Informazioni sull'account amministratore delegato e sull'account membro in Amazon Inspector - Amazon Inspector
Modello di governance delle politiche organizzativeAzioni degli amministratori delegatiAzioni relative all'account dei membri

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Informazioni sull'account amministratore delegato e sull'account membro in Amazon Inspector

Quando si utilizza Amazon Inspector in un ambiente con più account, l'account amministratore delegato ha accesso a metadati specifici. I metadati includono la scansione standard per Amazon EC2, Amazon ECR e Lambda e la scansione del codice Lambda. Include anche i risultati dei risultati di ricerca sulla sicurezza per gli account dei membri. Questa sezione fornisce informazioni sulle azioni che l'account amministratore delegato può eseguire e sugli account membro.

Modello di governance delle politiche organizzative

Quando vengono utilizzate AWS Organizations policy per abilitare Amazon Inspector, viene applicato un modello di governance che determina quali azioni sono consentite:

Risorse gestite mediante policy

Le risorse abilitate o disabilitate esplicitamente dalle politiche dell'organizzazione non possono essere modificate dagli amministratori delegati o dagli account dei membri. Le richieste API per abilitare o disabilitare i tipi di scansione gestiti tramite policy avranno esito negativo e verrà visualizzato un chiaro errore che indica che la risorsa è gestita dai criteri dell'organizzazione.

Non-policy-managed resources

Le risorse non specificate nelle politiche dell'organizzazione possono essere gestite normalmente da amministratori delegati e account membri utilizzando la console o l'API Amazon Inspector.

Gestione della configurazione della scansione

Gli amministratori delegati possono sempre configurare le impostazioni di scansione, come le modalità di EC2 scansione, i percorsi di ispezione approfondita e la durata delle nuove scansioni ECR, indipendentemente dal fatto che i tipi di risorse siano gestiti secondo regole. Le politiche dell'organizzazione controllano solo se la scansione è abilitata, non il suo funzionamento.

Per ulteriori informazioni sulla creazione e la gestione delle politiche organizzative di Amazon Inspector, consulta la AWS Organizations documentazione relativa alle politiche di Amazon Inspector.

Azioni degli amministratori delegati

In genere, quando l'amministratore delegato applica le impostazioni al proprio account, tali impostazioni vengono applicate a tutti gli altri account dell'organizzazione. L'amministratore delegato può inoltre visualizzare e recuperare informazioni relative al proprio account e a qualsiasi membro associato. Un account amministratore delegato di Amazon Inspector può eseguire le seguenti azioni:

  • Solo l'account AWS Organizations di gestione può designare e rimuovere un amministratore delegato.

  • Quando si designa un amministratore delegato, è necessario appartenere alla stessa organizzazione degli account dei membri che si desidera gestire.

  • Visualizza e gestisci lo stato di Amazon Inspector per gli account associati, inclusa l'attivazione e la disattivazione di Amazon Inspector.

  • Attiva o disattiva i tipi di scansione per tutti gli account membri dell'organizzazione.

  • Visualizza i dati di ricerca aggregati in tutta l'organizzazione e i dettagli di ricerca per tutti gli account dei membri all'interno dell'organizzazione.

  • Crea e gestisci regole di soppressione che si applicano ai risultati per tutti gli account dell'organizzazione.

  • Attiva la scansione avanzata di Amazon ECR per tutti i membri dell'organizzazione.

  • Visualizza la copertura delle risorse per l'intera organizzazione.

  • Definisci la durata delle scansioni automatiche delle immagini dei contenitori ECR per tutti gli account membri dell'organizzazione. L'impostazione della durata della scansione dell'amministratore delegato sostituisce qualsiasi impostazione precedentemente impostata dall'account membro. Tutti gli account dell'organizzazione condividono la durata di risanamento automatico di Amazon ECR degli amministratori delegati. Non è possibile impostare durate di risanamento diverse per singoli account.

  • Specificate cinque percorsi personalizzati per l'ispezione approfondita di Amazon Inspector per Amazon EC2 che verranno utilizzati in tutti gli account dell'organizzazione. Questo si aggiunge ai cinque percorsi personalizzati che un amministratore delegato può impostare per il proprio account individuale. Per ulteriori informazioni sulla configurazione dei percorsi personalizzati di Deep Inspection, vedere. Percorsi personalizzati per l'ispezione approfondita di Amazon Inspector

  • Attiva e disattiva l'ispezione approfondita di Amazon Inspector per gli account dei membri.

  • Esporta SBOMs per tutti gli account dei membri dell'organizzazione.

  • Imposta la modalità di EC2 scansione Amazon per tutti gli account dei membri dell'organizzazione. Per ulteriori informazioni, consulta Gestione della modalità di scansione.

  • Crea e gestisci configurazioni di scansione CIS per tutti gli account dell'organizzazione, ad eccezione delle configurazioni di scansione create dagli account dei membri.

    Nota

    Se un account membro lascia l'organizzazione, l'amministratore delegato non sarà più in grado di vedere le configurazioni di scansione pianificate da quell'account.

  • Visualizza i risultati della scansione CIS per tutti gli account dell'organizzazione.

  • Quando sono in uso i criteri dell'organizzazione, configura le impostazioni di scansione per le risorse gestite tramite policy, ma non può abilitare o disabilitare i tipi di scansione gestiti mediante policy stessi.

Azioni relative all'account dei membri

Un account membro può visualizzare e recuperare informazioni sul proprio account in Amazon Inspector, mentre le impostazioni dell'account sono gestite dall'amministratore delegato. Gli account dei membri all'interno di un'organizzazione possono eseguire le seguenti azioni in Amazon Inspector:

  • Attiva Amazon Inspector per il proprio account.

  • Visualizza la copertura delle risorse per il proprio account.

  • Visualizza i dettagli dei risultati per il proprio account.

  • Visualizza l'impostazione della durata della nuova scansione automatica dell'immagine del contenitore ECR per il proprio account.

  • Specificate cinque percorsi personalizzati per l'ispezione approfondita di Amazon Inspector EC2 che verranno utilizzati per il loro account individuale. Questi percorsi vengono analizzati in aggiunta a tutti i percorsi personalizzati che l'amministratore delegato ha specificato per l'organizzazione. Per ulteriori informazioni sulla configurazione dei percorsi di ispezione approfondita, vedere. Percorsi personalizzati per l'ispezione approfondita di Amazon Inspector

  • Visualizza i percorsi personalizzati impostati dal tuo amministratore delegato per l'ispezione approfondita di Amazon Inspector.

  • Esporta tutte SBOMs le risorse associate al loro account.

  • Visualizza la modalità di scansione del loro account.

  • Crea e gestisci le configurazioni di scansione CIS per il loro account.

  • Visualizza i risultati di tutte le scansioni CIS relative alle risorse del relativo account, incluse quelle pianificate dall'amministratore delegato.

  • Abilita i tipi di scansione che non sono gestiti dalle politiche dell'organizzazione. I tipi di scansione gestiti tramite policy non possono essere abilitati o disabilitati dagli account dei membri.

Nota

Dopo l'attivazione, Amazon Inspector può essere disattivato solo da un account amministratore delegato.