Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Amazon Inspector y AWS Organizations

Amazon Inspector es un servicio automatizado de gestión de vulnerabilidades que analiza continuamente las cargas de trabajo de Amazon EC2 y de los contenedores para detectar vulnerabilidades de software y exposiciones no intencionadas en la red.

Con Amazon Inspector, puede administrar varias cuentas asociadas simplemente delegando una cuenta de administrador para Amazon Inspector. AWS Organizations El administrador delegado administra Amazon Inspector para la organización y recibe permisos especiales para realizar tareas en nombre de su organización, tales como:

Para obtener más información, consulte Administración de varias cuentas con AWS Organizations en la Guía del usuario de Amazon Inspector.

Utilice la siguiente información para ayudarle a integrar Amazon Inspector con AWS Organizations.

Roles vinculados al servicio creados al habilitar la integración

El siguiente rol vinculado al servicio se crea automáticamente en la cuenta de administración de su organización cuando habilita el acceso de confianza. Este rol permite a Amazon Inspector realizar operaciones soportadas en las cuentas de su organización.

Puede eliminar o modificar este rol sólo si desactiva el acceso de confianza entre Amazon Inspector y Organizations, o si elimina la cuenta de miembro de la organización.

Para obtener más información, consulte Uso de roles vinculados a servicios de Amazon Inspector en la Guía del usuario de Amazon Inspector.

Los principales de servicios utilizados por los roles vinculados a servicios

El rol vinculado al servicio de la sección anterior solo puede ser asumido por las entidades de servicio autorizadas por las relaciones de confianza definidas para el rol. Los roles vinculados al servicio utilizados por Amazon Inspector permiten el acceso a los siguientes entidades de servicio:

Para habilitar el acceso de confianza con Amazon Inspector

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

Amazon Inspector requiere un acceso AWS Organizations de confianza antes de poder designar una cuenta de miembro como administrador delegado de este servicio para su organización.

Al designar un administrador delegado para Amazon Inspector, Amazon Inspector habilita automáticamente el acceso de confianza a Amazon Inspector para su organización.

Sin embargo, si desea configurar una cuenta de administrador delegado mediante la AWS CLI o una de las AWS SDKs, debe llamar explícitamente a la EnableAWSServiceAccess operación y proporcionar el principal de servicio como parámetro. A continuación, puede llamar a EnableDelegatedAdminAccount para delegar la cuenta de administrador del Inspector.

Puede habilitar el acceso confiable ejecutando un AWS CLI comando de Organizations o llamando a una operación de API de Organizations en uno de los AWS SDKs.

AWS CLI, AWS API

Para habilitar el acceso de confianza mediante Organizations CLI/SDK

Usa los siguientes AWS CLI comandos u operaciones de API para habilitar el acceso a un servicio confiable:

• AWS CLI: enable-aws-service-access

  Ejecute el siguiente comando para habilitar Amazon Inspector como un servicio de confianza en Organizations.

  $ aws organizations enable-aws-service-access \
      --service-principal inspector2.amazonaws.com

  Este comando no genera ninguna salida si se realiza correctamente.

• AWS API: habilita el AWSService acceso

Para desactivar el acceso de confianza con Amazon Inspector

Para obtener información acerca de los permisos necesarios para deshabilitar el acceso de confianza, consulte Permisos necesarios para deshabilitar el acceso de confianza.

Solo un administrador de la cuenta AWS Organizations de administración puede deshabilitar el acceso de confianza con Amazon Inspector.

Solo puede deshabilitar el acceso de confianza mediante las herramientas de Organizations.

Puede deshabilitar el acceso de confianza ejecutando un AWS CLI comando de Organizations o llamando a una operación de la API de Organizations en uno de los AWS SDKs.

AWS CLI, AWS API

Para deshabilitar el acceso de confianza mediante Organizations CLI/SDK

Usa los siguientes AWS CLI comandos u operaciones de API para deshabilitar el acceso a los servicios de confianza:

• AWS CLI: disable-aws-service-access

  Ejecute el siguiente comando para deshabilitar Amazon Inspector como servicio de confianza en Organizations.

  $ aws organizations disable-aws-service-access \
      --service-principal inspector2.amazonaws.com

  Este comando no genera ninguna salida si se realiza correctamente.

• AWS API: deshabilita el AWSService acceso

Habilitación de una cuenta de administrador delegado para Amazon Inspector

Con Amazon Inspector, puede administrar varias cuentas de una organización mediante un administrador delegado con AWS Organizations servicio.

La cuenta AWS Organizations de administración designa una cuenta de la organización como cuenta de administrador delegado de Amazon Inspector. El administrador delegado administra Amazon Inspector para la organización y se le conceden permisos especiales para realizar tareas en nombre de su organización, tales como: habilitar o desactivar los escaneos para las cuentas de los miembros, ver los datos de búsqueda agregados de toda la organización y crear y administrar las reglas de supresión

Para obtener información sobre cómo un administrador delegado administra las cuentas de la organización, consulte Descripción de la relación entre las cuentas de administrador y de miembro en la Guía del usuario de Amazon Inspector.

Sólo un administrador de la cuenta de administración de la organización puede configurar un administrador delegado para Amazon Inspector.

Puede especificar una cuenta de administrador delegada desde la consola o la API de Amazon Inspector, o utilizando la operación de la CLI o el SDK de Organizations.

Para configurar un administrador delegado mediante la consola de Amazon Inspector, consulte Paso 1: Habilitar Amazon Inspector - Entorno multicuenta en la Guía del usuario de Amazon Inspector.

AWS CLI, AWS API

Si desea configurar una cuenta de administrador delegado mediante la AWS CLI o una de las AWS SDKs, puede utilizar los siguientes comandos:

• AWS CLI:

  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal inspector2.amazonaws.com

• AWS SDK: llame a la RegisterDelegatedAdministrator operación de la organización y al número de identificación de la cuenta del miembro e identifique el principal de servicio de la cuenta account.amazonaws.com como parámetros.

Desactivación de un administrador delegado para Amazon Inspector

Solo un administrador de la cuenta AWS Organizations de administración puede eliminar una cuenta de administrador delegado de la organización.

Puede eliminar el administrador delegado mediante la consola o la API de Amazon Inspector, o bien mediante la operación del SDK o de la CLI DeregisterDelegatedAdministrator de las Organizations. Para quitar un administrador delegado mediante la consola de Amazon Inspector, consulte Eliminación de un administrador delegado en la Guía del usuario de Amazon Inspector.