Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon Inspector et AWS Organizations

Amazon Inspector est un service de gestion automatique des vulnérabilités qui analyse en permanence les charges de travail d'Amazon EC2 et des conteneurs à la recherche de vulnérabilités logicielles et d'exposition involontaire au réseau.

À l'aide d'Amazon Inspector, vous pouvez gérer plusieurs comptes associés en AWS Organizations déléguant simplement un compte administrateur à Amazon Inspector. L'administrateur délégué gère Amazon Inspector pour l'organisation et dispose d'autorisations spéciales pour effectuer des tâches pour le compte de votre organisation, par exemple :

Pour plus d’informations, consultez Gestion de plusieurs comptes avec AWS Organizations dans le Guide de l'utilisateur Amazon Inspector.

Utilisez les informations suivantes pour vous aider à intégrer Amazon Inspector à AWS Organizations.

Création de rôles liés à un service lors de l'activation de l'intégration

Le rôle lié à un service suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Amazon Inspector d'effectuer les opérations prises en charge dans les comptes de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Amazon Inspector et Organizations, ou si vous supprimez le compte membre de l'organisation.

Pour plus d'informations, consultez Utilisation des rôles liés à un service avec Amazon Inspector dans le Guide de l'utilisateur Amazon Inspector.

Principaux de service utilisés par les rôles liés à un service

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Amazon Inspector accordent l'accès aux principaux de service suivants :

Pour activer l'accès approuvé avec Amazon Inspector

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez Autorisations requises pour activer l'accès approuvé.

Amazon Inspector a besoin d'un AWS Organizations accès sécurisé pour que vous puissiez désigner un compte membre en tant qu'administrateur délégué de ce service pour votre organisation.

Lorsque vous désignez un administrateur délégué pour Amazon Inspector, il active automatiquement l'accès approuvé pour Amazon Inspector pour votre organisation.

Toutefois, si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des interfaces de ligne de commande AWS SDKs, vous devez appeler explicitement l'EnableAWSServiceAccessopération et fournir le principal de service en tant que paramètre. Vous pouvez ensuite appeler EnableDelegatedAdminAccount pour déléguer le compte administrateur Inspector.

Vous pouvez activer l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

AWS CLI, AWS API

Pour activer l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations

Utilisez les AWS CLI commandes ou les opérations d'API suivantes pour activer l'accès sécurisé aux services :

• AWS CLI: enable-aws-service-access

  Exécutez la commande suivante pour activer Amazon Inspector en tant que service fiable auprès d'Organizations.

  $ aws organizations enable-aws-service-access \
      --service-principal inspector2.amazonaws.com

  Cette commande ne produit aucune sortie lorsqu'elle réussit.

• AWS API : Activer AWSService l'accès

Pour désactiver l'accès approuvé avec Amazon Inspector

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez Autorisations requises pour désactiver l'accès approuvé.

Seul un administrateur du compte AWS Organizations de gestion peut désactiver l'accès sécurisé avec Amazon Inspector.

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

AWS CLI, AWS API

Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations

Utilisez les AWS CLI commandes ou opérations d'API suivantes pour désactiver l'accès aux services sécurisés :

• AWS CLI: disable-aws-service-access

  Exécutez la commande suivante pour désactiver Amazon Inspector en tant que service de confiance auprès d'Organizations.

  $ aws organizations disable-aws-service-access \
      --service-principal inspector2.amazonaws.com

  Cette commande ne produit aucune sortie lorsqu'elle réussit.

• AWS API : Désactiver AWSService l'accès

Activation d'un compte administrateur délégué pour Amazon Inspector

Avec Amazon Inspector, vous pouvez gérer plusieurs comptes au sein d'une organisation à l'aide d'un administrateur délégué avec AWS Organizations service.

Le compte AWS Organizations de gestion désigne un compte au sein de l'organisation en tant que compte d'administrateur délégué pour Amazon Inspector. L'administrateur délégué gère Amazon Inspector pour l'organisation et dispose d'autorisations spéciales pour effectuer des tâches pour le compte de votre organisation, par exemple : activer ou désactiver les analyses des comptes membres, afficher les données de résultats agrégées de l'ensemble de l'organisation, puis créer et gérer des règles de suppression

Pour plus d'informations sur la manière dont un administrateur délégué gère les comptes d'organisation, consultez Présentation de la relation entre les comptes administrateur et membres dans le Guide de l'utilisateur Amazon Inspector.

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour Amazon Inspector.

Vous pouvez spécifier un compte d'administrateur délégué à partir de l’API ou de la console Amazon Inspector ou en utilisant la CLI Organizations ou l'opération SDK.

Pour configurer un administrateur délégué à l'aide de la console Amazon Inspector, consultez Étape 1 : Activer Amazon Inspector - Environnement à plusieurs-comptes dans le Guide de l'utilisateur Amazon Inspector.

AWS CLI, AWS API

Si vous souhaitez configurer un compte d'administrateur délégué à l'aide de la AWS CLI ou de l'une des interfaces de ligne de commande AWS SDKs, vous pouvez utiliser les commandes suivantes :

• AWS CLI:

  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal inspector2.amazonaws.com

• AWS SDK : appelez le RegisterDelegatedAdministrator service Organizations et le numéro d'identification du compte membre et identifiez le principal du service du compte account.amazonaws.com sous forme de paramètres.

Désactivation d'un administrateur délégué pour Amazon Inspector

Seul un administrateur du compte AWS Organizations de gestion peut supprimer un compte d'administrateur délégué de l'organisation.

Vous pouvez supprimer l'administrateur délégué à l'aide de l’API ou de la console Amazon Inspector, ou à l'aide de la CLI DeregisterDelegatedAdministrator Organizations ou de l’opération SDK. Pour supprimer un administrateur délégué à l'aide de la console Amazon Inspector, consultez Suppression d’un administrateur délégué dans le Guide de l'utilisateur Amazon Inspector.