View a markdown version of this page

Sintaks kebijakan Amazon Inspector dan contoh - AWS Organizations
Struktur kebijakan dasarKomponen kebijakanContoh kebijakan Amazon Inspector

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sintaks kebijakan Amazon Inspector dan contoh

Kebijakan Amazon Inspector mengikuti sintaks JSON standar yang menentukan cara Amazon Inspector diaktifkan dan dikonfigurasi di seluruh organisasi Anda. Kebijakan Amazon Inspector adalah dokumen JSON yang terstruktur menurut sintaks kebijakan manajemen AWS Organisasi. Ini mendefinisikan entitas organisasi mana yang akan mengaktifkan Amazon Inspector secara otomatis.

Struktur kebijakan dasar

Kebijakan Amazon Inspector menggunakan struktur dasar ini:

{
    "inspector": {
        "enablement": {
            "ec2_scanning": {
                "enable_in_regions": {
                    "@@assign": ["us-east-1", "us-west-2"]
                },
                "disable_in_regions": {
                    "@@assign": ["eu-west-1"]
                }
            }
        }
    }
}

Komponen kebijakan

Kebijakan Amazon Inspector berisi komponen-komponen utama ini:

inspector

Kunci tingkat atas untuk dokumen kebijakan Amazon Inspector, yang diperlukan untuk semua kebijakan Amazon Inspector.

enablement

Mendefinisikan cara Amazon Inspector diaktifkan di seluruh organisasi, dan berisi konfigurasi jenis pemindaian.

Regions (Array of Strings)

Menentukan Wilayah tempat Amazon Inspector harus diaktifkan secara otomatis.

Contoh kebijakan Amazon Inspector

Contoh berikut menunjukkan konfigurasi kebijakan Amazon Inspector yang umum.

Contoh 1 - Aktifkan Amazon Inspector di seluruh organisasi

Contoh berikut memungkinkan Amazon Inspector masuk us-east-1 dan us-west-2 untuk semua akun di root organisasi.

Buat fileinspector-policy-enable.json:

{
  "inspector": {
    "enablement": {
      "lambda_standard_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "lambda_code_scanning": {
          "enable_in_regions": {
            "@@assign": [
              "us-east-1",
              "us-west-2"
            ]
          },
          "disable_in_regions": {
            "@@assign": [
              "eu-west-1"
            ]
          }
        }
      },
      "ec2_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      },
      "ecr_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      },
      "code_repository_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      }
    }
  }
}

Saat dilampirkan ke root, semua akun di organisasi secara otomatis mengaktifkan Amazon Inspector, dan temuan pemindaiannya tersedia untuk administrator yang didelegasikan Amazon Inspector.

Buat dan lampirkan kebijakan:

POLICY_ID=$(aws organizations create-policy \
  --content file://inspector-policy-enable.json \
  --name InspectorOrgPolicy \
  --type INSPECTOR_POLICY \
  --description "Inspector organization policy to enable all resources in IAD and PDX." \
  --query 'Policy.PolicySummary.Id' \
  --output text)
aws organizations attach-policy --policy-id $POLICY_ID --target-id <root-id>

Setiap akun baru yang bergabung dengan organisasi secara otomatis mewarisi pemberdayaan.

Jika terlepas, akun yang ada tetap diaktifkan, tetapi akun future tidak diaktifkan secara otomatis:

aws organizations detach-policy --policy-id $POLICY_ID --target-id <root-id>

Contoh 2 - Aktifkan Amazon Inspector untuk OU tertentu

Buat fileinspector-policy-eu-west-1.json:

{
  "inspector": {
    "enablement": {
      "lambda_standard_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        },
        "lambda_code_scanning": {
          "enable_in_regions": {
            "@@assign": [
              "eu-west-1"
            ]
          },
          "disable_in_regions": {
            "@@assign": [
              "eu-west-2"
            ]
          }
        }
      },
      "ec2_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      },
      "ecr_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      },
      "code_repository_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      }
    }
  }
}

Lampirkan ini ke OU untuk memastikan semua akun produksi eu-west-1 akan mengaktifkan Amazon Inspector dan ditautkan ke administrator yang didelegasikan Amazon Inspector:

aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)"
aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678

Akun di luar OU tidak terpengaruh.