Noções básicas sobre a conta do administrador delegado e as contas-membro no Amazon Inspector - Amazon Inspector
Modelo de governança de políticas organizacionaisAções de administrador delegadoAções da conta de membro

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Noções básicas sobre a conta do administrador delegado e as contas-membro no Amazon Inspector

Ao usar o Amazon Inspector em um ambiente de várias contas, a conta de administrador delegado tem acesso a determinados metadados. Os metadados incluem escaneamento padrão para Amazon EC2, Amazon ECR e Lambda e escaneamento de código Lambda. Também incluem resultados de descobertas de segurança de contas-membro. Esta seção fornece informações sobre quais ações a conta de administrador delegado pode realizar e quais as contas-membro podem realizar.

Modelo de governança de políticas organizacionais

Quando AWS Organizations as políticas são usadas para habilitar o Amazon Inspector, é aplicado um modelo de governança que determina quais ações são permitidas:

Recursos gerenciados por políticas

Os recursos explicitamente ativados ou desativados pelas políticas da organização não podem ser modificados por administradores delegados ou contas de membros. As solicitações de API para ativar ou desativar os tipos de escaneamento gerenciados por políticas falharão com um erro claro indicando que o recurso é gerenciado pela política da organização.

Non-policy-managed recursos

Recursos não especificados nas políticas da organização podem ser gerenciados normalmente por administradores delegados e contas membros usando o console ou a API do Amazon Inspector.

Gerenciamento de configuração de digitalização

Os administradores delegados sempre podem definir configurações de escaneamento, como modos de EC2 escaneamento, caminhos de inspeção detalhados e durações de reescaneamento do ECR, independentemente de os tipos de recursos serem gerenciados por políticas. As políticas da organização controlam somente se o escaneamento está habilitado, não como ele funciona.

Para obter mais informações sobre como criar e gerenciar as políticas da organização do Amazon Inspector, consulte a AWS Organizations documentação das políticas do Amazon Inspector.

Ações de administrador delegado

Geralmente, quando o administrador delegado aplica configurações à sua conta, essas configurações são aplicadas a todas as outras contas da organização. O administrador delegado também pode visualizar e recuperar informações da própria conta e de qualquer membro associado. Uma conta de administrador delegado do Amazon Inspector pode executar as seguintes ações:

  • Somente a conta AWS Organizations de gerenciamento pode designar e remover um administrador delegado.

  • Ao designar um administrador delegado, você deve estar na mesma organização das contas de membros que deseja gerenciar.

  • Visualize e gerencie o status do Amazon Inspector para contas associadas, incluindo a ativação e a desativação do Amazon Inspector.

  • Habilitar ou desabilitar tipos de verificação para todas as contas-membro da organização.

  • Visualize dados agregados de descoberta em toda a organização e detalhes de localização de todas as contas de membros da organização.

  • Crie e gerencie regras de supressão que sejam aplicáveis às descobertas de todas as contas na organização.

  • Ative o escaneamento aprimorado do Amazon ECR para todos os membros da organização.

  • Veja a cobertura de recursos para toda a organização.

  • Defina a duração para verificações automáticas de imagens de contêiner do ECR para todas as contas-membro da organização. A configuração de duração do escaneamento do administrador delegado substitui qualquer configuração definida anteriormente pela conta do membro. Todas as contas na organização compartilham a duração da nova verificação automatizada do Amazon ECR dos administradores delegados. Você não pode definir diferentes durações da nova verificação para contas individuais.

  • Especifique cinco caminhos personalizados para a inspeção profunda do Amazon Inspector para a Amazon, EC2 que serão usados em todas as contas da organização. Eles são um acréscimo aos cinco caminhos personalizados que um administrador delegado pode definir para sua conta individual. Para ter mais informações sobre como configurar caminhos personalizados para inspeção profunda, consulte Caminhos personalizados para a inspeção profunda do Amazon Inspector.

  • Ative e desative a inspeção profunda do Amazon Inspector para contas-membro.

  • Exporte SBOMs para qualquer conta de membro na organização.

  • Defina o modo de EC2 digitalização da Amazon para todas as contas membros da organização. Para obter mais informações, consulte Gerenciar o modo de digitalização.

  • Crie e gerencie configurações de verificação do CIS para todas as contas na organização, exceto para quaisquer configurações de verificação criadas por contas-membro.

    nota

    Se uma conta-membro sair da organização, o administrador delegado não poderá mais ver as configurações de verificação programadas por essa conta.

  • Visualizar os resultados da verificação do CIS para todas as contas na organização.

  • Quando as políticas da organização estão em uso, defina as configurações de escaneamento para recursos gerenciados por políticas, mas não pode habilitar ou desabilitar os próprios tipos de escaneamento gerenciados por políticas.

Ações da conta de membro

Uma conta-membro pode visualizar e recuperar informações sobre a própria conta no Amazon Inspector, e as configurações da conta são gerenciadas pelo administrador delegado. As contas de membro de uma empresa podem executar as seguintes ações no Amazon Inspector:

  • Ativar os escaneamentos do Amazon Inspector para sua conta.

  • Visualizar a cobertura de recursos para sua própria conta.

  • Visualizar os detalhes das descobertas para sua conta.

  • Visualizar a configuração de duração da nova digitalização automática da imagem do contêiner ECR para sua conta.

  • Especifique cinco caminhos personalizados para a inspeção profunda do Amazon Inspector, EC2 que serão usados em sua conta individual. Esses caminhos são verificados, além de quaisquer caminhos personalizados que o administrador delegado tenha especificado para a organização. Para ter mais informações sobre como configurar caminhos para inspeção profunda, consulte Caminhos personalizados para a inspeção profunda do Amazon Inspector.

  • Veja os caminhos personalizados definidos pelo administrador delegado para a inspeção profunda do Amazon Inspector.

  • Exporte SBOMs para qualquer recurso associado à sua conta.

  • Visualize o modo de verificação da conta.

  • Criar e gerenciar as configurações de verificação do CIS para sua conta.

  • Veja os resultados de qualquer verificação do CIS para recursos em sua conta, inclusive aquelas programadas pelo administrador delegado.

  • Ative os tipos de escaneamento que não são gerenciados pelas políticas da organização. Os tipos de escaneamento gerenciados por políticas não podem ser ativados ou desativados pelas contas dos membros.

nota

Após a ativação, o Amazon Inspector pode ser desativado somente por uma conta de administrador delegado.