Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sintassi ed esempi delle policy di Amazon Inspector
Le politiche di Amazon Inspector seguono una sintassi JSON standardizzata che definisce il modo in cui Amazon Inspector è abilitato e configurato all'interno dell'organizzazione. Una policy di Amazon Inspector è un documento JSON strutturato secondo la sintassi della policy di gestione di AWS Organizations. Definisce quali entità organizzative avranno Amazon Inspector abilitato automaticamente.
Considerazioni chiave per le politiche di Amazon Inspector
Prima di creare le policy di Amazon Inspector, comprendi questi punti chiave sulla sintassi delle policy:
-
Entrambi
enable_in_regionsglidisable_in_regionselenchi sono obbligatori per ogni tipo di scansione incluso nella policy, sebbene possano essere array vuoti ()."@@assign": [] -
Nell'elaborazione di politiche efficaci, ha la
disable_in_regionsprecedenza su.enable_in_regionsSe una regione appare in entrambi gli elenchi, la scansione sarà disattivata in quella regione. -
Le politiche secondarie possono modificare le politiche principali utilizzando gli operatori di ereditarietà (
@@assign,@@append,@@remove) a meno che non siano esplicitamente limitate. -
La
ALL_SUPPORTEDdesignazione include le AWS regioni attuali e future in cui Amazon Inspector è disponibile. -
I nomi delle regioni devono essere AWS regioni valide in cui è supportato Amazon Inspector. I nomi di regione non validi causeranno un errore di convalida.
Struttura politica di base
Una policy di Amazon Inspector utilizza questa struttura di base. Ogni tipo di scansione richiede entrambi enable_in_regionsdisable_in_regions, anche se uno è un array vuoto.
{ "inspector": { "enablement": { "ec2_scanning": { "enable_in_regions": { "@@assign": ["us-east-1", "us-west-2"] }, "disable_in_regions": { "@@assign": ["eu-west-1"] } } } } }
Componenti della policy
Le politiche di Amazon Inspector contengono questi componenti chiave:
inspector-
La chiave di primo livello per i documenti relativi alle policy di Amazon Inspector, necessaria per tutte le politiche di Amazon Inspector.
enablement-
Definisce in che modo Amazon Inspector è abilitato all'interno dell'organizzazione e contiene le configurazioni dei tipi di scansione.
Regions (Array of Strings)-
Speciifica le regioni in cui Amazon Inspector deve essere abilitato automaticamente.
Tipi di scansione
| Tipo di scansione | Chiave | Richiesto |
|---|---|---|
| Scansione standard Lambda | lambda_standard_scanning |
No |
| Scansione del codice Lambda | lambda_standard_scanning.lambda_code_scanning |
No |
| Scansione EC2 | ec2_scanning |
No |
| Scansione ECR | ecr_scanning |
No |
| Scansione dell'archivio di codici | code_repository_scanning |
No |
Ogni tipo di scansione è opzionale: include solo i tipi di scansione che desideri configurare. Tuttavia, per ogni tipo di scansione incluso, entrambi enable_in_regions disable_in_regions sono obbligatori.
Esempi di policy di Amazon Inspector
Gli esempi seguenti illustrano le configurazioni comuni delle policy di Amazon Inspector.
Esempio 1: abilitare Amazon Inspector a livello di organizzazione
L'esempio seguente abilita Amazon Inspector in us-east-1 e us-west-2 per tutti gli account nella radice dell'organizzazione.
Crea un fileinspector-policy-enable.json:
{ "inspector": { "enablement": { "lambda_standard_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] }, "lambda_code_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } } }, "ec2_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } }, "ecr_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } }, "code_repository_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } } } } }
Se collegati alla directory principale, tutti gli account dell'organizzazione abilitano automaticamente Amazon Inspector e i risultati della scansione sono disponibili per l'amministratore delegato di Amazon Inspector.
Crea e allega la policy:
POLICY_ID=$(aws organizations create-policy \ --content file://inspector-policy-enable.json \ --name InspectorOrgPolicy \ --type INSPECTOR_POLICY \ --description "Inspector organization policy to enable all resources in IAD and PDX." \ --query 'Policy.PolicySummary.Id' \ --output text) aws organizations attach-policy --policy-id $POLICY_ID --target-id <root-id>
Ogni nuovo account che entra a far parte dell'organizzazione eredita automaticamente l'abilitazione.
Se scollegati, gli account esistenti rimangono abilitati, ma gli account futuri non vengono abilitati automaticamente:
aws organizations detach-policy --policy-id $POLICY_ID --target-id <root-id>
Esempio 2: abilitare Amazon Inspector per un'unità organizzativa specifica
Crea un fileinspector-policy-eu-west-1.json:
{ "inspector": { "enablement": { "lambda_standard_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] }, "lambda_code_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } } }, "ec2_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } }, "ecr_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } }, "code_repository_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } } } } }
Collegalo a un'unità organizzativa per assicurarti che tutti gli account di produzione abbiano Amazon Inspector abilitato e collegato all'amministratore delegato di Amazon Inspector: eu-west-1
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)" aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
Gli account esterni all'unità organizzativa non sono interessati.