Descripción de la cuenta de administrador delegado y la cuenta de miembro en Amazon Inspector - Amazon Inspector
Modelo de gobierno de la política de la organizaciónAcciones del administrador delegadoAcciones de las cuentas de miembros

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción de la cuenta de administrador delegado y la cuenta de miembro en Amazon Inspector

Cuando se utiliza Amazon Inspector en un entorno con varias cuentas, la cuenta de administrador delegado tiene acceso a metadatos específicos. Los metadatos incluyen el escaneo estándar para Amazon EC2, Amazon ECR y Lambda, y el escaneo de código Lambda. También incluye los resultados de las búsquedas de seguridad de las cuentas de los miembros. En esta sección se proporciona información sobre las acciones que puede realizar la cuenta de administrador delegado y las que pueden realizar las cuentas de los miembros.

Modelo de gobierno de la política de la organización

Cuando se utilizan AWS Organizations políticas para habilitar Amazon Inspector, se aplica un modelo de gobierno que determina qué acciones están permitidas:

Recursos gestionados por políticas

Los administradores delegados o las cuentas de los miembros no pueden modificar los recursos habilitados o deshabilitados explícitamente por las políticas de la organización. Las solicitudes de API para habilitar o deshabilitar los tipos de análisis gestionados por políticas fallarán y aparecerá un error claro que indicará que el recurso está gestionado por la política de la organización.

Non-policy-managed resources

Los recursos no especificados en las políticas de la organización pueden gestionarlos normalmente administradores delegados y cuentas de miembros mediante la consola o la API de Amazon Inspector.

Escanea la gestión de la configuración

Los administradores delegados siempre pueden configurar los ajustes de escaneo, como los modos de EC2 escaneo, las rutas de inspección exhaustiva y la duración de los nuevos escaneos del ECR, independientemente de si los tipos de recursos se gestionan o no mediante políticas. Las políticas de la organización solo controlan si el escaneo está habilitado, no su funcionamiento.

Para obtener más información sobre la creación y la gestión de las políticas organizativas de Amazon Inspector, consulte la AWS Organizations documentación de las políticas de Amazon Inspector.

Acciones del administrador delegado

Por lo general, cuando el administrador delegado aplica la configuración a su cuenta, esa configuración se aplica a todas las demás cuentas de la organización. El administrador delegado también puede ver y recuperar la información de su propia cuenta y de cualquier miembro asociado. Desde una cuenta de administrador delegado de Amazon Inspector, se pueden realizar las siguientes acciones:

  • Solo la cuenta AWS Organizations de administración puede designar y eliminar a un administrador delegado.

  • Al designar a un administrador delegado, debe pertenecer a la misma organización que las cuentas de miembros que desea administrar.

  • Consultar y administrar el estado de Amazon Inspector en las cuentas asociadas, incluida la activación y desactivación de Amazon Inspector.

  • Activar o desactivar los tipos de análisis para todas las cuentas de miembros de la organización.

  • Consultar datos de resultados agregados de toda la organización y detalles de los resultados de todas las cuentas de miembros de la organización.

  • Crear y administrar reglas de supresión que se aplican a los resultados en todas las cuentas de la organización.

  • Activar el análisis mejorado de Amazon ECR para todos los miembros de la organización.

  • Ver la cobertura de los recursos de toda la organización.

  • Definir la duración de los análisis repetidos y automatizados de imágenes de contenedores de ECR para todas las cuentas de miembros de la organización. La duración del análisis que haya establecido el administrador delegado reemplaza cualquier valor que se haya establecido en una cuenta de miembro. Todas las cuentas de la organización comparten la duración de la repetición del análisis automatizada de Amazon ECR de los administradores delegados. No puede establecer diferentes duraciones de la repetición del análisis para cuentas individuales.

  • Especifica cinco rutas personalizadas para la inspección profunda de Amazon Inspector para Amazon EC2 que se utilizarán en todas las cuentas de la organización. Estas rutas se añaden a las cinco rutas personalizadas que un administrador delegado puede establecer en su cuenta. Para obtener más información acerca de la configuración de rutas personalizadas de inspección profunda, consulte Rutas personalizadas para la inspección profunda de Amazon Inspector.

  • Active y desactive la inspección profunda de Amazon Inspector para las cuentas de miembros.

  • Exporta SBOMs para cualquier cuenta de miembro de la organización.

  • Configura el modo de EC2 escaneo de Amazon para todas las cuentas de los miembros de la organización. Para obtener más información, consulte Cómo administrar el modo de análisis.

  • Cree y administre las configuraciones de análisis del CIS para todas las cuentas de la organización, excepto las configuraciones de análisis creadas por las cuentas de los miembros.

    nota

    Si la cuenta de un miembro abandona la organización, el administrador delegado ya no podrá ver las configuraciones de análisis programadas por esa cuenta.

  • Consulte los resultados del análisis del CIS de todas las cuentas de la organización.

  • Cuando se utilizan las políticas de la organización, configura los ajustes de escaneo para los recursos administrados por políticas, pero no puedes habilitar ni deshabilitar los tipos de escaneo administrados por políticas en sí mismos.

Acciones de las cuentas de miembros

Una cuenta de miembro puede ver y recuperar información sobre su cuenta en Amazon Inspector, mientras que la configuración de la cuenta la administra el administrador delegado. Las cuentas de miembros de una organización pueden realizar las siguientes tareas en Amazon Inspector:

  • Activar Amazon Inspector en su cuenta.

  • Consultar la cobertura de recursos de su cuenta.

  • Ver detalles de los resultados de su cuenta.

  • Consultar la duración de los análisis repetidos y automatizados de imágenes de contenedores de ECR para su cuenta.

  • Especifique cinco rutas personalizadas para la inspección profunda de Amazon Inspector, EC2 que se utilizarán en su cuenta individual. Estas rutas se analizan junto con el resto de rutas personalizadas que el administrador delegado haya especificado para la organización. Para obtener más información acerca de la configuración de rutas de inspección profunda, consulte Rutas personalizadas para la inspección profunda de Amazon Inspector.

  • Ver las rutas personalizadas que haya establecido el administrador delegado para la inspección profunda de Amazon Inspector.

  • Exporte SBOMs cualquier recurso asociado a su cuenta.

  • Ver el modo de análisis de su cuenta.

  • Cree y administre las configuraciones de análisis del CIS para la cuenta.

  • Consulte los resultados de cualquier análisis del CIS de los recursos de la cuenta, incluidos los programados por el administrador delegado.

  • Habilite los tipos de escaneo que no estén gestionados por las políticas de la organización. Las cuentas de los miembros no pueden habilitar ni deshabilitar los tipos de escaneo administrados por políticas.

nota

Una vez que se haya activado Amazon Inspector, solo podrá desactivarlo la cuenta de administrador delegado.