Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Designazione di un account amministratore delegato per Amazon Inspector
L'amministratore delegato è un account che gestisce un servizio per un'organizzazione. Questo argomento descrive come designare un amministratore delegato per Amazon Inspector.
## Considerazioni
Prima di designare un amministratore delegato, tieni presente quanto segue:
**L'amministratore delegato può gestire un massimo di 10.000 membri.**
Se superi i 10.000 account membri, ricevi una notifica tramite Amazon CloudWatch Personal Health Dashboard e un'e-mail all'account amministratore delegato.
Quando Amazon Inspector è abilitato tramite AWS Organizations politiche per organizzazioni con più di 10.000 account (fino a 50.000), la politica si applica a tutti gli account. Tuttavia, solo 10.000 account saranno associati all'organizzazione Amazon Inspector, ovvero l'amministratore delegato può visualizzare i risultati e lo stato dell'account solo per questi 10.000 account nella console Amazon Inspector.
**L'amministratore delegato è regionale.**
Amazon Inspector è un servizio regionale. È necessario ripetere i passaggi della procedura in ogni Regione AWS luogo in cui si prevede di utilizzare Amazon Inspector.
**Un'organizzazione può avere un solo amministratore delegato.**
Se si designa un account come amministratore delegato in uno di essi Regione AWS, tale account deve essere l'amministratore delegato di tutti gli altri. Regioni AWS
**La modifica di un amministratore delegato non disattiva Amazon Inspector per gli account dei membri.**
Se rimuovi un amministratore delegato, gli account dei membri diventano account autonomi e le impostazioni di scansione non ne risentono.
**La tua AWS organizzazione deve avere tutte le funzionalità attivate.**
Questa è l'impostazione predefinita per AWS Organizations. Se non è attivata, vedi [Attivazione di tutte le funzionalità nell'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html).
**Le politiche dell'organizzazione hanno la precedenza sulle impostazioni degli amministratori delegati.**
Se la tua organizzazione utilizza AWS Organizations policy per abilitare Amazon Inspector, le impostazioni delle policy determinano quali tipi di scansione sono abilitati. Ti consigliamo di designare l'amministratore delegato prima di creare politiche organizzative per garantire una governance coerente. Per ulteriori informazioni, consulta [Modello di governance delle politiche organizzative](admin-member-relationship.md#org-policy-overview).
## Autorizzazioni necessarie per designare un amministratore delegato
È necessario disporre dell'autorizzazione per attivare Amazon Inspector e designare un amministratore delegato di Amazon Inspector. Aggiungi la seguente dichiarazione alla fine della tua policy IAM per concedere queste autorizzazioni. Per ulteriori informazioni, consulta [Gestione delle politiche IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html).
```
{
"Sid": "PermissionsForInspectorAdmin",
"Effect": "Allow",
"Action": [
"inspector2:EnableDelegatedAdminAccount",
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
```
## Designazione di un amministratore delegato per l'organizzazione AWS
La procedura seguente descrive come designare un amministratore delegato per l'organizzazione. Prima di completare la procedura, assicurati di far parte della stessa organizzazione degli account dei membri che desideri vengano gestiti dall'amministratore delegato.
**Nota**
È necessario utilizzare l'account AWS Organizations di gestione per completare questa procedura. Solo l'account AWS Organizations di gestione può designare un amministratore delegato. Potrebbero essere necessarie autorizzazioni per designare un amministratore delegato. Per ulteriori informazioni, consulta [Autorizzazioni necessarie per designare un amministratore delegato](#delegated-admin-permissions).
Quando attivi Amazon Inspector per la prima volta, Amazon Inspector crea il `AWSServiceRoleForAmazonInspector` ruolo collegato al servizio per l'account. Per informazioni su come Amazon Inspector utilizza i ruoli collegati ai servizi, consulta. [Utilizzo di ruoli collegati ai servizi per Amazon Inspector](using-service-linked-roles.md)
------
#### [ Console ]
**Per designare un amministratore delegato per Amazon Inspector**
1. [Accedi all'account di AWS Organizations gestione, quindi apri la console Amazon Inspector su https://console.aws.amazon.com/inspector/ v2/home.](https://console.aws.amazon.com/inspector/v2/home)
1. Usa il Regione AWS selettore per specificare Regione AWS dove vuoi designare l'amministratore delegato.
1. **Dal riquadro di navigazione, scegli Impostazioni generali.**
1. In **Amministratore delegato**, inserisci l'ID a 12 cifre della persona Account AWS che desideri designare come amministratore delegato.
1. **Scegli **Delegato, quindi scegli nuovamente Delegato**.**
Quando si designa un amministratore delegato, per impostazione predefinita vengono attivati [tutti i tipi di scansione](https://docs.aws.amazon.com/inspector/latest/user/scanning-resources.html) per l'account. Se desideri attivare Amazon Inspector per l'account di AWS Organizations gestione, completa la seguente procedura.
**Per attivare Amazon Inspector per l'account di gestione AWS Organizations**
1. [Accedi all'account amministratore delegato, quindi apri la console https://console.aws.amazon.com/inspector/ Amazon Inspector su v2/home.](https://console.aws.amazon.com/inspector/v2/home)
1. **Dal pannello di navigazione, scegli Gestione dell'account.**
1. In **Account**, seleziona l'account di AWS Organizations gestione, quindi scegli **Attiva**.
1. Seleziona i tipi di scansione che desideri attivare per l'account di AWS Organizations gestione, quindi scegli **Invia**.
------
#### [ API ]
**Designate un amministratore delegato utilizzando l'API**
+ Esegui l'operazione [EnableDelegatedAdminAccount](https://docs.aws.amazon.com/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html)API utilizzando le credenziali dell'account Account AWS di gestione Organizations. Puoi anche usare AWS Command Line Interface per farlo eseguendo il seguente comando CLI:. `aws inspector2 enable-delegated-admin-account --delegated-admin-account-id 11111111111`
**Nota**
Assicurati di specificare l'ID dell'account che desideri rendere amministratore delegato di Amazon Inspector.
------
# Attivazione delle scansioni Amazon Inspector per gli account dei membri
Puoi attivare Amazon Inspector per gli account dei membri della tua organizzazione con diversi metodi. Il metodo scelto dipende dai requisiti di governance e dalla struttura organizzativa.
**AWS Organizations politiche (consigliate per una governance centralizzata)**
Utilizza AWS Organizations le policy per abilitare automaticamente Amazon Inspector in tutta l'organizzazione con un controllo centralizzato. Questo approccio garantisce una copertura di scansione coerente e si applica automaticamente ai nuovi account. Per istruzioni dettagliate, consulta la AWS Organizations documentazione per la creazione delle politiche di Amazon Inspector.
**Attivazione con amministratore delegato**
In qualità di amministratore delegato, puoi attivare manualmente Amazon Inspector per account membri specifici o per tutti gli account membro tramite la console o l'API Amazon Inspector. Questo approccio offre flessibilità quando le politiche organizzative non vengono utilizzate.
**Auto-attivazione dell'account membro**
Gli account dei membri possono attivare Amazon Inspector per il proprio account se non sono limitati dalle politiche dell'organizzazione. Una volta attivato, l'account viene associato all'amministratore delegato.
## Attiva la scansione degli account dei membri
Le seguenti procedure descrivono come attivare la scansione degli account dei membri utilizzando i metodi amministratore delegato e account membro. Per informazioni sui tipi di scansione di Amazon Inspector, consulta. [Tipi di scansione automatizzati in Amazon Inspector](scanning-resources.md)
**Per attivare automaticamente la scansione per tutti gli account dei membri**
1. [Accedi utilizzando le credenziali dell'account amministratore delegato, quindi apri la console Amazon Inspector su v2/home. https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/v2/home)
1. Usa il selettore di regione per scegliere Regione AWS dove vuoi attivare la scansione per tutti gli account dei membri.
1. Dal pannello di navigazione, scegli **Gestione account**. La scheda **Account** mostra tutti gli account dei membri associati all'account AWS Organizations di gestione.
1. In **Organizzazione**, seleziona la casella accanto a **Numero di account**. Quindi scegli **Attiva** per selezionare le opzioni di scansione che desideri applicare agli account dei membri. È possibile selezionare i seguenti tipi di scansione:
+ Scansione Amazon EC2
+ Scansione Amazon ECR
+ Scansione standard Lambda
+ Scansione del codice Lambda
1. Dopo aver selezionato i tipi di scansione preferiti, scegli **Salva**.
**Nota**
Se disponi di più pagine di account, devi ripetere questo passaggio su ogni pagina. Puoi scegliere l'icona a forma di ingranaggio per modificare il numero di account visualizzati su ogni pagina.
1. Attiva l'impostazione **Attiva automaticamente Inspector per gli account dei nuovi membri** e seleziona le opzioni di scansione che desideri applicare ai nuovi account membro aggiunti alla tua organizzazione. È possibile selezionare i seguenti tipi di scansione:
+ Scansione Amazon EC2
+ Scansione Amazon ECR
+ Scansione standard Lambda
+ Scansione del codice Lambda
1. Dopo aver selezionato i tipi di scansione preferiti, scegli **Attiva**.
**Nota**
L'impostazione **Attiva automaticamente Inspector per gli account dei nuovi membri** attiva Amazon Inspector per tutti i futuri membri della tua organizzazione.
Se il numero di account membri è superiore a 5.000, questa impostazione viene disattivata automaticamente. Se il numero totale di account membri scende a meno di 5.000, l'impostazione viene riattivata automaticamente.
1. (Consigliato) Ripeti ciascuno di questi passaggi in ogni Regione AWS punto in cui desideri attivare la scansione degli account dei membri.
**Per attivare la scansione di account membri specifici**
1. [Accedi utilizzando le credenziali dell'account amministratore delegato, quindi apri la console Amazon Inspector su v2/home. https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/v2/home)
1. Usa il selettore di regione per scegliere Regione AWS dove vuoi attivare la scansione per tutti gli account dei membri.
1. Dal pannello di navigazione, scegli **Gestione account**. La scheda **Account** mostra tutti gli account dei membri associati all'account AWS Organizations di gestione.
1. In **Organizzazione**, seleziona la casella accanto al numero di account di ciascun membro per cui desideri attivare la scansione. Quindi scegli **Attiva** per selezionare le opzioni di scansione che desideri applicare agli account dei membri. È possibile selezionare i seguenti tipi di scansione:
+ Scansione Amazon EC2
+ Scansione Amazon ECR
+ Scansione standard Lambda
+ Scansione del codice Lambda
1. Dopo aver selezionato i tipi di scansione preferiti, scegli **Salva**.
**Nota**
Se disponi di più pagine di account, devi ripetere questo passaggio su ogni pagina. Puoi scegliere l'icona a forma di ingranaggio per modificare il numero di account visualizzati su ogni pagina.
1. (Consigliato) Ripeti ciascuno di questi passaggi in ogni Regione AWS punto in cui desideri attivare la scansione per membri specifici.
**Per attivare la scansione come account membro**
1. [Accedi utilizzando le tue credenziali, quindi apri la console https://console.aws.amazon.com/inspector/ Amazon Inspector su v2/home.](https://console.aws.amazon.com/inspector/v2/home)
1. Usa il selettore di regione per scegliere Regione AWS dove vuoi attivare la scansione per tutti gli account dei membri.
1. Dal pannello di navigazione, scegli **Gestione account**. La scheda **Account** mostra tutti gli account dei membri associati all'account AWS Organizations di gestione.
1. In **Organizzazione**, seleziona la casella accanto al numero del tuo account. Quindi scegli **Attiva** per selezionare le opzioni di scansione che desideri applicare. È possibile selezionare i seguenti tipi di scansione:
+ Scansione Amazon EC2
+ Scansione Amazon ECR
+ Scansione standard Lambda
+ Scansione del codice Lambda
1. Dopo aver selezionato i tipi di scansione preferiti, scegli **Salva**.
1. (Consigliato) Ripeti questi passaggi in ogni regione in cui desideri attivare la scansione per il tuo account membro.
**Nota**
Se il tuo account di AWS Organizations gestione dispone di un account amministratore delegato per Amazon Inspector, puoi attivarlo come account membro per visualizzare i dettagli della scansione.
**Importante**
Se le politiche dell'organizzazione gestiscono l'abilitazione di Amazon Inspector per i tuoi account, gli account amministratore e membro delegati non possono modificare i tipi di scansione gestiti dalle policy utilizzando Amazon Inspector. enablement/disablement APIs Le richieste API falliranno con un errore che indica che la risorsa è gestita dai criteri dell'organizzazione. È comunque possibile abilitare tipi di scansione aggiuntivi non gestiti dalla policy.
# Dissociazione degli account dei membri in Amazon Inspector
In qualità di amministratore delegato, potresti dover dissociare un account membro dal tuo account. Quando si annulla l'associazione di un account membro, Amazon Inspector rimane attivo nell'account e l'account diventa un account autonomo. Inoltre, non sei più autorizzato a gestire Amazon Inspector per l'account. Tuttavia, puoi associare account membri precedentemente dissociati al tuo account in qualsiasi momento. Questa sezione descrive come dissociare gli account dei membri dalla funzione di amministratore delegato.
**Nota**
Per dissociare gli account gestiti tramite policy, non dovrebbe essere associata alcuna policy organizzativa di Amazon Inspector a tale account per il tipo di scansione.
------
#### [ Console ]
**Per dissociare gli account dei membri utilizzando la console**
1. [Accedi utilizzando le credenziali dell'account amministratore delegato, quindi apri la console Amazon Inspector su v2/home https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/v2/home)
1. Usa il selettore di regione per scegliere Regione AWS dove vuoi dissociare gli account dei membri.
1. Dal pannello di navigazione, scegli Gestione **account**.
1. In **Organizzazione**, seleziona la casella accanto a ciascun numero di account da dissociare.
1. Scegli il menu **Azioni**, quindi scegli **Dissocia account**.
------
#### [ API ]
**Per dissociare gli account dei membri utilizzando l'API**
Esegui l'operazione [DisassociateMember](https://docs.aws.amazon.com/inspector/v2/APIReference/API_DisassociateMember.html)API. Nella richiesta, fornisci l'account da IDs cui stai dissociando.
------
# Rimozione dell'amministratore delegato in Amazon Inspector
Potrebbe essere necessario rimuovere l'account amministratore delegato di Amazon Inspector. Puoi farlo dall'account di AWS Organizations gestione. Quando rimuovi l'account amministratore delegato di Amazon Inspector, Amazon Inspector è ancora attivato nell'account e in tutti gli account dei membri. L'account amministratore delegato e tutti i relativi account membri diventano account autonomi e mantengono le impostazioni di scansione originali.
**Nota**
Se AWS Organizations le policy gestiscono l'abilitazione di Amazon Inspector, la rimozione dell'amministratore delegato non influisce sull'applicazione delle policy. Gli account rimarranno abilitati in base alle impostazioni delle politiche dell'organizzazione, tuttavia i risultati degli account dei membri non saranno più visibili in una console di amministrazione delegata centrale finché non verrà designato un nuovo amministratore delegato.
Questa sezione descrive come rimuovere l'account amministratore delegato.
## Rimuovere l'amministratore delegato di Amazon Inspector
Le seguenti procedure descrivono come rimuovere l'amministratore delegato di Amazon Inspector e come associare gli account membro dall'account amministratore delegato.
Per informazioni su come assegnare un amministratore delegato di Amazon Inspector, [consulta Designazione di un](https://docs.aws.amazon.com/inspector/latest/user/designating-admin.html) account amministratore delegato per Amazon Inspector.
**Nota**
Dopo aver assegnato un amministratore delegato di Amazon Inspector, l'amministratore delegato di Amazon Inspector deve associare gli account dei membri manualmente.
**Per rimuovere l'amministratore delegato**
1. Accedere all'account di gestione Console di gestione AWS utilizzando l'account AWS Organizations di gestione.
1. [Apri la console Amazon Inspector su v2/home. https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/v2/home)
1. Usa il selettore di regione per scegliere Regione AWS dove vuoi rimuovere l'amministratore delegato.
1. Dal riquadro di navigazione, scegli Impostazioni **generali**.
1. In **Amministratore delegato**, scegli **Rimuovi**, quindi conferma l'azione.
**Per associare i membri a un nuovo amministratore delegato**
1. [Accedi utilizzando le credenziali dell'account amministratore delegato, quindi apri la console Amazon Inspector su v2/home. https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/v2/home)
1. Usa il selettore della regione per scegliere Regione AWS dove vuoi associare i membri.
1. Dal riquadro di navigazione, scegli **Gestione account**.
1. In **Organizzazione**, seleziona la casella accanto a **Numero di account**.
1. Scegli **Azioni**, quindi scegli **Aggiungi membro**.