Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sintassi ed esempi delle policy di Amazon Inspector
Le politiche di Amazon Inspector seguono una sintassi JSON standardizzata che definisce il modo in cui Amazon Inspector è abilitato e configurato all'interno dell'organizzazione. Una policy di Amazon Inspector è un documento JSON strutturato secondo la sintassi della policy di gestione di AWS Organizations. Definisce quali entità organizzative avranno Amazon Inspector abilitato automaticamente.
Struttura delle politiche di base
Una policy di Amazon Inspector utilizza questa struttura di base:
{ "inspector": { "enablement": { "ec2_scanning": { "enable_in_regions": { "@@assign": ["us-east-1", "us-west-2"] }, "disable_in_regions": { "@@assign": ["eu-west-1"] } } } } }
Componenti della policy
Le politiche di Amazon Inspector contengono questi componenti chiave:
inspector-
La chiave di primo livello per i documenti relativi alle policy di Amazon Inspector, necessaria per tutte le politiche di Amazon Inspector.
enablement-
Definisce in che modo Amazon Inspector è abilitato all'interno dell'organizzazione e contiene le configurazioni dei tipi di scansione.
Regions (Array of Strings)-
Speciifica le regioni in cui Amazon Inspector deve essere abilitato automaticamente.
Esempi di policy di Amazon Inspector
Gli esempi seguenti illustrano le configurazioni comuni delle policy di Amazon Inspector.
Esempio 1: abilitare Amazon Inspector a livello di organizzazione
L'esempio seguente abilita Amazon Inspector in us-east-1 e us-west-2 per tutti gli account nella radice dell'organizzazione.
Crea un fileinspector-policy-enable.json:
{ "inspector": { "enablement": { "lambda_standard_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] }, "lambda_code_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } } }, "ec2_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } }, "ecr_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } }, "code_repository_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } } } } }
Se collegati alla directory principale, tutti gli account dell'organizzazione abilitano automaticamente Amazon Inspector e i risultati della scansione sono disponibili per l'amministratore delegato di Amazon Inspector.
Crea e allega la policy:
POLICY_ID=$(aws organizations create-policy \ --content file://inspector-policy-enable.json \ --name InspectorOrgPolicy \ --type INSPECTOR_POLICY \ --description "Inspector organization policy to enable all resources in IAD and PDX." \ --query 'Policy.PolicySummary.Id' \ --output text) aws organizations attach-policy --policy-id $POLICY_ID --target-id <root-id>
Ogni nuovo account che entra a far parte dell'organizzazione eredita automaticamente l'abilitazione.
Se scollegati, gli account esistenti rimangono abilitati, ma gli account futuri non vengono abilitati automaticamente:
aws organizations detach-policy --policy-id $POLICY_ID --target-id <root-id>
Esempio 2: abilitare Amazon Inspector per un'unità organizzativa specifica
Crea un fileinspector-policy-eu-west-1.json:
{ "inspector": { "enablement": { "lambda_standard_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] }, "lambda_code_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } } }, "ec2_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } }, "ecr_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } }, "code_repository_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } } } } }
Collegalo a un'unità organizzativa per assicurarti che tutti gli account di produzione abbiano Amazon Inspector abilitato e collegato all'amministratore delegato di Amazon Inspector: eu-west-1
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)" aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
Gli account esterni all'unità organizzativa non sono interessati.
