Comprendre le compte administrateur délégué et le compte membre dans Amazon Inspector - Amazon Inspector
Modèle de gouvernance des politiques de l'organisationActions d'administrateur déléguéesActions relatives aux comptes des membres

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre le compte administrateur délégué et le compte membre dans Amazon Inspector

Lorsque vous utilisez Amazon Inspector dans un environnement multi-comptes, le compte d'administrateur délégué a accès à des métadonnées spécifiques. Les métadonnées incluent le scan standard pour Amazon EC2, Amazon ECR et Lambda, ainsi que le scan du code Lambda. Il inclut également les résultats des recherches de sécurité pour les comptes des membres. Cette section fournit des informations sur les actions que le compte administrateur délégué peut effectuer et les comptes membres peuvent effectuer.

Modèle de gouvernance des politiques de l'organisation

Lorsque AWS Organizations des politiques sont utilisées pour activer Amazon Inspector, un modèle de gouvernance est appliqué qui détermine les actions autorisées :

Ressources gérées par des politiques

Les ressources explicitement activées ou désactivées par les politiques de l'organisation ne peuvent pas être modifiées par les administrateurs délégués ou les comptes membres. Les demandes d'API pour activer ou désactiver les types de scan gérés par des politiques échoueront avec une erreur claire indiquant que la ressource est gérée par la politique de l'organisation.

Non-policy-managed resources

Les ressources non spécifiées dans les politiques de l'organisation peuvent être gérées normalement par les administrateurs délégués et les comptes membres à l'aide de la console ou de l'API Amazon Inspector.

Gestion de la configuration du scan

Les administrateurs délégués peuvent toujours configurer les paramètres de numérisation tels que les modes de EC2 numérisation, les chemins d'inspection approfondis et les durées de nouvelle analyse ECR, que les types de ressources soient ou non gérés par des règles. Les politiques de l'organisation contrôlent uniquement si le scan est activé, et non son mode de fonctionnement.

Pour plus d'informations sur la création et la gestion des politiques d'organisation Amazon Inspector, consultez la AWS Organizations documentation relative aux politiques Amazon Inspector.

Actions d'administrateur déléguées

Généralement, lorsque l'administrateur délégué applique des paramètres à son compte, ces paramètres sont appliqués à tous les autres comptes de l'organisation. L'administrateur délégué peut également consulter et récupérer des informations pour son propre compte et pour tout membre associé. Un compte d'administrateur délégué Amazon Inspector peut effectuer les actions suivantes :

  • Seul le compte AWS Organizations de gestion peut désigner et révoquer un administrateur délégué.

  • Lorsque vous désignez un administrateur délégué, vous devez appartenir à la même organisation que les comptes de membres que vous souhaitez gérer.

  • Consultez et gérez le statut d'Amazon Inspector pour les comptes associés, notamment en activant et en désactivant Amazon Inspector.

  • Activez ou désactivez les types de numérisation pour tous les comptes membres de l'organisation.

  • Consultez les données de recherche agrégées au sein de l'organisation et les informations de recherche pour tous les comptes membres de l'organisation.

  • Créez et gérez des règles de suppression qui s'appliquent aux résultats de tous les comptes de l'organisation.

  • Activez le scan amélioré Amazon ECR pour tous les membres de l'organisation.

  • Consultez la couverture des ressources pour l'ensemble de l'organisation.

  • Définissez la durée des nouvelles analyses automatisées des images des conteneurs ECR pour tous les comptes membres de l'organisation. Le paramètre de durée de scan de l'administrateur délégué remplace tous les paramètres précédemment définis par le compte membre. Tous les comptes de l'organisation partagent la durée de réanalyse automatique Amazon ECR des administrateurs délégués. Vous ne pouvez pas définir des durées de nouvelle analyse différentes pour des comptes individuels.

  • Spécifiez cinq chemins personnalisés pour l'inspection approfondie d'Amazon Inspector EC2 qui seront utilisés pour tous les comptes de l'organisation. Cela s'ajoute aux cinq chemins personnalisés qu'un administrateur délégué peut définir pour son compte individuel. Pour plus d'informations sur la configuration de chemins personnalisés d'inspection approfondie, consultezChemins personnalisés pour l'inspection approfondie d'Amazon Inspector.

  • Activez et désactivez l'inspection approfondie d'Amazon Inspector pour les comptes des membres.

  • Exportez SBOMs pour tous les comptes membres de l'organisation.

  • Définissez le mode de EC2 scan Amazon pour tous les comptes membres de l'organisation. Pour de plus amples informations, veuillez consulter Gestion du mode de numérisation.

  • Créez et gérez les configurations de scan CIS pour tous les comptes de l'organisation, à l'exception des configurations de scan créées par les comptes membres.

    Note

    Si le compte d'un membre quitte l'organisation, l'administrateur délégué ne pourra plus voir les configurations de scan planifiées par ce compte.

  • Consultez les résultats du scan CIS pour tous les comptes de l'organisation.

  • Lorsque les politiques de l'organisation sont utilisées, configurez les paramètres de scan pour les ressources gérées par des politiques, mais vous ne pouvez pas activer ou désactiver les types de scan gérés par des politiques eux-mêmes.

Actions relatives aux comptes des membres

Un compte membre peut consulter et récupérer des informations sur son compte dans Amazon Inspector, tandis que les paramètres de son compte sont gérés par l'administrateur délégué. Les comptes membres d'une organisation peuvent effectuer les actions suivantes dans Amazon Inspector :

  • Activez Amazon Inspector pour leur propre compte.

  • Consultez la couverture des ressources pour leur propre compte.

  • Afficher le détail des résultats pour leur propre compte.

  • Consultez le paramètre de durée de numérisation automatique de l'image du conteneur ECR pour leur propre compte.

  • Spécifiez cinq chemins personnalisés pour l'inspection approfondie d'Amazon Inspector EC2 qui seront utilisés pour leur compte individuel. Ces chemins sont analysés en plus des chemins personnalisés que l'administrateur délégué a spécifiés pour l'organisation. Pour plus d'informations sur la configuration des chemins d'inspection approfondis, consultezChemins personnalisés pour l'inspection approfondie d'Amazon Inspector.

  • Consultez les chemins personnalisés définis par votre administrateur délégué pour l'inspection approfondie d'Amazon Inspector.

  • Exportez toutes SBOMs les ressources associées à leur compte.

  • Consultez le mode de numérisation de leur compte.

  • Créez et gérez les configurations de scan CIS pour leur compte.

  • Consultez les résultats de toutes les analyses CIS des ressources de leur compte, y compris celles planifiées par l'administrateur délégué.

  • Activez les types de scan qui ne sont pas gérés par les politiques de l'organisation. Les types de scan gérés par des règles ne peuvent pas être activés ou désactivés par les comptes des membres.

Note

Après activation, Amazon Inspector ne peut être désactivé que par un compte d'administrateur délégué.