

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Syntaxe et exemples de politiques Amazon Inspector
<a name="orgs_manage_policies_inspector_syntax"></a>

Les politiques d'Amazon Inspector suivent une syntaxe JSON standardisée qui définit la manière dont Amazon Inspector est activé et configuré au sein de votre organisation. Une politique Amazon Inspector est un document JSON structuré selon la syntaxe de la politique de gestion des AWS Organizations. Il définit les entités organisationnelles pour lesquelles Amazon Inspector sera automatiquement activé.

## Considérations clés relatives aux politiques d'Amazon Inspector
<a name="inspector-policy-considerations"></a>

Avant de créer des politiques Amazon Inspector, comprenez les points essentiels suivants concernant la syntaxe des politiques :
+ Les deux `enable_in_regions` `disable_in_regions` listes sont obligatoires pour chaque type de scan inclus dans la politique, bien qu'il puisse s'agir de tableaux vides (`"@@assign": []`).
+ Lors du traitement de politiques efficaces, `disable_in_regions` a la priorité sur. `enable_in_regions` Si une région apparaît dans les deux listes, le scan sera désactivé dans cette région.
+ Les politiques relatives aux enfants peuvent modifier les politiques parentales à l'aide d'opérateurs d'héritage (`@@assign``@@append`,,`@@remove`), sauf restriction explicite.
+ La `ALL_SUPPORTED` désignation inclut les AWS régions actuelles et futures dans lesquelles Amazon Inspector est disponible.
+ Les noms de région doivent être valides. AWS Régions dans lesquelles Amazon Inspector est pris en charge. Les noms de région non valides provoqueront une erreur de validation.

## Structure politique de base
<a name="inspector-basic-structure"></a>

Une politique Amazon Inspector utilise cette structure de base. Chaque type de scan nécessite `enable_in_regions` les deux`disable_in_regions`, même s'il s'agit d'un tableau vide.

```
{
    "inspector": {
        "enablement": {
            "ec2_scanning": {
                "enable_in_regions": {
                    "@@assign": ["us-east-1", "us-west-2"]
                },
                "disable_in_regions": {
                    "@@assign": ["eu-west-1"]
                }
            }
        }
    }
}
```

## Composants de politique
<a name="inspector-policy-components"></a>

Les politiques d'Amazon Inspector contiennent les éléments clés suivants :

`inspector`  
La clé de niveau supérieur pour les documents de politique Amazon Inspector, qui est requise pour toutes les politiques Amazon Inspector.

`enablement`  
Définit la manière dont Amazon Inspector est activé au sein de l'organisation et contient les configurations des types de scan.

`Regions (Array of Strings)`  
Spécifie les régions dans lesquelles Amazon Inspector doit être activé automatiquement.

## Types d’analyse
<a name="inspector-scan-types"></a>


| Type d'analyse | Clé | Obligatoire | 
| --- | --- | --- | 
| Numérisation standard Lambda | lambda\_standard\_scanning | Non | 
| Analyse du code Lambda | lambda\_standard\_scanning.lambda\_code\_scanning | Non | 
| Numérisation EC2 | ec2\_scanning | Non | 
| Numérisation ECR | ecr\_scanning | Non | 
| Analyse du référentiel de code | code\_repository\_scanning | Non | 

Chaque type de numérisation est facultatif. N'incluez que les types de numérisation que vous souhaitez configurer. Toutefois, pour chaque type de scan que vous incluez, `enable_in_regions` les deux `disable_in_regions` sont obligatoires.

## Exemples de politiques Amazon Inspector
<a name="inspector-policy-examples"></a>

Les exemples suivants illustrent les configurations de politique courantes d'Amazon Inspector.

### Exemple 1 — Activer Amazon Inspector à l'échelle de l'organisation
<a name="inspector-example-org-wide"></a>

L'exemple suivant active Amazon Inspector dans `us-east-1` et `us-west-2` pour tous les comptes de la racine de l'organisation.

Créez un fichier `inspector-policy-enable.json` :

```
{
  "inspector": {
    "enablement": {
      "lambda_standard_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "lambda_code_scanning": {
          "enable_in_regions": {
            "@@assign": [
              "us-east-1",
              "us-west-2"
            ]
          },
          "disable_in_regions": {
            "@@assign": [
              "eu-west-1"
            ]
          }
        }
      },
      "ec2_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      },
      "ecr_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      },
      "code_repository_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      }
    }
  }
}
```

Lorsqu'ils sont associés à la racine, tous les comptes de l'organisation activent automatiquement Amazon Inspector, et les résultats de leur analyse sont mis à la disposition de l'administrateur délégué d'Amazon Inspector.

Créez et attachez la politique :

```
POLICY_ID=$(aws organizations create-policy \
  --content file://inspector-policy-enable.json \
  --name InspectorOrgPolicy \
  --type INSPECTOR_POLICY \
  --description "Inspector organization policy to enable all resources in IAD and PDX." \
  --query 'Policy.PolicySummary.Id' \
  --output text)
aws organizations attach-policy --policy-id $POLICY_ID --target-id <root-id>
```

Tout nouveau compte rejoignant l'organisation hérite automatiquement de l'activation.

S'ils sont détachés, les comptes existants restent activés, mais les comptes futurs ne le sont pas automatiquement :

```
aws organizations detach-policy --policy-id $POLICY_ID --target-id <root-id>
```

### Exemple 2 — Activer Amazon Inspector pour une unité d'organisation spécifique
<a name="inspector-example-specific-ou"></a>

Créez un fichier `inspector-policy-eu-west-1.json` :

```
{
  "inspector": {
    "enablement": {
      "lambda_standard_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        },
        "lambda_code_scanning": {
          "enable_in_regions": {
            "@@assign": [
              "eu-west-1"
            ]
          },
          "disable_in_regions": {
            "@@assign": [
              "eu-west-2"
            ]
          }
        }
      },
      "ec2_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      },
      "ecr_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      },
      "code_repository_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      }
    }
  }
}
```

Joignez-le à une unité d'organisation pour vous assurer qu'Amazon Inspector `eu-west-1` sera activé sur tous les comptes de production inclus et qu'ils seront liés à l'administrateur délégué d'Amazon Inspector :

```
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)"
aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
```

Les comptes extérieurs à l'UO ne sont pas affectés.