Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Syntaxe et exemples de politiques Amazon Inspector
Les politiques d'Amazon Inspector suivent une syntaxe JSON standardisée qui définit la manière dont Amazon Inspector est activé et configuré au sein de votre organisation. Une politique Amazon Inspector est un document JSON structuré selon la syntaxe de la politique de gestion des AWS Organizations. Il définit les entités organisationnelles pour lesquelles Amazon Inspector sera automatiquement activé.
Structure politique de base
Une politique Amazon Inspector utilise cette structure de base :
{ "inspector": { "enablement": { "ec2_scanning": { "enable_in_regions": { "@@assign": ["us-east-1", "us-west-2"] }, "disable_in_regions": { "@@assign": ["eu-west-1"] } } } } }
Composants de politique
Les politiques d'Amazon Inspector contiennent les éléments clés suivants :
inspector-
La clé de niveau supérieur pour les documents de politique Amazon Inspector, qui est requise pour toutes les politiques Amazon Inspector.
enablement-
Définit la manière dont Amazon Inspector est activé au sein de l'organisation et contient les configurations des types de scan.
Regions (Array of Strings)-
Spécifie les régions dans lesquelles Amazon Inspector doit être activé automatiquement.
Exemples de politiques Amazon Inspector
Les exemples suivants illustrent les configurations de politique courantes d'Amazon Inspector.
Exemple 1 — Activer Amazon Inspector à l'échelle de l'organisation
L'exemple suivant active Amazon Inspector dans us-east-1 et us-west-2 pour tous les comptes de la racine de l'organisation.
Créez un fichier inspector-policy-enable.json :
{ "inspector": { "enablement": { "lambda_standard_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] }, "lambda_code_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } } }, "ec2_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } }, "ecr_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } }, "code_repository_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } } } } }
Lorsqu'ils sont connectés à la racine, tous les comptes de l'organisation activent automatiquement Amazon Inspector, et les résultats de leur analyse sont mis à la disposition de l'administrateur délégué d'Amazon Inspector.
Créez et attachez la politique :
POLICY_ID=$(aws organizations create-policy \ --content file://inspector-policy-enable.json \ --name InspectorOrgPolicy \ --type INSPECTOR_POLICY \ --description "Inspector organization policy to enable all resources in IAD and PDX." \ --query 'Policy.PolicySummary.Id' \ --output text) aws organizations attach-policy --policy-id $POLICY_ID --target-id <root-id>
Tout nouveau compte rejoignant l'organisation hérite automatiquement de l'activation.
S'ils sont détachés, les comptes existants restent activés, mais les comptes futurs ne le sont pas automatiquement :
aws organizations detach-policy --policy-id $POLICY_ID --target-id <root-id>
Exemple 2 — Activer Amazon Inspector pour une unité d'organisation spécifique
Créez un fichier inspector-policy-eu-west-1.json :
{ "inspector": { "enablement": { "lambda_standard_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] }, "lambda_code_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } } }, "ec2_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } }, "ecr_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } }, "code_repository_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } } } } }
Joignez-le à une unité d'organisation pour vous assurer qu'Amazon Inspector eu-west-1 sera activé sur tous les comptes de production inclus et qu'ils seront liés à l'administrateur délégué d'Amazon Inspector :
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)" aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
Les comptes extérieurs à l'UO ne sont pas affectés.
