

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Sintaxis y ejemplos de políticas de Amazon Inspector
<a name="orgs_manage_policies_inspector_syntax"></a>

Las políticas de Amazon Inspector siguen una sintaxis JSON estandarizada que define cómo se habilita y configura Amazon Inspector en toda la organización. Una política de Amazon Inspector es un documento JSON estructurado según la sintaxis de la AWS política de gestión de Organizations. Define qué entidades organizativas tendrán Amazon Inspector activado automáticamente.

## Consideraciones clave para las políticas de Amazon Inspector
<a name="inspector-policy-considerations"></a>

Antes de crear las políticas de Amazon Inspector, comprenda estos puntos clave sobre la sintaxis de las políticas:
+ `enable_in_regions`Tanto `disable_in_regions` las listas como las dos son obligatorias para cada tipo de escaneo incluido en la política, aunque pueden ser matrices vacías (`"@@assign": []`).
+ A la hora de procesar políticas efectivas, `disable_in_regions` prevalece sobre. `enable_in_regions` Si una región aparece en ambas listas, el escaneo se deshabilitará en esa región.
+ Las políticas secundarias pueden modificar las políticas principales mediante operadores de herencia (`@@assign`,`@@append`,`@@remove`) a menos que estén explícitamente restringidos.
+ La `ALL_SUPPORTED` designación incluye las AWS regiones actuales y futuras en las que Amazon Inspector está disponible.
+ Los nombres de las regiones deben ser AWS regiones válidas en las que se admita Amazon Inspector. Los nombres de región no válidos provocarán un error de validación.

## Estructura básica de las políticas
<a name="inspector-basic-structure"></a>

La política de Amazon Inspector utiliza esta estructura básica. Cada tipo de escaneo requiere ambos `enable_in_regions` y`disable_in_regions`, aunque uno de ellos, sea una matriz vacía.

```
{
    "inspector": {
        "enablement": {
            "ec2_scanning": {
                "enable_in_regions": {
                    "@@assign": ["us-east-1", "us-west-2"]
                },
                "disable_in_regions": {
                    "@@assign": ["eu-west-1"]
                }
            }
        }
    }
}
```

## Componentes de política
<a name="inspector-policy-components"></a>

Las políticas de Amazon Inspector contienen los siguientes componentes clave:

`inspector`  
La clave de nivel superior de los documentos de política de Amazon Inspector, necesaria para todas las políticas de Amazon Inspector.

`enablement`  
Define cómo se habilita Amazon Inspector en toda la organización y contiene las configuraciones de los tipos de escaneo.

`Regions (Array of Strings)`  
Especifica las regiones en las que Amazon Inspector debe activarse automáticamente.

## Tipos de exámenes
<a name="inspector-scan-types"></a>


| Tipo de análisis | Key | Obligatorio | 
| --- | --- | --- | 
| Análisis estándar de Lambda | lambda\_standard\_scanning | No | 
| Análisis de código de Lambda | lambda\_standard\_scanning.lambda\_code\_scanning | No | 
| Escaneo EC2 | ec2\_scanning | No | 
| Escaneo ECR | ecr\_scanning | No | 
| Escaneo de repositorios de códigos | code\_repository\_scanning | No | 

Cada tipo de escaneo es opcional; incluya solo los tipos de escaneo que desee configurar. Sin embargo, para cada tipo de escaneo que incluya, ambos `enable_in_regions` `disable_in_regions` son obligatorios.

## Ejemplos de políticas de Amazon Inspector
<a name="inspector-policy-examples"></a>

Los siguientes ejemplos muestran las configuraciones de políticas habituales de Amazon Inspector.

### Ejemplo 1: Habilitar Amazon Inspector en toda la organización
<a name="inspector-example-org-wide"></a>

El siguiente ejemplo habilita Amazon Inspector en `us-east-1` y `us-west-2` para todas las cuentas de la raíz de la organización.

Cree un archivo de `inspector-policy-enable.json`:

```
{
  "inspector": {
    "enablement": {
      "lambda_standard_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "lambda_code_scanning": {
          "enable_in_regions": {
            "@@assign": [
              "us-east-1",
              "us-west-2"
            ]
          },
          "disable_in_regions": {
            "@@assign": [
              "eu-west-1"
            ]
          }
        }
      },
      "ec2_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      },
      "ecr_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      },
      "code_repository_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      }
    }
  }
}
```

Cuando se adjuntan a la raíz, todas las cuentas de la organización habilitan Amazon Inspector automáticamente y los resultados de sus escaneos están disponibles para el administrador delegado de Amazon Inspector.

Crea y adjunta la política:

```
POLICY_ID=$(aws organizations create-policy \
  --content file://inspector-policy-enable.json \
  --name InspectorOrgPolicy \
  --type INSPECTOR_POLICY \
  --description "Inspector organization policy to enable all resources in IAD and PDX." \
  --query 'Policy.PolicySummary.Id' \
  --output text)
aws organizations attach-policy --policy-id $POLICY_ID --target-id <root-id>
```

Cualquier cuenta nueva que se una a la organización hereda automáticamente la habilitación.

Si se separan, las cuentas existentes permanecen habilitadas, pero las cuentas futuras no se habilitan automáticamente:

```
aws organizations detach-policy --policy-id $POLICY_ID --target-id <root-id>
```

### Ejemplo 2: Habilitar Amazon Inspector para una unidad organizativa específica
<a name="inspector-example-specific-ou"></a>

Cree un archivo de `inspector-policy-eu-west-1.json`:

```
{
  "inspector": {
    "enablement": {
      "lambda_standard_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        },
        "lambda_code_scanning": {
          "enable_in_regions": {
            "@@assign": [
              "eu-west-1"
            ]
          },
          "disable_in_regions": {
            "@@assign": [
              "eu-west-2"
            ]
          }
        }
      },
      "ec2_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      },
      "ecr_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      },
      "code_repository_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      }
    }
  }
}
```

Adjunte esto a una OU para asegurarse de que todas las cuentas de producción `eu-west-1` tengan Amazon Inspector activado y vinculado al administrador delegado de Amazon Inspector:

```
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)"
aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
```

Las cuentas fuera de la OU no se ven afectadas.