Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Sintaxis y ejemplos de políticas de Amazon Inspector
Las políticas de Amazon Inspector siguen una sintaxis JSON estandarizada que define cómo se habilita y configura Amazon Inspector en toda la organización. Una política de Amazon Inspector es un documento JSON estructurado según la sintaxis de la AWS política de gestión de Organizations. Define qué entidades organizativas tendrán Amazon Inspector activado automáticamente.
Estructura básica de las políticas
La política de Amazon Inspector utiliza esta estructura básica:
{ "inspector": { "enablement": { "ec2_scanning": { "enable_in_regions": { "@@assign": ["us-east-1", "us-west-2"] }, "disable_in_regions": { "@@assign": ["eu-west-1"] } } } } }
Componentes de política
Las políticas de Amazon Inspector contienen los siguientes componentes clave:
inspector-
La clave de nivel superior de los documentos de política de Amazon Inspector, necesaria para todas las políticas de Amazon Inspector.
enablement-
Define cómo se habilita Amazon Inspector en toda la organización y contiene las configuraciones de los tipos de escaneo.
Regions (Array of Strings)-
Especifica las regiones en las que Amazon Inspector debe activarse automáticamente.
Ejemplos de políticas de Amazon Inspector
Los siguientes ejemplos muestran las configuraciones de políticas habituales de Amazon Inspector.
Ejemplo 1: Habilitar Amazon Inspector en toda la organización
El siguiente ejemplo habilita Amazon Inspector en us-east-1 y us-west-2 para todas las cuentas de la raíz de la organización.
Cree un archivo de inspector-policy-enable.json:
{ "inspector": { "enablement": { "lambda_standard_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] }, "lambda_code_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } } }, "ec2_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } }, "ecr_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } }, "code_repository_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } } } } }
Cuando se adjuntan a la raíz, todas las cuentas de la organización habilitan Amazon Inspector automáticamente y los resultados de sus escaneos están disponibles para el administrador delegado de Amazon Inspector.
Crea y adjunta la política:
POLICY_ID=$(aws organizations create-policy \ --content file://inspector-policy-enable.json \ --name InspectorOrgPolicy \ --type INSPECTOR_POLICY \ --description "Inspector organization policy to enable all resources in IAD and PDX." \ --query 'Policy.PolicySummary.Id' \ --output text) aws organizations attach-policy --policy-id $POLICY_ID --target-id <root-id>
Cualquier cuenta nueva que se una a la organización hereda automáticamente la habilitación.
Si se separan, las cuentas existentes permanecen habilitadas, pero las cuentas futuras no se habilitan automáticamente:
aws organizations detach-policy --policy-id $POLICY_ID --target-id <root-id>
Ejemplo 2: Habilitar Amazon Inspector para una unidad organizativa específica
Cree un archivo de inspector-policy-eu-west-1.json:
{ "inspector": { "enablement": { "lambda_standard_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] }, "lambda_code_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } } }, "ec2_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } }, "ecr_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } }, "code_repository_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } } } } }
Adjunte esto a una OU para asegurarse de que todas las cuentas de producción eu-west-1 tengan Amazon Inspector activado y vinculado al administrador delegado de Amazon Inspector:
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)" aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
Las cuentas fuera de la OU no se ven afectadas.
