Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sintassi ed esempi delle policy di Amazon Inspector
Le politiche di Amazon Inspector seguono una sintassi JSON standardizzata che definisce il modo in cui Amazon Inspector è abilitato e configurato all'interno dell'organizzazione. Una policy di Amazon Inspector è un documento JSON strutturato secondo la sintassi della policy di gestione di AWS Organizations. Definisce quali entità organizzative avranno Amazon Inspector abilitato automaticamente.
## Struttura delle politiche di base
Una policy di Amazon Inspector utilizza questa struttura di base:
```
{
"inspector": {
"enablement": {
"ec2_scanning": {
"enable_in_regions": {
"@@assign": ["us-east-1", "us-west-2"]
},
"disable_in_regions": {
"@@assign": ["eu-west-1"]
}
}
}
}
}
```
## Componenti della policy
Le politiche di Amazon Inspector contengono questi componenti chiave:
`inspector`
La chiave di primo livello per i documenti relativi alle policy di Amazon Inspector, necessaria per tutte le politiche di Amazon Inspector.
`enablement`
Definisce in che modo Amazon Inspector è abilitato all'interno dell'organizzazione e contiene le configurazioni dei tipi di scansione.
`Regions (Array of Strings)`
Speciifica le regioni in cui Amazon Inspector deve essere abilitato automaticamente.
## Esempi di policy di Amazon Inspector
Gli esempi seguenti illustrano le configurazioni comuni delle policy di Amazon Inspector.
### Esempio 1: abilitare Amazon Inspector a livello di organizzazione
L'esempio seguente abilita Amazon Inspector in `us-east-1` e `us-west-2` per tutti gli account nella radice dell'organizzazione.
Crea un file`inspector-policy-enable.json`:
```
{
"inspector": {
"enablement": {
"lambda_standard_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"lambda_code_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
}
},
"ec2_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
},
"ecr_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
},
"code_repository_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
}
}
}
}
```
Se collegati alla directory principale, tutti gli account dell'organizzazione abilitano automaticamente Amazon Inspector e i risultati della scansione sono disponibili per l'amministratore delegato di Amazon Inspector.
Crea e allega la policy:
```
POLICY_ID=$(aws organizations create-policy \
--content file://inspector-policy-enable.json \
--name InspectorOrgPolicy \
--type INSPECTOR_POLICY \
--description "Inspector organization policy to enable all resources in IAD and PDX." \
--query 'Policy.PolicySummary.Id' \
--output text)
aws organizations attach-policy --policy-id $POLICY_ID --target-id
```
Ogni nuovo account che entra a far parte dell'organizzazione eredita automaticamente l'abilitazione.
Se scollegati, gli account esistenti rimangono abilitati, ma gli account futuri non vengono abilitati automaticamente:
```
aws organizations detach-policy --policy-id $POLICY_ID --target-id
```
### Esempio 2: abilitare Amazon Inspector per un'unità organizzativa specifica
Crea un file`inspector-policy-eu-west-1.json`:
```
{
"inspector": {
"enablement": {
"lambda_standard_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
},
"lambda_code_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
}
},
"ec2_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
},
"ecr_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
},
"code_repository_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
}
}
}
}
```
Collegalo a un'unità organizzativa per assicurarti che tutti gli account di produzione abbiano Amazon Inspector abilitato e collegato all'amministratore delegato di Amazon Inspector: `eu-west-1`
```
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)"
aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
```
Gli account esterni all'unità organizzativa non sono interessati.