Tutorial introduttivo: attivazione di Amazon Inspector - Amazon Inspector

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tutorial introduttivo: attivazione di Amazon Inspector

Questo argomento descrive come attivare Amazon Inspector per un ambiente di account autonomo (account membro) e un ambiente multi-account (account amministratore delegato). Quando attivi Amazon Inspector, inizia automaticamente a rilevare i carichi di lavoro e a scansionarli per individuare vulnerabilità del software ed esposizione involontaria della rete.

Standalone account environment

La procedura seguente descrive come attivare Amazon Inspector nella console per un account membro. Per attivare Amazon Inspector in modo programmatico, inspector2-. enablement-with-cli

  1. Accedi utilizzando le tue credenziali, quindi apri la console https://console.aws.amazon.com/inspector/ Amazon Inspector su v2/home.

  2. Seleziona Inizia.

  3. Scegli Activate Amazon Inspector.

Quando attivi Amazon Inspector per un account indipendente, tutti i tipi di scansione vengono attivati per impostazione predefinita. Per informazioni sugli account membro, consulta Comprendere l'account amministratore delegato e gli account membro in Amazon Inspector.

Multi-account (with AWS Organizations policy)

AWS Organizations le policy forniscono una governance centralizzata per abilitare Amazon Inspector in tutta l'organizzazione. Quando utilizzi una politica aziendale, l'abilitazione di Amazon Inspector viene gestita automaticamente per tutti gli account coperti dalla policy e gli account dei membri non possono modificare la scansione gestita dalla policy utilizzando l'API Amazon Inspector.

Prerequisiti

  • Il tuo account deve far parte di un'organizzazione. AWS Organizations

  • È necessario disporre delle autorizzazioni per creare e gestire le politiche dell'organizzazione in AWS Organizations.

  • L'accesso affidabile per Amazon Inspector deve essere abilitato in. AWS Organizations Per istruzioni, consulta Enabling trusted access for Amazon Inspector nella Guida per l'AWS Organizations utente.

  • I ruoli collegati al servizio Amazon Inspector devono esistere nell'account di gestione. Per crearli, abilita Amazon Inspector nell'account di gestione o esegui i seguenti comandi dall'account di gestione:

    • aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com

    • aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com

  • È necessario designare un amministratore delegato di Amazon Inspector.

Nota

Senza i ruoli di account di gestione e amministratore delegato collegati al servizio di Amazon Inspector, le politiche dell'organizzazione applicheranno l'abilitazione di Amazon Inspector, ma gli account dei membri non saranno associati all'organizzazione Amazon Inspector per i risultati centralizzati e la gestione degli account.

Per abilitare Amazon Inspector utilizzando le politiche AWS Organizations

  1. Designare un amministratore delegato per Amazon Inspector prima di creare politiche organizzative per garantire che gli account dei membri siano associati all'organizzazione Amazon Inspector per una visibilità centralizzata dei risultati. Accedi all'account di AWS Organizations gestione, apri la console Amazon Inspector su https://console.aws.amazon.com/inspector/v2/home e segui i passaggi indicati. Designazione di un amministratore delegato per l'organizzazione AWS

    Nota

    Ti consigliamo vivamente di mantenere uguali l'ID dell'account amministratore delegato di AWS Organizations Amazon Inspector e l'ID dell'account amministratore delegato designato da Amazon Inspector. Se l'ID dell'account amministratore AWS Organizations delegato è diverso dall'ID dell'account amministratore delegato di Amazon Inspector, Amazon Inspector dà la priorità all'ID dell'account designato da Amazon Inspector. Quando l'amministratore delegato di Amazon Inspector non è impostato ma l'amministratore AWS Organizations delegato è impostato e l'account di gestione ha i ruoli collegati al servizio Amazon Inspector, Amazon Inspector assegna automaticamente l'ID dell'account amministratore delegato come amministratore AWS Organizations delegato di Amazon Inspector.

  2. Nella console Amazon Inspector, accedi alle impostazioni generali dall'account di gestione. In Politica di delega, scegli Allega dichiarazione. Nella finestra di dialogo Allega dichiarazione sulla politica, esamina la politica, seleziona Riconosco di aver esaminato la politica e di aver compreso le autorizzazioni che concede, quindi scegli Allega dichiarazione.

    Importante

    L'account di gestione deve disporre delle seguenti autorizzazioni per allegare la dichiarazione sulla politica di delega:

    Se manca l'organizations:PutResourcePolicyautorizzazione, l'operazione ha esito negativo e viene visualizzato l'errore:Failed to attach statement to the delegation policy.

  3. Crea una policy di Amazon Inspector AWS Organizations che specifichi quali tipi di scansione abilitare e in quali regioni. Per istruzioni dettagliate sulla creazione delle politiche di Amazon Inspector, inclusa la sintassi e gli esempi delle policy, consulta la AWS Organizations documentazione per le politiche di Amazon Inspector.

  4. Allega la policy di Amazon Inspector alla radice, alle unità organizzative o agli account specifici della tua organizzazione in base ai requisiti di governance.

  5. (Facoltativo) Verifica che la politica sia stata applicata. L'applicazione delle policy è asincrona e può richiedere da alcuni secondi a diverse ore a seconda delle dimensioni dell'organizzazione. Nella console Amazon Inspector dell'amministratore delegato, accedi a Gestione account. In Organizzazione, visualizza gli account di ciascun membro e il relativo stato di attivazione. Per gli account abilitati tramite AWS Organizations policy, l'indicatore Attivato per ogni tipo di scansione mostrerà se la scansione è gestita mediante policy.

Quando Amazon Inspector è abilitato tramite le politiche dell'organizzazione, gli account coperti dalla politica non possono disabilitare i tipi di scansione gestiti dalle policy tramite l'API o la console di Amazon Inspector. Per informazioni dettagliate su ciò che gli amministratori delegati e gli account dei membri possono e non possono fare in base alle politiche dell'organizzazione, consulta. Gestione di più account in Amazon Inspector con AWS Organizations

Multi-account (without AWS Organizations policy)
Nota

È necessario utilizzare l'account AWS Organizations di gestione per completare questa procedura. Solo l'account AWS Organizations di gestione può designare un amministratore delegato. Potrebbero essere necessarie autorizzazioni per designare un amministratore delegato. Per ulteriori informazioni, consulta Autorizzazioni necessarie per designare un amministratore delegato.

Quando attivi Amazon Inspector per la prima volta, Amazon Inspector crea il AWSServiceRoleForAmazonInspector ruolo collegato al servizio per l'account. Per informazioni su come Amazon Inspector utilizza i ruoli collegati ai servizi, consulta. Utilizzo di ruoli collegati ai servizi per Amazon Inspector

Per designare un amministratore delegato per Amazon Inspector

  1. Accedi all'account di AWS Organizations gestione, quindi apri la console Amazon Inspector su https://console.aws.amazon.com/inspector/ v2/home.

  2. Scegli Avvia.

  3. In Amministratore delegato, inserisci l'ID a 12 cifre dell'ID Account AWS che desideri designare come amministratore delegato.

  4. Scegli Delegato, quindi scegli nuovamente Delegato.

  5. (Facoltativo) Se desideri attivare Amazon Inspector per l'account di AWS Organizations gestione, scegli Attiva Amazon Inspector in Autorizzazioni di servizio.

Quando si designa un amministratore delegato, per impostazione predefinita vengono attivati tutti i tipi di scansione per l'account. Per informazioni sull'account amministratore delegato, consulta Comprendere l'account amministratore delegato e gli account dei membri in Amazon Inspector.