Wichtigste Funktionen und Vorteile Funktionsweise Zusätzliche Einzelheiten

Richtlinien von Amazon Inspector

Mit den Amazon Inspector-Richtlinien können Sie Amazon Inspector für alle Konten in Ihrer AWS Organisation zentral aktivieren und verwalten. Mit einer Amazon Inspector-Richtlinie geben Sie an, für welche Organisationseinheiten (Stamm- oder Konten) Amazon Inspector automatisch aktiviert und mit dem delegierten Administratorkonto von Amazon Inspector verknüpft ist. OUs Sie können die Richtlinien von Amazon Inspector verwenden, um das dienstweite Onboarding zu vereinfachen und sicherzustellen, dass Amazon Inspector in allen vorhandenen und neu erstellten Konten konsistent aktiviert wird.

Wichtigste Funktionen und Vorteile

Mit den Richtlinien von Amazon Inspector können Sie festlegen, welche Scantypen für Ihr Unternehmen oder für Teilgruppen davon aktiviert werden sollen, um eine konsistente Abdeckung zu gewährleisten und den manuellen Aufwand zu reduzieren. Sobald sie implementiert sind, helfen sie Ihnen dabei, neue Kunden automatisch zu registrieren und Ihre Scan-Basis beizubehalten, wenn Ihr Unternehmen wächst.

Funktionsweise

Wenn Sie einer Organisationseinheit eine Amazon Inspector-Richtlinie zuordnen, aktiviert die Richtlinie Amazon Inspector automatisch für alle Mitgliedskonten innerhalb dieses Bereichs. Wenn Sie die Einrichtung von Amazon Inspector abgeschlossen haben, indem Sie einen delegierten Administrator für Amazon Inspector registriert haben, bietet dieses Konto außerdem eine zentrale Übersicht über Sicherheitslücken für Konten in der Organisation, für die Amazon Inspector aktiviert ist.

Die Richtlinien von Amazon Inspector können auf die gesamte Organisation, auf bestimmte Organisationseinheiten (OUs) oder auf einzelne Konten angewendet werden. Konten, die der Organisation beitreten — oder in eine Organisationseinheit mit einer angehängten Amazon Inspector-Richtlinie wechseln — erben automatisch die Richtlinie und haben Amazon Inspector aktiviert und mit dem delegierten Amazon Inspector-Administrator verknüpft. Mit den Amazon Inspector Inspector-Richtlinien können Sie EC2 Amazon-Scanning, Amazon ECR-Scannen oder Lambda Standard- und Code-Scanning sowie Code Security aktivieren. Spezifische Konfigurationseinstellungen und Unterdrückungsregeln können über das delegierte Administratorkonto der Organisation verwaltet werden.

Wenn Sie Ihrer Organisation oder Organisationseinheit eine Amazon Inspector Inspector-Richtlinie zuordnen, bewertet AWS Organizations die Richtlinie automatisch und wendet sie auf der Grundlage des von Ihnen definierten Geltungsbereichs an. Der Prozess zur Durchsetzung von Richtlinien folgt bestimmten Regeln zur Konfliktlösung:

Wenn Regionen sowohl in der Aktivierungs- als auch in der Deaktivierungsliste aufgeführt werden, hat die Deaktivierungskonfiguration Vorrang. Wenn beispielsweise eine Region sowohl in der Aktivierungs- als auch in der Deaktivierungskonfiguration aufgeführt ist, wird Amazon Inspector in dieser Region deaktiviert.
Wenn für die Aktivierung angegeben ALL_SUPPORTED ist, ist Amazon Inspector in allen aktuellen und future Regionen aktiviert, sofern es nicht ausdrücklich deaktiviert ist. Auf diese Weise können Sie auch bei der AWS Expansion in neue Regionen einen umfassenden Versicherungsschutz aufrechterhalten.
Richtlinien für untergeordnete Unternehmen können die Einstellungen der übergeordneten Richtlinien mithilfe von Vererbungsoperatoren ändern, sodass eine detaillierte Steuerung auf verschiedenen Organisationsebenen möglich ist. Dieser hierarchische Ansatz stellt sicher, dass bestimmte Organisationseinheiten ihre Sicherheitseinstellungen anpassen und gleichzeitig die grundlegenden Kontrollen beibehalten können.

Terminologie

In diesem Thema werden die folgenden Begriffe verwendet, wenn es um die Richtlinien von Amazon Inspector geht.

Begriff	Definition
Effektive Richtlinie	Die endgültige Richtlinie, die für ein Konto gilt, nachdem alle geerbten Richtlinien kombiniert wurden.
Richtlinienvererbung	Der Prozess, bei dem Konten Richtlinien von übergeordneten Organisationseinheiten übernehmen.
Delegierter Administrator	Ein Konto, das für die Verwaltung der Amazon Inspector Inspector-Richtlinien im Namen der Organisation bestimmt ist.
Servicegebundene Rolle	Eine IAM-Rolle, die es Amazon Inspector ermöglicht, mit anderen AWS Diensten zu interagieren.

Anwendungsfälle für Amazon Inspector Inspector-Richtlinien

Organizations, die umfangreiche Workloads auf mehrere Konten verteilen, können diese Richtlinie verwenden, um sicherzustellen, dass alle Konten sofort die richtigen Scantypen aktivieren und Lücken vermeiden. In Umgebungen, in denen gesetzliche Vorschriften gelten oder die Einhaltung gesetzlicher Vorschriften eingehalten wird, können untergeordnete Richtlinien verwendet werden, um die Scantypen je nach Organisationseinheit außer Kraft zu setzen oder einzuschränken. Umgebungen mit schnellem Wachstum können die Aktivierung neu erstellter Konten automatisieren, sodass diese stets mit dem Basiswert konform sind.

Vererbung und Durchsetzung von Richtlinien

Für ein effektives Sicherheitsmanagement in Ihrem Unternehmen ist es entscheidend zu verstehen, wie Richtlinien vererbt und durchgesetzt werden. Das Vererbungsmodell folgt der AWS Organisationshierarchie und gewährleistet so eine vorhersehbare und konsistente Richtlinienanwendung.

Richtlinien, die auf der Stammebene angehängt sind, gelten für alle Konten
Konten erben Richtlinien von ihren übergeordneten Organisationseinheiten
Für ein einzelnes Konto können mehrere Richtlinien gelten
Spezifischere Richtlinien (die dem Konto in der Hierarchie näher kommen) haben Vorrang

Richtlinienvalidierung

Bei der Erstellung von Amazon Inspector Inspector-Richtlinien werden die folgenden Validierungen durchgeführt:

Regionsnamen müssen gültige AWS Regionskennungen sein
Regionen müssen von Amazon Inspector unterstützt werden
Die Richtlinienstruktur muss den AWS Syntaxregeln der Unternehmensrichtlinien entsprechen
enable_in_regionsSowohl als auch disable_in_regions Listen müssen vorhanden sein, können aber auch leer sein

Regionale Überlegungen und geförderte Regionen

Die Richtlinien von Amazon Inspector gelten nur in Regionen, in denen Amazon Inspector und AWS Organizations Trusted Access verfügbar sind. Wenn Sie das regionale Verhalten verstehen, können Sie effektive Sicherheitskontrollen in der gesamten globalen Präsenz Ihres Unternehmens implementieren.

Die Durchsetzung der Richtlinien erfolgt in jeder Region unabhängig
Sie können angeben, welche Regionen in Ihre Richtlinien aufgenommen oder ausgeschlossen werden sollen
Neue Regionen werden automatisch berücksichtigt, wenn Sie die ALL_SUPPORTED Option verwenden
Die Richtlinien gelten nur für Regionen, in denen Amazon Inspector verfügbar ist

Verhalten bei Distanzierung

Wenn Sie eine Amazon Inspector-Richtlinie trennen, bleibt Amazon Inspector für zuvor abgedeckte Konten aktiviert. Bei future Änderungen an der Organisationsstruktur (z. B. der Beitritt neuer Konten oder der Umzug vorhandener Konten in die Organisationseinheit) wird Amazon Inspector jedoch nicht mehr automatisch aktiviert. Jede weitere Aktivierung muss manuell oder durch erneutes Anhängen einer Richtlinie erfolgen.

Zusätzliche Einzelheiten

Delegierter Administrator

In einer Organisation kann nur ein delegierter Administrator für Amazon Inspector registriert werden. Sie müssen dies in der Amazon Inspector Inspector-Konsole oder über konfigurieren, APIs bevor Sie Amazon Inspector Inspector-Richtlinien anhängen.

Voraussetzungen

Sie müssen vertrauenswürdigen Zugriff für AWS Organizations aktivieren, einen delegierten Administrator für Amazon Inspector registriert haben und für alle Konten dienstbezogene Rollen verfügbar haben.

Unterstützte Regionen

Alle Regionen, in denen Amazon Inspector verfügbar ist.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Syntax und Beispiele für Amazon Bedrock-Richtlinien

Erste Schritte