Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan Amazon Inspector
Kebijakan Amazon Inspector memungkinkan Anda mengaktifkan dan mengelola Amazon Inspector secara terpusat di seluruh akun di organisasi Anda. AWS Dengan kebijakan Amazon Inspector, Anda menentukan entitas organisasi (root OUs, atau akun) mana yang mengaktifkan Amazon Inspector secara otomatis dan ditautkan ke akun administrator yang didelegasikan Amazon Inspector. Anda dapat menggunakan kebijakan Amazon Inspector untuk menyederhanakan orientasi seluruh layanan dan memastikan pengaktifan Amazon Inspector secara konsisten di semua akun yang ada dan yang baru dibuat.
Fitur dan Manfaat Utama
Kebijakan Amazon Inspector memungkinkan Anda menentukan jenis pemindaian mana yang harus diaktifkan untuk organisasi atau subsetnya, memastikan cakupan yang konsisten dan mengurangi upaya manual. Ketika diterapkan, mereka membantu Anda memasukkan akun baru secara otomatis dan mempertahankan garis dasar pemindaian Anda saat organisasi Anda menskalakan.
Cara kerjanya
Saat Anda melampirkan kebijakan Amazon Inspector ke entitas organisasi, kebijakan tersebut secara otomatis mengaktifkan Amazon Inspector untuk semua akun anggota dalam cakupan tersebut. Selain itu, jika Anda telah menyelesaikan penyiapan Amazon Inspector dengan mendaftarkan administrator yang didelegasikan untuk Amazon Inspector, akun tersebut akan memiliki visibilitas kerentanan terpusat atas akun di organisasi yang mengaktifkan Amazon Inspector.
Kebijakan Amazon Inspector dapat diterapkan ke seluruh organisasi, ke unit organisasi tertentu (OUs), atau ke akun individu. Akun yang bergabung dengan organisasi—atau pindah ke OU dengan kebijakan Amazon Inspector terlampir—secara otomatis mewarisi kebijakan tersebut dan mengaktifkan Amazon Inspector dan ditautkan ke administrator yang didelegasikan Amazon Inspector. Kebijakan Amazon Inspector memungkinkan Anda mengaktifkan EC2 pemindaian Amazon, pemindaian Amazon ECR, atau Standar Lambda dan pemindaian kode, serta Keamanan Kode. Pengaturan konfigurasi khusus dan aturan penekanan dapat dikelola melalui akun administrator yang didelegasikan untuk organisasi.
Saat Anda melampirkan kebijakan Amazon Inspector ke organisasi atau unit AWS organisasi Anda, Organizations secara otomatis mengevaluasi kebijakan tersebut dan menerapkannya berdasarkan cakupan yang Anda tentukan. Proses penegakan kebijakan mengikuti aturan resolusi konflik tertentu:
-
Ketika wilayah muncul di daftar aktifkan dan nonaktifkan, konfigurasi penonaktifan diutamakan. Misalnya, jika wilayah terdaftar dalam konfigurasi aktifkan dan nonaktifkan, Amazon Inspector akan dinonaktifkan di wilayah tersebut.
-
Bila
ALL_SUPPORTEDditentukan untuk pemberdayaan, Amazon Inspector diaktifkan di semua wilayah saat ini dan yang akan datang kecuali dinonaktifkan secara eksplisit. Ini memungkinkan Anda untuk mempertahankan cakupan komprehensif saat AWS meluas ke wilayah baru. -
Kebijakan anak dapat mengubah setelan kebijakan induk menggunakan operator pewarisan, memungkinkan kontrol terperinci pada tingkat organisasi yang berbeda. Pendekatan hierarkis ini memastikan bahwa unit organisasi tertentu dapat menyesuaikan pengaturan keamanan mereka sambil mempertahankan kontrol dasar.
Terminologi
Topik ini menggunakan istilah berikut saat membahas kebijakan Amazon Inspector.
| Jangka Waktu | Definisi |
|---|---|
| Kebijakan yang efektif | Kebijakan final yang berlaku untuk akun setelah menggabungkan semua kebijakan yang diwariskan. |
| Pewarisan kebijakan | Proses dimana akun mewarisi kebijakan dari unit organisasi induk. |
| Administrator terdelegasi | Akun yang ditujukan untuk mengelola kebijakan Amazon Inspector atas nama organisasi. |
| Peran tertaut layanan | Peran IAM yang memungkinkan Amazon Inspector berinteraksi dengan AWS layanan lain. |
Kasus penggunaan untuk kebijakan Amazon Inspector
Organizations yang meluncurkan beban kerja skala besar di beberapa akun dapat menggunakan kebijakan ini untuk memastikan semua akun segera mengaktifkan jenis pemindaian yang benar dan menghindari celah. Lingkungan yang digerakkan oleh peraturan atau kepatuhan dapat menggunakan kebijakan anak untuk mengganti atau membatasi jenis pemindaian oleh OU. Lingkungan pertumbuhan yang cepat dapat mengotomatiskan pemberdayaan untuk akun yang baru dibuat sehingga selalu sesuai dengan baseline.
Warisan dan penegakan kebijakan
Memahami bagaimana kebijakan diwariskan dan ditegakkan sangat penting untuk manajemen keamanan yang efektif di seluruh organisasi Anda. Model pewarisan mengikuti hierarki AWS Organizations, memastikan penerapan kebijakan yang dapat diprediksi dan konsisten.
-
Kebijakan yang dilampirkan di tingkat root berlaku untuk semua akun
-
Akun mewarisi kebijakan dari unit organisasi induknya
-
Beberapa kebijakan dapat berlaku untuk satu akun
-
Kebijakan yang lebih spesifik (lebih dekat ke akun dalam hierarki) diutamakan
Validasi kebijakan
Saat membuat kebijakan Amazon Inspector, validasi berikut akan terjadi:
-
Nama wilayah harus merupakan pengidentifikasi AWS wilayah yang valid
-
Wilayah harus didukung oleh Amazon Inspector
-
Struktur kebijakan harus mengikuti aturan sintaks kebijakan AWS Organisasi
-
Keduanya
enable_in_regionsdandisable_in_regionsdaftar harus ada, meskipun mereka bisa kosong
Pertimbangan regional dan Daerah yang didukung
Kebijakan Amazon Inspector hanya berlaku di Wilayah tempat akses tepercaya Amazon Inspector AWS and Organizations tersedia. Memahami perilaku regional membantu Anda menerapkan kontrol keamanan yang efektif di seluruh jejak global organisasi Anda.
-
Penegakan kebijakan terjadi di setiap Wilayah secara independen
-
Anda dapat menentukan Wilayah mana yang akan disertakan atau dikecualikan dalam kebijakan Anda
-
Wilayah Baru secara otomatis disertakan saat menggunakan
ALL_SUPPORTEDopsi -
Kebijakan hanya berlaku untuk Wilayah di mana Amazon Inspector tersedia
Perilaku detasemen
Jika Anda melepaskan kebijakan Amazon Inspector, Amazon Inspector tetap diaktifkan di akun yang sebelumnya dicakup. Namun, perubahan struktur organisasi di masa mendatang (seperti akun baru yang bergabung atau akun yang sudah ada pindah ke OU) tidak akan lagi secara otomatis mengaktifkan Amazon Inspector. Setiap pemberdayaan lebih lanjut harus dilakukan secara manual atau melalui melampirkan kembali kebijakan.
Detail tambahan
Administrator yang didelegasikan
Hanya satu administrator yang didelegasikan yang dapat didaftarkan untuk Amazon Inspector dalam suatu organisasi. Anda harus mengonfigurasi ini di konsol Amazon Inspector atau via APIs sebelum melampirkan kebijakan Amazon Inspector.
Prasyarat
Anda harus mengaktifkan akses tepercaya untuk AWS Organizations, mendaftarkan administrator yang didelegasikan untuk Amazon Inspector, dan memiliki peran terkait layanan yang tersedia di semua akun.
Wilayah yang Didukung
Semua Wilayah tempat Amazon Inspector tersedia.
