Amazon Inspector 정책

Amazon Inspector 정책을 사용하면 AWS 조직의 여러 계정에서 Amazon Inspector를 중앙에서 활성화하고 관리할 수 있습니다. Amazon Inspector 정책을 사용하여 Amazon Inspector가 자동으로 활성화되고 Amazon Inspector 위임된 관리자 계정에 연결된 조직 엔터티(루트, OUs 또는 계정)를 지정합니다. Amazon Inspector 정책을 사용하여 서비스 전반의 온보딩을 간소화하고 기존 계정과 새로 생성된 모든 계정에서 Amazon Inspector를 일관되게 활성화할 수 있습니다.

주요 기능 및 이점

Amazon Inspector 정책을 사용하면 조직 또는 조직의 하위 집합에 대해 활성화해야 하는 스캔 유형을 정의하여 일관된 적용 범위를 보장하고 수동 작업을 줄일 수 있습니다. 구현되면 새 계정을 자동으로 온보딩하고 조직이 확장됨에 따라 스캔 기준을 유지하는 데 도움이 됩니다.

작동 방법

Amazon Inspector 정책을 조직 엔터티에 연결하면이 정책은 해당 범위 내의 모든 멤버 계정에 대해 Amazon Inspector를 자동으로 활성화합니다. 또한 Amazon Inspector에 대한 위임된 관리자를 등록하여 Amazon Inspector 설정을 완료한 경우 해당 계정은 Amazon Inspector가 활성화된 조직의 계정에 대한 중앙 집중식 취약성 가시성을 갖게 됩니다.

Amazon Inspector 정책은 전체 조직, 특정 조직 단위(OUs) 또는 개별 계정에 적용할 수 있습니다. 조직에 가입하거나 연결된 Amazon Inspector 정책이 있는 OU로 이동하는 계정은 정책을 자동으로 상속하고 Amazon Inspector가 활성화되고 Amazon Inspector 위임된 관리자에게 연결되도록 합니다. Amazon Inspector 정책을 사용하면 Amazon EC2 스캔, Amazon ECR 스캔 또는 Lambda 표준 및 코드 스캔과 코드 보안을 활성화할 수 있습니다. 조직의 위임된 관리자 계정을 통해 특정 구성 설정 및 금지 규칙을 관리할 수 있습니다.

Amazon Inspector 정책을 조직 또는 조직 단위에 연결하면 AWS Organizations는 정책을 자동으로 평가하고 사용자가 정의한 범위에 따라 정책을 적용합니다. 이 정책 적용 프로세스는 다음과 같은 특정 충돌 해결 규칙을 따릅니다.

활성화 및 비활성화 목록 모두에 리전이 표시되면 비활성화 구성이 우선합니다. 예를 들어 리전이 활성화 및 비활성화 구성 모두에 나열된 경우 Amazon Inspector는 해당 리전에서 비활성화됩니다.
활성화를 위해 ALL_SUPPORTED를 지정하면 명시적으로 비활성화되지 않는 한 모든 현재 및 향후 리전에서 Amazon Inspector가 활성화됩니다. 이를 통해가 새 리전으로 확장됨에 따라 AWS 포괄적인 적용 범위를 유지할 수 있습니다.
하위 정책은 상속 연산자를 사용하여 상위 정책 설정을 수정할 수 있으므로, 조직의 다양한 수준에서 세분화된 제어가 가능합니다. 이 계층적 접근 방식을 사용하면 특정 조직 단위가 기준 제어를 유지하면서 보안 설정을 사용자 지정할 수 있습니다.

용어

이 주제에서는 Amazon Inspector 정책을 논의할 때 다음 용어를 사용합니다.

용어	정의
유효 정책	모든 상속된 정책을 결합한 후 계정에 적용되는 최종 정책입니다.
정책 상속	계정이 상위 조직 단위로부터 정책을 상속하는 프로세스입니다.
위임된 관리자	조직을 대신하여 Amazon Inspector 정책을 관리하도록 지정된 계정입니다.
서비스 연결 역할	Amazon Inspector가 다른 AWS 서비스와 상호 작용할 수 있도록 허용하는 IAM 역할입니다.

Amazon Inspector 정책의 사용 사례

여러 계정에서 대규모 워크로드를 시작하는 조직은이 정책을 사용하여 모든 계정이 올바른 스캔 유형을 즉시 활성화하고 격차를 방지할 수 있습니다. 규제 또는 규정 준수 기반 환경은 하위 정책을 사용하여 OU별로 스캔 유형을 재정의하거나 제한할 수 있습니다. 빠른 성장 환경은 새로 생성된 계정의 활성화를 자동화하여 항상 기준을 준수할 수 있습니다.

정책 상속 및 적용

정책을 상속하고 적용하는 방법을 이해하는 것은 조직 전체의 효과적인 보안 관리에 매우 중요합니다. 상속 모델은 AWS Organizations 계층 구조를 따르므로 예측 가능하고 일관된 정책 애플리케이션을 보장합니다.

루트 수준에서 연결된 정책은 모든 계정에 적용됩니다.
계정은 상위 조직 단위로부터 정책을 상속합니다.
단일 계정에 여러 정책을 적용할 수 있습니다.
보다 구체적인 정책(계층 구조상 해당 계정에 더 가까움)이 우선합니다.

정책 검증

Amazon Inspector 정책을 생성할 때 다음과 같은 검증이 수행됩니다.

리전 이름은 유효한 AWS 리전 식별자여야 합니다.
리전은 Amazon Inspector에서 지원해야 합니다.
정책 구조는 AWS Organizations 정책 구문 규칙을 따라야 합니다.
enable_in_regions 및 disable_in_regions 목록이 모두 있어야 하지만 비어 있을 수 있습니다.

리전별 고려 사항 및 지원되는 리전

Amazon Inspector 정책은 Amazon Inspector 및 AWS Organizations의 신뢰할 수 있는 액세스를 사용할 수 있는 리전에만 적용됩니다. 리전별 행동을 이해하면 조직의 글로벌 사업 영역 전반에 걸쳐 효과적인 보안 제어를 구현하는 데 도움이 됩니다.

정책 적용은 각 리전에서 독립적으로 수행됩니다.
정책에 포함하거나 제외할 리전을 지정할 수 있습니다.
ALL_SUPPORTED 옵션을 사용하면 새 리전이 자동으로 포함됩니다.
정책은 Amazon Inspector를 사용할 수 있는 리전에만 적용됩니다.

분리 동작

Amazon Inspector 정책을 분리하면 Amazon Inspector는 이전에 적용된 계정에서 활성화된 상태로 유지됩니다. 그러나 조직 구조의 향후 변경 사항(예: 새 계정 가입 또는 OU로 이전하는 기존 계정)은 더 이상 Amazon Inspector를 자동으로 활성화하지 않습니다. 추가 활성화는 수동으로 수행하거나 정책을 다시 연결하여 수행해야 합니다.

추가 세부 정보

위임된 관리자

조직의 Amazon Inspector에는 위임된 관리자 한 명만 등록할 수 있습니다. Amazon Inspector 정책을 연결하기 전에 Amazon Inspector 콘솔 또는 APIs를 통해 이를 구성해야 합니다.

사전 조건

AWS Organizations에 대해 신뢰할 수 있는 액세스를 활성화하고, Amazon Inspector에 대해 위임된 관리자가 등록되어 있으며, 모든 계정에서 서비스 연결 역할을 사용할 수 있어야 합니다.

지원되는 리전

Amazon Inspector를 사용할 수 있는 모든 리전.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Amazon Bedrock 정책 구문 및 예제

시작하기