View a markdown version of this page

Amazon Inspector 정책 구문 및 예제 - AWS Organizations

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Inspector 정책 구문 및 예제

Amazon Inspector 정책은 조직 전체에서 Amazon Inspector를 활성화하고 구성하는 방법을 정의하는 표준화된 JSON 구문을 따릅니다. Amazon Inspector 정책은 AWS Organizations 관리 정책 구문에 따라 구조화된 JSON 문서입니다. Amazon Inspector를 자동으로 활성화할 조직 엔터티를 정의합니다.

Amazon Inspector 정책의 주요 고려 사항

Amazon Inspector 정책을 생성하기 전에 정책 구문에 대한 다음 주요 사항을 이해합니다.

  • enable_in_regionsdisable_in_regions 목록은 정책에 포함된 각 스캔 유형에 모두 필요하지만 빈 배열()일 수 있습니다"@@assign": [].

  • 유효 정책을 처리할 때 disable_in_regions가 보다 우선합니다enable_in_regions. 리전이 두 목록에 모두 나타나면 해당 리전에서 스캔이 비활성화됩니다.

  • 하위 정책은 명시적으로 제한되지 않는 한 상속 연산자(@@assign, @@append, @@remove)를 사용하여 상위 정책을 수정할 수 있습니다.

  • ALL_SUPPORTED 지정에는 Amazon Inspector를 사용할 수 있는 현재 리전과 향후 AWS 리전이 모두 포함됩니다.

  • 리전 이름은 Amazon Inspector가 지원되는 유효한 AWS 리전이어야 합니다. 리전 이름이 잘못되면 검증 오류가 발생합니다.

기본 정책 구조

Amazon Inspector 정책은이 기본 구조를 사용합니다. 빈 배열disable_in_regions인 경우에도 각 스캔 유형에는 enable_in_regions 및가 모두 필요합니다.

{ "inspector": { "enablement": { "ec2_scanning": { "enable_in_regions": { "@@assign": ["us-east-1", "us-west-2"] }, "disable_in_regions": { "@@assign": ["eu-west-1"] } } } } }

정책 구성 요소

Amazon Inspector 정책에는 다음과 같은 주요 구성 요소가 포함되어 있습니다.

inspector

모든 Amazon Inspector 정책에 필요한 Amazon Inspector 정책 문서의 최상위 키입니다.

enablement

조직 전체에서 Amazon Inspector가 활성화되는 방법을 정의하고 스캔 유형 구성을 포함합니다.

Regions (Array of Strings)

Amazon Inspector를 자동으로 활성화해야 하는 리전을 지정합니다.

스캔 유형

스캔 유형 Key(키) 필수
Lambda 표준 스캔 lambda_standard_scanning 아니요
Lambda 코드 스캔 lambda_standard_scanning.lambda_code_scanning 아니요
EC2 스캔 ec2_scanning 아니요
ECR 스캔 ecr_scanning 아니요
코드 리포지토리 스캔 code_repository_scanning 아니요

각 스캔 유형은 선택 사항입니다. 구성하려는 스캔 유형만 포함합니다. 그러나 포함하는 각 스캔 유형에 대해 enable_in_regionsdisable_in_regions가 모두 필요합니다.

Amazon Inspector 정책 예제

다음 예제에서는 일반적인 Amazon Inspector 정책 구성을 보여줍니다.

예제 1 - 조직 전체의 Amazon Inspector 활성화

다음 예시에서는 조직 루트의 모든 계정에 us-west-2 대해 us-east-1 및에서 Amazon Inspector를 활성화합니다.

inspector-policy-enable.json 파일을 생성합니다.

{ "inspector": { "enablement": { "lambda_standard_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] }, "lambda_code_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } } }, "ec2_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } }, "ecr_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } }, "code_repository_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } } } } }

루트에 연결되면 조직의 모든 계정이 Amazon Inspector를 자동으로 활성화하고 Amazon Inspector 위임된 관리자가 스캔 결과를 사용할 수 있습니다.

정책을 생성하고 연결합니다.

POLICY_ID=$(aws organizations create-policy \ --content file://inspector-policy-enable.json \ --name InspectorOrgPolicy \ --type INSPECTOR_POLICY \ --description "Inspector organization policy to enable all resources in IAD and PDX." \ --query 'Policy.PolicySummary.Id' \ --output text) aws organizations attach-policy --policy-id $POLICY_ID --target-id <root-id>

조직에 가입하는 모든 새 계정은 자동으로 활성화를 상속합니다.

분리된 경우 기존 계정은 활성화된 상태로 유지되지만 향후 계정은 자동으로 활성화되지 않습니다.

aws organizations detach-policy --policy-id $POLICY_ID --target-id <root-id>

예제 2 - 특정 OU에 대해 Amazon Inspector 활성화

inspector-policy-eu-west-1.json 파일을 생성합니다.

{ "inspector": { "enablement": { "lambda_standard_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] }, "lambda_code_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } } }, "ec2_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } }, "ecr_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } }, "code_repository_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } } } } }

의 모든 프로덕션 계정에 eu-west-1 Amazon Inspector가 활성화되고 Amazon Inspector 위임된 관리자에게 연결되도록 하려면 OU에 연결합니다.

aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)" aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678

OU 외부의 계정은 영향을 받지 않습니다.