Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Syntax und Beispiele für Amazon Inspector Inspector-Richtlinien

Die Richtlinien von Amazon Inspector folgen einer standardisierten JSON-Syntax, die definiert, wie Amazon Inspector in Ihrer Organisation aktiviert und konfiguriert wird. Eine Amazon Inspector Inspector-Richtlinie ist ein JSON-Dokument, das gemäß der Syntax der Verwaltungsrichtlinien der AWS Organizations strukturiert ist. Es definiert, für welche Organisationseinheiten Amazon Inspector automatisch aktiviert wird.

Grundlegende Richtlinienstruktur

Eine Amazon Inspector Inspector-Richtlinie verwendet diese grundlegende Struktur:

{
    "inspector": {
        "enablement": {
            "ec2_scanning": {
                "enable_in_regions": {
                    "@@assign": ["us-east-1", "us-west-2"]
                },
                "disable_in_regions": {
                    "@@assign": ["eu-west-1"]
                }
            }
        }
    }
}

Richtlinienkomponenten

Die Richtlinien von Amazon Inspector enthalten die folgenden Schlüsselkomponenten:

Beispiele für Richtlinien von Amazon Inspector

Die folgenden Beispiele zeigen gängige Amazon Inspector Inspector-Richtlinienkonfigurationen.

Beispiel 1 — Amazon Inspector unternehmensweit aktivieren

Das folgende Beispiel aktiviert Amazon Inspector in us-east-1 und us-west-2 für alle Konten im Organisationsstamm.

Erstellen Sie eine Dateiinspector-policy-enable.json:

{
  "inspector": {
    "enablement": {
      "lambda_standard_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "lambda_code_scanning": {
          "enable_in_regions": {
            "@@assign": [
              "us-east-1",
              "us-west-2"
            ]
          },
          "disable_in_regions": {
            "@@assign": [
              "eu-west-1"
            ]
          }
        }
      },
      "ec2_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      },
      "ecr_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      },
      "code_repository_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      }
    }
  }
}

Wenn sie an das Stammkonto angehängt sind, aktivieren alle Konten in der Organisation automatisch Amazon Inspector, und ihre Scanergebnisse sind für den delegierten Amazon Inspector-Administrator verfügbar.

Erstellen Sie die Richtlinie und fügen Sie sie an:

POLICY_ID=$(aws organizations create-policy \
  --content file://inspector-policy-enable.json \
  --name InspectorOrgPolicy \
  --type INSPECTOR_POLICY \
  --description "Inspector organization policy to enable all resources in IAD and PDX." \
  --query 'Policy.PolicySummary.Id' \
  --output text)
aws organizations attach-policy --policy-id $POLICY_ID --target-id <root-id>

Jedes neue Konto, das der Organisation beitritt, erbt automatisch die Aktivierung.

Wenn die Verbindung getrennt wird, bleiben bestehende Konten aktiviert, future Konten werden jedoch nicht automatisch aktiviert:

aws organizations detach-policy --policy-id $POLICY_ID --target-id <root-id>

Beispiel 2 — Amazon Inspector für eine bestimmte Organisationseinheit aktivieren

Erstellen Sie eine Dateiinspector-policy-eu-west-1.json:

{
  "inspector": {
    "enablement": {
      "lambda_standard_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        },
        "lambda_code_scanning": {
          "enable_in_regions": {
            "@@assign": [
              "eu-west-1"
            ]
          },
          "disable_in_regions": {
            "@@assign": [
              "eu-west-2"
            ]
          }
        }
      },
      "ec2_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      },
      "ecr_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      },
      "code_repository_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      }
    }
  }
}

Hängen Sie dies an eine Organisationseinheit an, um sicherzustellen, dass Amazon Inspector für alle Produktionskonten aktiviert und mit dem delegierten Amazon Inspector-Administrator verknüpft ist: eu-west-1

aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)"
aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678

Konten außerhalb der Organisationseinheit sind davon nicht betroffen.