Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Amazon Inspector y AWS Organizations
Amazon Inspector es un servicio automatizado de gestión de vulnerabilidades que analiza continuamente las cargas de trabajo de Amazon EC2 y de los contenedores para detectar vulnerabilidades de software y exposiciones no intencionadas en la red.
Con Amazon Inspector, puede administrar varias cuentas asociadas simplemente delegando una cuenta de administrador para Amazon Inspector. AWS Organizations El administrador delegado administra Amazon Inspector para la organización y recibe permisos especiales para realizar tareas en nombre de su organización, tales como:
-
Habilitar o desactivar los análisis de cuentas de miembro
-
Ver datos de búsqueda agregados de toda la organización
-
Crear y administrar reglas de supresión
Para obtener más información, consulte Administración de varias cuentas con AWS Organizations en la Guía del usuario de Amazon Inspector.
Utilice la siguiente información para ayudarle a integrar Amazon Inspector con AWS Organizations.
Roles vinculados al servicio creados al habilitar la integración
El siguiente rol vinculado al servicio se crea automáticamente en la cuenta de administración de su organización cuando habilita el acceso de confianza. Este rol permite a Amazon Inspector realizar operaciones soportadas en las cuentas de su organización.
Puede eliminar o modificar este rol sólo si desactiva el acceso de confianza entre Amazon Inspector y Organizations, o si elimina la cuenta de miembro de la organización.
-
AWSServiceRoleForAmazonInspector2
Para obtener más información, consulte Uso de roles vinculados a servicios de Amazon Inspector en la Guía del usuario de Amazon Inspector.
Los principales de servicios utilizados por los roles vinculados a servicios
El rol vinculado al servicio de la sección anterior solo puede ser asumido por las entidades de servicio autorizadas por las relaciones de confianza definidas para el rol. Los roles vinculados al servicio utilizados por Amazon Inspector permiten el acceso a los siguientes entidades de servicio:
-
inspector2.amazonaws.com
Para habilitar el acceso de confianza con Amazon Inspector
Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.
Amazon Inspector requiere un acceso AWS Organizations de confianza antes de poder designar una cuenta de miembro como administrador delegado de este servicio para su organización.
Al designar un administrador delegado para Amazon Inspector, Amazon Inspector habilita automáticamente el acceso de confianza a Amazon Inspector para su organización.
Sin embargo, si desea configurar una cuenta de administrador delegado mediante la AWS
CLI o una de las AWS SDKs, debe llamar explícitamente a la EnableAWSServiceAccess
operación y proporcionar el principal de servicio como parámetro. A continuación, puede llamar a EnableDelegatedAdminAccount
para delegar la cuenta de administrador del Inspector.
Puede habilitar el acceso confiable ejecutando un AWS CLI comando de Organizations o llamando a una operación de API de Organizations en uno de los AWS SDKs.
nota
Si utiliza el API EnableAWSServiceAccess
, también necesita llamar a EnableDelegatedAdminAccount
para delegar la cuenta de administrador del Inspector.
Para desactivar el acceso de confianza con Amazon Inspector
Para obtener información acerca de los permisos necesarios para deshabilitar el acceso de confianza, consulte Permisos necesarios para deshabilitar el acceso de confianza.
Solo un administrador de la cuenta AWS Organizations de administración puede deshabilitar el acceso de confianza con Amazon Inspector.
Solo puede deshabilitar el acceso de confianza mediante las herramientas de Organizations.
Puede deshabilitar el acceso de confianza ejecutando un AWS CLI comando de Organizations o llamando a una operación de la API de Organizations en uno de los AWS SDKs.
Habilitación de una cuenta de administrador delegado para Amazon Inspector
Con Amazon Inspector, puede administrar varias cuentas de una organización mediante un administrador delegado con AWS Organizations servicio.
La cuenta AWS Organizations de administración designa una cuenta de la organización como cuenta de administrador delegado de Amazon Inspector. El administrador delegado administra Amazon Inspector para la organización y se le conceden permisos especiales para realizar tareas en nombre de su organización, tales como: habilitar o desactivar los escaneos para las cuentas de los miembros, ver los datos de búsqueda agregados de toda la organización y crear y administrar las reglas de supresión
Para obtener información sobre cómo un administrador delegado administra las cuentas de la organización, consulte Descripción de la relación entre las cuentas de administrador y de miembro en la Guía del usuario de Amazon Inspector.
Sólo un administrador de la cuenta de administración de la organización puede configurar un administrador delegado para Amazon Inspector.
Puede especificar una cuenta de administrador delegada desde la consola o la API de Amazon Inspector, o utilizando la operación de la CLI o el SDK de Organizations.
Permisos mínimos
Solo un usuario o rol de la cuenta de administración de Organizations puede configurar una cuenta de miembro como administrador delegado para Amazon Inspector en la organización
Para configurar un administrador delegado mediante la consola de Amazon Inspector, consulte Paso 1: Habilitar Amazon Inspector - Entorno multicuenta en la Guía del usuario de Amazon Inspector.
nota
Debe llamar a inspector2:enableDelegatedAdminAccount
en cada región en la que se utiliza Amazon Inspector.
Desactivación de un administrador delegado para Amazon Inspector
Solo un administrador de la cuenta AWS Organizations de administración puede eliminar una cuenta de administrador delegado de la organización.
Puede eliminar el administrador delegado mediante la consola o la API de Amazon Inspector, o bien mediante la operación del SDK o de la CLI DeregisterDelegatedAdministrator
de las Organizations. Para quitar un administrador delegado mediante la consola de Amazon Inspector, consulte Eliminación de un administrador delegado en la Guía del usuario de Amazon Inspector.