Tutorial introduttivo: attivazione di Amazon Inspector - Amazon Inspector

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tutorial introduttivo: attivazione di Amazon Inspector

Questo argomento descrive come attivare Amazon Inspector per un ambiente di account autonomo (account membro) e un ambiente multi-account (account amministratore delegato). Quando attivi Amazon Inspector, inizia automaticamente a rilevare i carichi di lavoro e a scansionarli per individuare vulnerabilità del software ed esposizione involontaria della rete.

Standalone account environment

La procedura seguente descrive come attivare Amazon Inspector nella console per un account membro. Per attivare Amazon Inspector in modo programmatico, inspector2-. enablement-with-cli

  1. Accedi utilizzando le tue credenziali, quindi apri la console https://console.aws.amazon.com/inspector/ Amazon Inspector su v2/home.

  2. Seleziona Inizia.

  3. Scegli Activate Amazon Inspector.

Quando attivi Amazon Inspector per un account indipendente, tutti i tipi di scansione vengono attivati per impostazione predefinita. Per informazioni sugli account membro, consulta Comprendere l'account amministratore delegato e gli account membro in Amazon Inspector.

Multi-account (with AWS Organizations policy)

AWS Organizations le policy forniscono una governance centralizzata per abilitare Amazon Inspector in tutta l'organizzazione. Quando utilizzi una politica aziendale, l'abilitazione di Amazon Inspector viene gestita automaticamente per tutti gli account coperti dalla policy e gli account dei membri non possono modificare la scansione gestita dalla policy utilizzando l'API Amazon Inspector.

Prerequisiti

  • Il tuo account deve far parte di un'organizzazione. AWS Organizations

  • È necessario disporre delle autorizzazioni per creare e gestire le politiche dell'organizzazione in AWS Organizations.

  • L'accesso affidabile per Amazon Inspector deve essere abilitato in. AWS Organizations Per istruzioni, consulta Enabling trusted access for Amazon Inspector nella Guida per l'AWS Organizations utente.

  • I ruoli collegati al servizio Amazon Inspector devono esistere nell'account di gestione. Per crearli, abilita Amazon Inspector nell'account di gestione o esegui i seguenti comandi dall'account di gestione:

    • aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com

    • aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com

  • È necessario designare un amministratore delegato di Amazon Inspector.

Nota

Senza i ruoli di account di gestione e amministratore delegato collegati al servizio di Amazon Inspector, le politiche dell'organizzazione applicheranno l'abilitazione di Amazon Inspector, ma gli account dei membri non saranno associati all'organizzazione Amazon Inspector per i risultati centralizzati e la gestione degli account.

Per abilitare Amazon Inspector utilizzando le politiche AWS Organizations

  1. Designare un amministratore delegato per Amazon Inspector prima di creare politiche organizzative per garantire che gli account dei membri siano associati all'organizzazione Amazon Inspector per una visibilità centralizzata dei risultati. Accedi all'account di AWS Organizations gestione, apri la console Amazon Inspector su https://console.aws.amazon.com/inspector/v2/home e segui i passaggi indicati. Designazione di un amministratore delegato per l'organizzazione AWS

    Nota

    Ti consigliamo vivamente di mantenere uguali l'ID dell'account amministratore delegato di AWS Organizations Amazon Inspector e l'ID dell'account amministratore delegato designato da Amazon Inspector. Se l'ID dell'account amministratore AWS Organizations delegato è diverso dall'ID dell'account amministratore delegato di Amazon Inspector, Amazon Inspector dà la priorità all'ID dell'account designato da Amazon Inspector. Quando l'amministratore delegato di Amazon Inspector non è impostato ma l'amministratore AWS Organizations delegato è impostato e l'account di gestione ha i ruoli collegati al servizio Amazon Inspector, Amazon Inspector assegna automaticamente l'ID dell'account amministratore delegato come amministratore AWS Organizations delegato di Amazon Inspector.

  2. Nella console Amazon Inspector, accedi alle impostazioni generali dall'account di gestione. In Politica di delega, scegli Allega dichiarazione. Nella finestra di dialogo Allega dichiarazione sulla politica, esamina la politica, seleziona Riconosco di aver esaminato la politica e di aver compreso le autorizzazioni che concede, quindi scegli Allega dichiarazione.

    Importante

    L'account di gestione deve disporre delle seguenti autorizzazioni per allegare la dichiarazione sulla politica di delega:

    Se manca l'organizations:PutResourcePolicyautorizzazione, l'operazione ha esito negativo e viene visualizzato l'errore:Failed to attach statement to the delegation policy.

  3. Successivamente, crea una policy Amazon Inspector AWS Organizations . Dal pannello di navigazione, scegli Gestione, quindi scegli Configurazioni.

  4. Configura la politica di gestione delle vulnerabilità. Fornisci dettagli con nome e descrizione (facoltativo) per la politica.

  5. Nella pagina Configure Inspector, nella sezione Dettagli, immettere un nome e una descrizione per la politica. Nella selezione delle capacità, effettuate una delle seguenti operazioni:

    • Scegliete Configura e abilitate tutte le funzionalità (consigliato). Ciò attiva tutte le funzionalità di Inspector, tra cui EC2, ECR, Lambda standard, Lambda code scan e Code Security.

    • Scegli Seleziona sottoinsieme di funzionalità. Seleziona qualsiasi funzionalità del tipo di scansione che deve essere attivata.

  6. Nella sezione Selezione dell'account, seleziona una delle seguenti opzioni:

    • Scegli Tutte le unità organizzative e gli account se desideri applicare la configurazione a tutte le unità organizzative e gli account.

    • Scegli Unità organizzative e account specifici se desideri applicare la configurazione a unità organizzative e account specifici. Se scegli questa opzione, utilizza la barra di ricerca o l'albero della struttura organizzativa per specificare le unità organizzative e gli account a cui verrà applicata la politica.

    • Scegli Nessuna unità organizzativa o account se non desideri applicare la configurazione a nessuna unità organizzativa o account.

  7. Nella sezione Regioni, scegli Abilita tutte le regioni, Disabilita tutte le regioni o Specificare le regioni.

    • Se scegli Abilita tutte le regioni, puoi determinare se abilitare automaticamente le nuove regioni.

    • Se scegli Disabilita tutte le regioni, puoi determinare se disabilitare automaticamente le nuove regioni.

    • Se scegli Specificare le regioni, devi scegliere quali regioni vuoi abilitare e disabilitare.

    (Facoltativo) Per le impostazioni avanzate, fate riferimento alla guida di AWS Organizations.

    (Facoltativo) Per i tag Resource, aggiungete i tag come coppie chiave-valore per identificare facilmente la configurazione.

  8. Scegli Avanti, rivedi le modifiche, quindi scegli Applica. I tuoi account target sono configurati in base alla politica. Lo stato di configurazione della politica viene visualizzato nella parte superiore della pagina Politiche. Ogni funzionalità indica se è stata configurata o se si verificano errori di distribuzione. Per eventuali errori, scegli il link relativo al messaggio di errore per visualizzare maggiori dettagli. Per visualizzare la politica efficace a livello di account, puoi consultare la scheda Organizzazione nella pagina Configurazioni, dove puoi scegliere un account.

Quando Amazon Inspector è abilitato tramite le politiche dell'organizzazione, gli account coperti dalla politica non possono disabilitare i tipi di scansione gestiti dalle policy tramite l'API o la console di Amazon Inspector. Per informazioni dettagliate su ciò che gli amministratori delegati e gli account dei membri possono e non possono fare in base alle politiche dell'organizzazione, consulta. Gestione di più account in Amazon Inspector con AWS Organizations

Multi-account (without AWS Organizations policy)
Nota

È necessario utilizzare l'account AWS Organizations di gestione per completare questa procedura. Solo l'account AWS Organizations di gestione può designare un amministratore delegato. Potrebbero essere necessarie autorizzazioni per designare un amministratore delegato. Per ulteriori informazioni, consulta Autorizzazioni necessarie per designare un amministratore delegato.

Quando attivi Amazon Inspector per la prima volta, Amazon Inspector crea il AWSServiceRoleForAmazonInspector ruolo collegato al servizio per l'account. Per informazioni su come Amazon Inspector utilizza i ruoli collegati ai servizi, consulta. Utilizzo di ruoli collegati ai servizi per Amazon Inspector

Per designare un amministratore delegato per Amazon Inspector

  1. Accedi all'account di AWS Organizations gestione, quindi apri la console Amazon Inspector su https://console.aws.amazon.com/inspector/ v2/home.

  2. Scegli Avvia.

  3. In Amministratore delegato, inserisci l'ID a 12 cifre dell'ID Account AWS che desideri designare come amministratore delegato.

  4. Scegli Delegato, quindi scegli nuovamente Delegato.

  5. (Facoltativo) Se desideri attivare Amazon Inspector per l'account di AWS Organizations gestione, scegli Attiva Amazon Inspector in Autorizzazioni di servizio.

Quando si designa un amministratore delegato, per impostazione predefinita vengono attivati tutti i tipi di scansione per l'account. Per informazioni sull'account amministratore delegato, consulta Comprendere l'account amministratore delegato e gli account dei membri in Amazon Inspector.