Tutoriel de démarrage : Activation d'Amazon Inspector - Amazon Inspector

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel de démarrage : Activation d'Amazon Inspector

Cette rubrique explique comment activer Amazon Inspector pour un environnement de compte autonome (compte membre) et un environnement multi-comptes (compte administrateur délégué). Lorsque vous activez Amazon Inspector, celui-ci commence automatiquement à détecter les charges de travail et à les analyser pour détecter les vulnérabilités logicielles et les risques d'exposition involontaire au réseau.

Standalone account environment

La procédure suivante décrit comment activer Amazon Inspector dans la console pour un compte membre. Pour activer Amazon Inspector par programme, inspector2-. enablement-with-cli

  1. Connectez-vous à l'aide de vos informations d'identification, puis ouvrez la console Amazon Inspector sur https://console.aws.amazon.com/inspector/v2/home.

  2. Sélectionnez Get started (Mise en route).

  3. Choisissez Activer Amazon Inspector.

Lorsque vous activez Amazon Inspector pour un compte autonome, tous les types de scan sont activés par défaut. Pour plus d'informations sur les comptes membres, consultez Comprendre le compte d'administrateur délégué et les comptes de membre dans Amazon Inspector.

Multi-account (with AWS Organizations policy)

AWS Organizations les politiques fournissent une gouvernance centralisée pour activer Amazon Inspector dans l'ensemble de votre organisation. Lorsque vous utilisez une politique d'entreprise, l'activation d'Amazon Inspector est automatiquement gérée pour tous les comptes couverts par cette politique, et les comptes membres ne peuvent pas modifier le scan géré par les politiques à l'aide de l'API Amazon Inspector.

Conditions préalables

  • Votre compte doit appartenir à une AWS Organizations organisation.

  • Vous devez disposer des autorisations nécessaires pour créer et gérer les politiques de l'organisation dans AWS Organizations.

  • L'accès sécurisé pour Amazon Inspector doit être activé dans AWS Organizations. Pour obtenir des instructions, consultez la section Activation de l'accès sécurisé pour Amazon Inspector dans le guide de AWS Organizations l'utilisateur.

  • Les rôles liés au service Amazon Inspector doivent exister dans le compte de gestion. Pour les créer, activez Amazon Inspector dans le compte de gestion ou exécutez les commandes suivantes depuis le compte de gestion :

    • aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com

    • aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com

  • Un administrateur délégué Amazon Inspector doit être désigné.

Note

Sans les rôles Amazon Inspector liés au service tels que compte de gestion et administrateur délégué, les politiques de l'organisation renforceront l'activation d'Amazon Inspector, mais les comptes des membres ne seront pas associés à l'organisation Amazon Inspector pour des recherches et une gestion centralisées des comptes.

Pour activer Amazon Inspector à l'aide AWS Organizations de politiques

  1. Désignez un administrateur délégué pour Amazon Inspector avant de créer les politiques de l'organisation afin de garantir que les comptes des membres sont associés à l'organisation Amazon Inspector pour une visibilité centralisée des résultats. Connectez-vous au compte de AWS Organizations gestion, ouvrez la console Amazon Inspector sur https://console.aws.amazon.com/inspector/v2/home et suivez les étapes indiquées. Désignation d'un administrateur délégué pour votre organisation AWS

    Note

    Nous vous recommandons vivement de conserver les mêmes ID de compte d'administrateur délégué Amazon Inspector et d'identifiant de compte d'administrateur délégué désigné par Amazon Inspector. AWS Organizations Si l'ID de compte d'administrateur AWS Organizations délégué est différent de l'ID de compte d'administrateur délégué Amazon Inspector, Amazon Inspector donne la priorité à l'ID de compte désigné par l'Inspecteur. Lorsque l'administrateur délégué Amazon Inspector n'est pas défini mais que l'administrateur AWS Organizations délégué est défini et que le compte de gestion possède les rôles liés au service Amazon Inspector, Amazon Inspector attribue automatiquement l'ID de compte d'administrateur AWS Organizations délégué en tant qu'administrateur délégué Amazon Inspector.

  2. Dans la console Amazon Inspector, accédez aux paramètres généraux depuis le compte de gestion. Sous Politique de délégation, choisissez Joindre une déclaration. Dans la boîte de dialogue Joindre une déclaration de politique, passez en revue la politique, sélectionnez Je reconnais avoir lu la politique et compris les autorisations qu'elle accorde, puis choisissez Joindre une déclaration.

    Important

    Le compte de gestion doit disposer des autorisations suivantes pour joindre la déclaration de politique de délégation :

    Si l'organizations:PutResourcePolicyautorisation est manquante, l'opération échoue avec l'erreur :Failed to attach statement to the delegation policy.

  3. Créez ensuite une AWS Organizations politique Amazon Inspector. Dans le volet de navigation, choisissez Management, puis Configurations.

  4. Configurez la politique de gestion des vulnérabilités. Fournissez les détails avec le nom et la description (facultatif) de la politique.

  5. Sur la page Configure Inspector, dans la section Détails, entrez le nom et la description de la politique. Dans la sélection des capacités, effectuez l'une des opérations suivantes :

    • Choisissez Configurer et activez toutes les fonctionnalités (recommandé). Cela active toutes les fonctionnalités de l'Inspector, notamment EC2, ECR, la norme Lambda, le scan de code Lambda et Code Security.

    • Choisissez Sélectionner un sous-ensemble de fonctionnalités. Sélectionnez les fonctionnalités de type de numérisation qui doivent être activées.

  6. Dans la section Sélection du compte, sélectionnez l'une des options suivantes :

    • Choisissez Toutes les unités organisationnelles et tous les comptes si vous souhaitez appliquer la configuration à toutes les unités organisationnelles et à tous les comptes.

    • Choisissez Unités organisationnelles et comptes spécifiques si vous souhaitez appliquer la configuration à des unités organisationnelles et à des comptes spécifiques. Si vous choisissez cette option, utilisez la barre de recherche ou l'arborescence de la structure organisationnelle pour spécifier les unités organisationnelles et les comptes auxquels la politique sera appliquée.

    • Choisissez Aucune unité organisationnelle ni aucun compte si vous ne souhaitez appliquer la configuration à aucune unité organisationnelle ou à aucun compte.

  7. Dans la section Régions, choisissez Activer toutes les régions, Désactiver toutes les régions ou Spécifier les régions.

    • Si vous choisissez Activer toutes les régions, vous pouvez déterminer si vous souhaitez activer automatiquement les nouvelles régions.

    • Si vous choisissez Désactiver toutes les régions, vous pouvez déterminer si les nouvelles régions doivent être automatiquement désactivées.

    • Si vous choisissez Spécifier les régions, vous devez choisir les régions que vous souhaitez activer et désactiver.

    (Facultatif) Pour les paramètres avancés, reportez-vous aux instructions de AWS Organizations.

    (Facultatif) Pour les balises Resource, ajoutez des balises sous forme de paires clé-valeur pour vous aider à identifier facilement la configuration.

  8. Choisissez Suivant, passez en revue vos modifications, puis choisissez Appliquer. Vos comptes cibles sont configurés en fonction de la politique. L'état de configuration de votre politique s'affiche en haut de la page des politiques. Chaque fonctionnalité indique si elle a été configurée ou si le déploiement a échoué. Pour tout échec, cliquez sur le lien du message d'échec pour voir plus de détails. Pour connaître la politique effective au niveau du compte, vous pouvez consulter l'onglet Organisation de la page Configurations où vous pouvez choisir un compte.

Lorsqu'Amazon Inspector est activé via les politiques de l'organisation, les comptes couverts par la politique ne peuvent pas désactiver les types de scan gérés par des politiques via l'API ou la console Amazon Inspector. Pour obtenir des informations détaillées sur ce que les administrateurs délégués et les comptes de membres peuvent et ne peuvent pas faire dans le cadre des politiques de l'organisation, consultezGérer plusieurs comptes dans Amazon Inspector avec AWS Organizations.

Multi-account (without AWS Organizations policy)
Note

Vous devez utiliser le compte AWS Organizations de gestion pour effectuer cette procédure. Seul le compte AWS Organizations de gestion peut désigner un administrateur délégué. Des autorisations peuvent être nécessaires pour désigner un administrateur délégué. Pour de plus amples informations, veuillez consulter Autorisations requises pour désigner un administrateur délégué.

Lorsque vous activez Amazon Inspector pour la première fois, Amazon Inspector crée le rôle lié au service AWSServiceRoleForAmazonInspector pour le compte. Pour plus d'informations sur la manière dont Amazon Inspector utilise les rôles liés à un service, consultez. Utilisation de rôles liés à un service pour Amazon Inspector

Pour désigner un administrateur délégué pour Amazon Inspector

  1. Connectez-vous au compte de AWS Organizations gestion, puis ouvrez la console Amazon Inspector sur https://console.aws.amazon.com/inspector/v2/home.

  2. Choisissez Démarrer.

  3. Sous Administrateur délégué, entrez l'identifiant à 12 chiffres de celui que Compte AWS vous souhaitez désigner comme administrateur délégué.

  4. Choisissez Déléguer, puis sélectionnez à nouveau Déléguer.

  5. (Facultatif) Si vous souhaitez activer Amazon Inspector pour le compte AWS Organizations de gestion, choisissez Activer Amazon Inspector sous Autorisations de service.

Lorsque vous désignez un administrateur délégué, tous les types de scan sont activés par défaut pour le compte. Pour plus d'informations sur le compte d'administrateur délégué, consultez Comprendre le compte d'administrateur délégué et les comptes de membre dans Amazon Inspector.