

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Sintaks kebijakan Amazon Inspector dan contoh
<a name="orgs_manage_policies_inspector_syntax"></a>

Kebijakan Amazon Inspector mengikuti sintaks JSON standar yang menentukan cara Amazon Inspector diaktifkan dan dikonfigurasi di seluruh organisasi Anda. Kebijakan Amazon Inspector adalah dokumen JSON yang terstruktur menurut sintaks kebijakan manajemen AWS Organisasi. Ini mendefinisikan entitas organisasi mana yang akan mengaktifkan Amazon Inspector secara otomatis.

## Pertimbangan utama untuk kebijakan Amazon Inspector
<a name="inspector-policy-considerations"></a>

Sebelum membuat kebijakan Amazon Inspector, pahami poin-poin penting ini tentang sintaks kebijakan:
+ Kedua `enable_in_regions` dan `disable_in_regions` daftar diperlukan untuk setiap jenis pemindaian yang disertakan dalam kebijakan, meskipun mereka dapat berupa array kosong (`"@@assign": []`).
+ Saat memproses kebijakan yang efektif, `disable_in_regions` lebih diutamakan. `enable_in_regions` Jika suatu wilayah muncul di kedua daftar, pemindaian akan dinonaktifkan di wilayah tersebut.
+ Kebijakan anak dapat mengubah kebijakan induk menggunakan operator pewarisan (`@@assign`,`@@append`,`@@remove`) kecuali dibatasi secara eksplisit.
+ `ALL_SUPPORTED`Penunjukan tersebut mencakup AWS Wilayah saat ini dan masa depan di mana Amazon Inspector tersedia.
+ Nama wilayah harus merupakan AWS Wilayah yang valid di mana Amazon Inspector didukung. Nama wilayah yang tidak valid akan menyebabkan kesalahan validasi.

## Struktur kebijakan dasar
<a name="inspector-basic-structure"></a>

Kebijakan Amazon Inspector menggunakan struktur dasar ini. Setiap jenis pemindaian membutuhkan keduanya `enable_in_regions` dan`disable_in_regions`, bahkan jika salah satunya adalah array kosong.

```
{
    "inspector": {
        "enablement": {
            "ec2_scanning": {
                "enable_in_regions": {
                    "@@assign": ["us-east-1", "us-west-2"]
                },
                "disable_in_regions": {
                    "@@assign": ["eu-west-1"]
                }
            }
        }
    }
}
```

## Komponen kebijakan
<a name="inspector-policy-components"></a>

Kebijakan Amazon Inspector berisi komponen-komponen utama ini:

`inspector`  
Kunci tingkat atas untuk dokumen kebijakan Amazon Inspector, yang diperlukan untuk semua kebijakan Amazon Inspector.

`enablement`  
Mendefinisikan cara Amazon Inspector diaktifkan di seluruh organisasi, dan berisi konfigurasi jenis pemindaian.

`Regions (Array of Strings)`  
Menentukan Wilayah tempat Amazon Inspector harus diaktifkan secara otomatis.

## Jenis pemindaian
<a name="inspector-scan-types"></a>


| Jenis pemindaian | Key | Diperlukan | 
| --- | --- | --- | 
| Pemindaian standar Lambda | lambda\_standard\_scanning | Tidak | 
| Pemindaian kode Lambda | lambda\_standard\_scanning.lambda\_code\_scanning | Tidak | 
| Pemindaian EC2 | ec2\_scanning | Tidak | 
| Pemindaian ECR | ecr\_scanning | Tidak | 
| Pemindaian repositori kode | code\_repository\_scanning | Tidak | 

Setiap jenis pemindaian bersifat opsional — sertakan hanya jenis pemindaian yang ingin Anda konfigurasikan. Namun, untuk setiap jenis pemindaian yang Anda sertakan, `disable_in_regions` keduanya `enable_in_regions` dan diperlukan.

## Contoh kebijakan Amazon Inspector
<a name="inspector-policy-examples"></a>

Contoh berikut menunjukkan konfigurasi kebijakan Amazon Inspector yang umum.

### Contoh 1 - Aktifkan Amazon Inspector di seluruh organisasi
<a name="inspector-example-org-wide"></a>

Contoh berikut memungkinkan Amazon Inspector masuk `us-east-1` dan `us-west-2` untuk semua akun di root organisasi.

Buat file`inspector-policy-enable.json`:

```
{
  "inspector": {
    "enablement": {
      "lambda_standard_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "lambda_code_scanning": {
          "enable_in_regions": {
            "@@assign": [
              "us-east-1",
              "us-west-2"
            ]
          },
          "disable_in_regions": {
            "@@assign": [
              "eu-west-1"
            ]
          }
        }
      },
      "ec2_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      },
      "ecr_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      },
      "code_repository_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      }
    }
  }
}
```

Saat dilampirkan ke root, semua akun di organisasi secara otomatis mengaktifkan Amazon Inspector, dan temuan pemindaiannya tersedia untuk administrator yang didelegasikan Amazon Inspector.

Buat dan lampirkan kebijakan:

```
POLICY_ID=$(aws organizations create-policy \
  --content file://inspector-policy-enable.json \
  --name InspectorOrgPolicy \
  --type INSPECTOR_POLICY \
  --description "Inspector organization policy to enable all resources in IAD and PDX." \
  --query 'Policy.PolicySummary.Id' \
  --output text)
aws organizations attach-policy --policy-id $POLICY_ID --target-id <root-id>
```

Setiap akun baru yang bergabung dengan organisasi secara otomatis mewarisi pemberdayaan.

Jika terlepas, akun yang ada tetap diaktifkan, tetapi akun future tidak diaktifkan secara otomatis:

```
aws organizations detach-policy --policy-id $POLICY_ID --target-id <root-id>
```

### Contoh 2 - Aktifkan Amazon Inspector untuk OU tertentu
<a name="inspector-example-specific-ou"></a>

Buat file`inspector-policy-eu-west-1.json`:

```
{
  "inspector": {
    "enablement": {
      "lambda_standard_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        },
        "lambda_code_scanning": {
          "enable_in_regions": {
            "@@assign": [
              "eu-west-1"
            ]
          },
          "disable_in_regions": {
            "@@assign": [
              "eu-west-2"
            ]
          }
        }
      },
      "ec2_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      },
      "ecr_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      },
      "code_repository_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      }
    }
  }
}
```

Lampirkan ini ke OU untuk memastikan semua akun produksi `eu-west-1` akan mengaktifkan Amazon Inspector dan ditautkan ke administrator yang didelegasikan Amazon Inspector:

```
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)"
aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
```

Akun di luar OU tidak terpengaruh.