시작하기 자습서: Amazon Inspector 활성화

이 주제에서는 독립 실행형 계정 환경(멤버 계정) 및 다중 계정 환경(위임된 관리자 계정)에 대해 Amazon Inspector를 활성화하는 방법을 설명합니다. Amazon Inspector를 활성화하면 워크로드를 자동으로 검색하고 소프트웨어 취약성 및 의도하지 않은 네트워크 노출이 있는지 스캔하기 시작합니다.

Standalone account environment

다음 절차에서는 콘솔에서 멤버 계정에 대해 Amazon Inspector를 활성화하는 방법을 설명합니다. 프로그래밍 방식으로 Amazon Inspector를 활성화하려면 inspector2-enablement-with-cli를 사용합니다.

자격 증명을 사용하여 로그인한 다음 Amazon Inspector 콘솔(https://console.aws.amazon.com/inspector/v2/home)을 엽니다.
시작을 선택합니다.
Amazon Inspector 활성화를 선택합니다.

독립 실행형 계정에 대해 Amazon Inspector를 활성화하면 모든 스캔 유형이 기본적으로 활성화됩니다. 멤버 계정에 대한 자세한 내용은 Amazon Inspector의 위임된 관리자 계정 및 멤버 계정 이해를 참조하세요.

Multi-account (with AWS Organizations policy)

AWS Organizations 정책은 조직 전체에서 Amazon Inspector를 활성화하기 위한 중앙 집중식 거버넌스를 제공합니다. 조직 정책을 사용하면 정책이 적용되는 모든 계정에 대해 Amazon Inspector 활성화가 자동으로 관리되며, 멤버 계정은 Amazon Inspector API를 사용하여 정책 관리형 스캔을 수정할 수 없습니다.

사전 조건

계정은 AWS Organizations 조직의 일부여야 합니다.
에서 조직 정책을 생성하고 관리할 수 있는 권한이 있어야 합니다 AWS Organizations.
Amazon Inspector에 대한 신뢰할 수 있는 액세스를 활성화해야 합니다 AWS Organizations. 지침은 AWS Organizations 사용 설명서의 Amazon Inspector에 대한 신뢰할 수 있는 액세스 활성화를 참조하세요.
Amazon Inspector 서비스 연결 역할은 관리 계정에 있어야 합니다. 생성하려면 관리 계정에서 Amazon Inspector를 활성화하거나 관리 계정에서 다음 명령을 실행합니다.
- aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com
- aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com
Amazon Inspector 위임된 관리자를 지정해야 합니다.

참고

관리 계정 및 위임된 관리자의 서비스 연결 Amazon Inspector 역할이 없으면 조직 정책은 Amazon Inspector 활성화를 적용하지만 멤버 계정은 중앙 집중식 조사 결과 및 계정 관리를 위해 Amazon Inspector 조직과 연결되지 않습니다.

AWS Organizations 정책을 사용하여 Amazon Inspector를 활성화하려면

중앙 집중식 조사 결과 가시성을 위해 멤버 계정이 Amazon Inspector 조직과 연결되도록 조직 정책을 생성하기 전에 Amazon Inspector의 위임된 관리자를 지정합니다. AWS Organizations 관리 계정에 로그인하고 https://console.aws.amazon.com/inspector/v2/home Amazon Inspector 콘솔을 연 다음의 단계를 따릅니다AWS 조직의 위임된 관리자 지정.

참고
AWS Organizations Amazon Inspector 위임된 관리자 계정 ID와 Amazon Inspector 지정 위임된 관리자 계정 ID를 동일하게 유지하는 것이 좋습니다. AWS Organizations 위임된 관리자 계정 ID가 Amazon Inspector 위임된 관리자 계정 ID와 다른 경우 Amazon Inspector는 Inspector 지정 계정 ID의 우선 순위를 지정합니다. Amazon Inspector 위임된 관리자가 설정되지 않았지만 AWS Organizations 위임된 관리자가 설정되고 관리 계정에 Amazon Inspector 서비스 연결 역할이 있는 경우 Amazon Inspector는 AWS Organizations 위임된 관리자 계정 ID를 Amazon Inspector 위임된 관리자로 자동으로 할당합니다.
Amazon Inspector 콘솔에서 관리 계정의 일반 설정으로 이동합니다. 위임 정책에서 문 연결을 선택합니다. 정책 설명 연결 대화 상자에서 정책을 검토하고 정책을 검토했으며 정책이 부여하는 권한을 이해했음을 확인함을 선택한 다음 설명 연결을 선택합니다.
중요
위임 정책 설명을 연결하려면 관리 계정에 다음 권한이 있어야 합니다.
- AmazonInspector2FullAccess_v2 관리형 정책의 Amazon Inspector 권한 AmazonInspector2FullAccess
- AWS Organizations organizations:PutResourcePolicy AWSOrganizationsFullAccess 관리형 정책의 권한
organizations:PutResourcePolicy 권한이 누락된 경우 작업이 실패하고 오류가 발생합니다Failed to attach statement to the delegation policy.
에서 활성화할 스캔 유형과 리전을 AWS Organizations 지정하는 Amazon Inspector 정책을 생성합니다. 정책 구문 및 예제를 포함하여 Amazon Inspector 정책을 생성하는 방법에 대한 자세한 지침은 Amazon Inspector 정책 AWS Organizations 설명서를 참조하세요.
거버넌스 요구 사항에 따라 조직 루트, 조직 단위 또는 특정 계정에 Amazon Inspector 정책을 연결합니다.
(선택 사항) 정책이 적용되었는지 확인합니다. 정책 애플리케이션은 비동기식이며 조직 크기에 따라 몇 초에서 몇 시간이 걸릴 수 있습니다. 위임된 관리자의 Amazon Inspector 콘솔에서 계정 관리로 이동합니다. 조직에서 각 멤버 계정과 활성화 상태를 확인합니다. AWS Organizations 정책을 통해 활성화된 계정의 경우 각 스캔 유형에 대해 활성화된 표시기에 정책 관리형인지 여부가 표시됩니다.

조직 정책을 통해 Amazon Inspector를 활성화하면 정책이 적용되는 계정은 Amazon Inspector API 또는 콘솔을 통해 정책 관리형 스캔 유형을 비활성화할 수 없습니다. 위임된 관리자 및 멤버 계정이 조직 정책에 따라 수행할 수 있는 작업과 수행할 수 없는 작업에 대한 자세한 내용은 섹션을 참조하세요를 사용하여 Amazon Inspector에서 여러 계정 관리 AWS Organizations.

Multi-account (without AWS Organizations policy)

참고

이 절차를 완료하려면 AWS Organizations 관리 계정을 사용해야 합니다. AWS Organizations 관리 계정만 위임된 관리자를 지정할 수 있습니다. 위임된 관리자를 지정하려면 권한이 필요할 수 있습니다. 자세한 내용은 위임 관리자를 지정하는 데 필요한 권한 단원을 참조하십시오.

Amazon Inspector를 처음 활성화하면 Amazon Inspector가 해당 계정에 대한 서비스 연결 역할 AWSServiceRoleForAmazonInspector를 생성합니다. Amazon Inspector에서 서비스 연결 역할을 사용하는 방법에 대한 자세한 내용은 Amazon Inspector에 서비스 연결 역할 사용 섹션을 참조하세요.

Amazon Inspector 위임 관리자를 지정하려면

AWS Organizations 관리 계정에 로그인한 다음 https://console.aws.amazon.com/inspector/v2/home Amazon Inspector 콘솔을 엽니다.
Get started를 선택합니다.
위임된 관리자에서 위임된 관리자로 AWS 계정 지정할의 12자리 ID를 입력합니다.
위임을 선택한 다음 위임을 다시 선택합니다.
(선택 사항) AWS Organizations 관리 계정에 대해 Amazon Inspector를 활성화하려면 서비스 권한에서 Amazon Inspector 활성화를 선택합니다.

위임된 관리자를 지정하면 기본적으로 계정에 대해 모든 스캔 유형이 활성화됩니다. 위임된 관리자 계정에 대한 자세한 내용은 Amazon Inspector의 위임된 관리자 계정 및 멤버 계정 이해를 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

시작하기

자동 스캔

시작하기 자습서: Amazon Inspector 활성화

참고

AWS Organizations 정책을 사용하여 Amazon Inspector를 활성화하려면

참고

중요

참고