、運用は「詳しい一人」に寄りかかっていく。属人化が限界を迎える前に、組織として回す仕組み=CCoEへ。5,600社の支援から得た立ち上げの型を、無料資料にまとめました。

CCoE総合支援

組織で回す仕組みの資料をもらう

この記事をシェアする

AWSのお困り事はクラスメソッドへ

関連記事