Memulai tutorial: Mengaktifkan Amazon Inspector - Amazon Inspector

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai tutorial: Mengaktifkan Amazon Inspector

Topik ini menjelaskan cara mengaktifkan Amazon Inspector untuk lingkungan akun mandiri (akun anggota) dan lingkungan multi-akun (akun administrator yang didelegasikan). Saat Anda mengaktifkan Amazon Inspector, Amazon Inspector secara otomatis mulai menemukan beban kerja dan memindainya untuk mencari kerentanan perangkat lunak dan paparan jaringan yang tidak diinginkan.

Standalone account environment

Prosedur berikut menjelaskan cara mengaktifkan Amazon Inspector di konsol untuk akun anggota. Untuk mengaktifkan Amazon Inspector secara terprogram, inspector2-. enablement-with-cli

  1. Masuk menggunakan kredensional Anda, lalu buka konsol Amazon Inspector di v2/home. https://console.aws.amazon.com/inspector/

  2. Pilih Memulai.

  3. Pilih Aktifkan Amazon Inspector.

Saat Anda mengaktifkan Amazon Inspector untuk akun mandiri, semua jenis pemindaian diaktifkan secara default. Untuk informasi tentang akun anggota, lihat Memahami akun administrator yang didelegasikan dan akun anggota di Amazon Inspector.

Multi-account (with AWS Organizations policy)

AWS Organizations kebijakan menyediakan tata kelola terpusat untuk mengaktifkan Amazon Inspector di seluruh organisasi Anda. Bila Anda menggunakan kebijakan organisasi, pengaktifan Amazon Inspector dikelola secara otomatis untuk semua akun yang tercakup dalam kebijakan, dan akun anggota tidak dapat mengubah pemindaian yang dikelola kebijakan menggunakan Amazon Inspector API.

Prasyarat

  • Akun Anda harus menjadi bagian dari AWS Organizations organisasi.

  • Anda harus memiliki izin untuk membuat dan mengelola kebijakan organisasi. AWS Organizations

  • Akses tepercaya untuk Amazon Inspector harus diaktifkan. AWS Organizations Untuk petunjuk, lihat Mengaktifkan akses tepercaya untuk Amazon Inspector di Panduan Pengguna AWS Organizations .

  • Peran terkait layanan Amazon Inspector harus ada di akun manajemen. Untuk membuatnya, aktifkan Amazon Inspector di akun manajemen atau jalankan perintah berikut dari akun manajemen:

    • aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com

    • aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com

  • Administrator yang didelegasikan oleh Amazon Inspector harus ditunjuk.

catatan

Tanpa peran Amazon Inspector terkait layanan dari akun manajemen dan administrator yang didelegasikan, kebijakan organisasi akan memberlakukan pemberdayaan Amazon Inspector, tetapi akun anggota tidak akan dikaitkan dengan organisasi Amazon Inspector untuk temuan terpusat dan pengelolaan akun.

Untuk mengaktifkan Amazon Inspector menggunakan kebijakan AWS Organizations

  1. Tunjuk administrator yang didelegasikan untuk Amazon Inspector sebelum membuat kebijakan organisasi untuk memastikan akun anggota terkait dengan organisasi Amazon Inspector untuk visibilitas temuan terpusat. Masuk ke akun AWS Organizations manajemen, buka konsol Amazon Inspector di https://console.aws.amazon.com/inspector/v2/home, dan ikuti langkah-langkahnya. Menunjuk administrator yang didelegasikan untuk organisasi Anda AWS

    catatan

    Kami sangat menyarankan agar ID akun administrator yang didelegasikan AWS Organizations Amazon Inspector dan ID akun administrator yang ditunjuk Amazon Inspector tetap sama. Jika ID akun administrator yang AWS Organizations didelegasikan berbeda dari ID akun administrator yang didelegasikan Amazon Inspector, Amazon Inspector memprioritaskan ID akun yang ditunjuk Inspektur. Jika administrator yang didelegasikan Amazon Inspector tidak disetel tetapi administrator yang AWS Organizations didelegasikan disetel dan akun manajemen memiliki peran terkait layanan Amazon Inspector, Amazon Inspector secara otomatis menetapkan ID akun administrator yang didelegasikan sebagai administrator yang AWS Organizations didelegasikan Amazon Inspector.

  2. Di konsol Amazon Inspector, navigasikan ke Pengaturan umum dari akun manajemen. Di bawah Kebijakan delegasi, pilih Lampirkan pernyataan. Dalam dialog Lampirkan pernyataan kebijakan, tinjau kebijakan, pilih Saya mengakui bahwa saya telah meninjau kebijakan dan memahami izin yang diberikannya, lalu pilih Lampirkan pernyataan.

    penting

    Akun manajemen harus memiliki izin berikut untuk melampirkan pernyataan kebijakan delegasi:

    Jika organizations:PutResourcePolicy izin hilang, operasi gagal dengan kesalahan:Failed to attach statement to the delegation policy.

  3. Selanjutnya, buat kebijakan Amazon Inspector AWS Organizations . Dari panel navigasi, pilih Manajemen, lalu pilih Konfigurasi.

  4. Konfigurasikan kebijakan manajemen kerentanan. Berikan Detail dengan nama dan deskripsi (opsional) untuk kebijakan.

  5. Pada halaman Configure Inspector, di bagian Detail, masukkan nama dan deskripsi untuk kebijakan tersebut. Dalam Pemilihan Kemampuan, lakukan salah satu hal berikut:

    • Pilih Konfigurasi dan aktifkan semua kemampuan (Disarankan). Ini mengaktifkan semua kemampuan Inspector termasuk EC2, ECR, standar Lambda, pemindaian kode Lambda, dan Keamanan Kode.

    • Pilih Pilih subset kemampuan. Pilih kemampuan jenis pemindaian apa pun yang harus dihidupkan.

  6. Di bagian Pemilihan akun, pilih salah satu opsi berikut:

    • Pilih Semua unit dan akun organisasi jika Anda ingin menerapkan konfigurasi ke semua unit dan akun organisasi.

    • Pilih Unit dan akun organisasi tertentu jika Anda ingin menerapkan konfigurasi ke unit dan akun organisasi tertentu. Jika Anda memilih opsi ini, gunakan bilah pencarian atau pohon struktur organisasi untuk menentukan unit organisasi dan akun tempat kebijakan akan diterapkan.

    • Pilih Tidak ada unit organisasi atau akun jika Anda tidak ingin menerapkan konfigurasi ke unit organisasi atau akun mana pun.

  7. Di bagian Wilayah, pilih Aktifkan semua Wilayah, Nonaktifkan semua Wilayah, atau Tentukan Wilayah.

    • Jika Anda memilih Aktifkan semua Wilayah, Anda dapat menentukan apakah akan mengaktifkan Wilayah baru secara otomatis.

    • Jika Anda memilih Nonaktifkan semua Wilayah, Anda dapat menentukan apakah akan menonaktifkan Wilayah baru secara otomatis.

    • Jika Anda memilih Tentukan Wilayah, Anda harus memilih Wilayah mana yang ingin Anda aktifkan dan nonaktifkan.

    (Opsional) Untuk pengaturan lanjutan, lihat panduan dari AWS Organizations.

    (Opsional) Untuk tag Sumber Daya, tambahkan tag sebagai pasangan nilai kunci untuk membantu Anda mengidentifikasi konfigurasi dengan mudah.

  8. Pilih Berikutnya, tinjau perubahan Anda, lalu pilih Terapkan. Akun target Anda dikonfigurasi berdasarkan kebijakan. Status konfigurasi kebijakan Anda ditampilkan di bagian atas halaman Kebijakan. Setiap kemampuan memberikan status apakah itu dikonfigurasi atau di mana ada kegagalan penerapan. Untuk kegagalan apa pun, pilih tautan untuk pesan kegagalan untuk melihat detail selengkapnya. Untuk melihat kebijakan efektif di tingkat akun, Anda dapat meninjau tab Organisasi di halaman Konfigurasi tempat Anda dapat memilih akun.

Jika Amazon Inspector diaktifkan melalui kebijakan organisasi, akun yang dicakup oleh kebijakan tidak dapat menonaktifkan jenis pemindaian yang dikelola kebijakan melalui Amazon Inspector API atau konsol. Untuk informasi terperinci tentang apa yang dapat dan tidak dapat dilakukan oleh administrator yang didelegasikan dan akun anggota berdasarkan kebijakan organisasi, lihat. Mengelola beberapa akun di Amazon Inspector dengan AWS Organizations

Multi-account (without AWS Organizations policy)
catatan

Anda harus menggunakan akun AWS Organizations manajemen untuk menyelesaikan prosedur ini. Hanya akun AWS Organizations manajemen yang dapat menunjuk administrator yang didelegasikan. Izin mungkin diperlukan untuk menunjuk administrator yang didelegasikan. Untuk informasi selengkapnya, lihat Izin yang diperlukan untuk menetapkan administrator yang didelegasikan.

Saat Anda mengaktifkan Amazon Inspector untuk pertama kalinya, Amazon Inspector membuat AWSServiceRoleForAmazonInspector peran yang ditautkan layanan untuk akun tersebut. Untuk informasi tentang cara Amazon Inspector menggunakan peran terkait layanan, lihat. Menggunakan peran tertaut layanan untuk Amazon Inspector

Untuk menunjuk administrator yang didelegasikan untuk Amazon Inspector

  1. Masuk ke akun AWS Organizations manajemen, lalu buka konsol Amazon Inspector di https://console.aws.amazon.com/inspector/ v2/home.

  2. Pilih Mulai.

  3. Di bawah Administrator yang didelegasikan, masukkan ID 12 digit yang ingin Akun AWS Anda tetapkan sebagai administrator yang didelegasikan.

  4. Pilih Delegasi, lalu pilih Delegasi lagi.

  5. (Opsional) Jika Anda ingin mengaktifkan Amazon Inspector untuk akun AWS Organizations manajemen, pilih Aktifkan Amazon Inspector di bawah Izin layanan.

Saat Anda menunjuk administrator yang didelegasikan, semua jenis pemindaian diaktifkan untuk akun secara default. Untuk informasi tentang akun administrator yang didelegasikan, lihat Memahami akun administrator yang didelegasikan dan akun anggota di Amazon Inspector.