Tutorial de conceitos básicos: ativar o Amazon Inspector - Amazon Inspector

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tutorial de conceitos básicos: ativar o Amazon Inspector

Este tópico descreve como ativar o Amazon Inspector para um ambiente de conta independente (conta de membro) e para um ambiente de várias contas (conta de administrador delegado). Ao ativar o Amazon Inspector, ele automaticamente começa a descobrir workloads e verificá-las em busca de vulnerabilidades de software e exposição não intencional da rede.

Standalone account environment

O procedimento a seguir descreve como ativar o Amazon Inspector no console para uma conta de membro. Para ativar programaticamente o Amazon Inspector, inspector2-. enablement-with-cli

  1. Faça login usando suas credenciais e, em seguida, abra o console https://console.aws.amazon.com/inspector/ do Amazon Inspector em v2/home.

  2. Selecione a opção Conceitos básicos.

  3. Escolha Ativar o Amazon Inspector.

Ao ativar o Amazon Inspector em uma conta independente, todos os tipos de verificação são ativados por padrão. Consulte informações sobre as contas de membro em Conceitos básicos da conta de administrador delegado e das contas de membro no Amazon Inspector.

Multi-account (with AWS Organizations policy)

AWS Organizations as políticas fornecem governança centralizada para habilitar o Amazon Inspector em toda a sua organização. Quando você usa uma política da organização, a ativação do Amazon Inspector é gerenciada automaticamente para todas as contas cobertas pela política, e as contas membros não podem modificar a verificação gerenciada por políticas usando a API do Amazon Inspector.

Pré-requisitos

  • Sua conta deve fazer parte de uma AWS Organizations organização.

  • Você deve ter permissões para criar e gerenciar as políticas da organização no AWS Organizations.

  • O acesso confiável para o Amazon Inspector deve estar habilitado. AWS Organizations Para obter instruções, consulte Habilitar o acesso confiável para o Amazon Inspector no Guia do AWS Organizations Usuário.

  • As funções vinculadas ao serviço Amazon Inspector devem existir na conta de gerenciamento. Para criá-los, habilite o Amazon Inspector na conta de gerenciamento ou execute os seguintes comandos na conta de gerenciamento:

    • aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com

    • aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com

  • Um administrador delegado do Amazon Inspector deve ser designado.

nota

Sem as funções vinculadas ao serviço de conta de gerenciamento e administrador delegado do Amazon Inspector, as políticas da organização reforçarão a habilitação do Amazon Inspector, mas as contas dos membros não serão associadas à organização do Amazon Inspector para descobertas centralizadas e gerenciamento de contas.

Para habilitar o Amazon Inspector usando políticas AWS Organizations

  1. Designe um administrador delegado para o Amazon Inspector antes de criar políticas organizacionais para garantir que as contas dos membros sejam associadas à organização do Amazon Inspector para visibilidade centralizada das descobertas. Faça login na conta AWS Organizations de gerenciamento, abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/v2/home e siga as etapas. Designar um administrador delegado para sua organização AWS

    nota

    É altamente recomendável manter o ID da conta de administrador delegado do AWS Organizations Amazon Inspector e o ID da conta de administrador delegado designado do Amazon Inspector iguais. Se a ID da conta do administrador AWS Organizations delegado for diferente da ID da conta do administrador delegado do Amazon Inspector, o Amazon Inspector priorizará a ID da conta designada pelo Inspector. Quando o administrador delegado do Amazon Inspector não está definido, mas o administrador AWS Organizations delegado está definido e a conta de gerenciamento tem as funções vinculadas ao serviço Amazon Inspector, o Amazon Inspector atribui automaticamente o ID da conta do administrador delegado como administrador AWS Organizations delegado do Amazon Inspector.

  2. No console do Amazon Inspector, navegue até Configurações gerais na conta de gerenciamento. Em Política de delegação, escolha Anexar declaração. Na caixa de diálogo Anexar declaração de política, revise a política, selecione Reconheço que revisei a política e compreendo as permissões que ela concede e, em seguida, escolha Anexar declaração.

    Importante

    A conta de gerenciamento deve ter as seguintes permissões para anexar a declaração de política de delegação:

    Se a organizations:PutResourcePolicy permissão estiver ausente, a operação falhará com o erro:Failed to attach statement to the delegation policy.

  3. Crie uma política do Amazon Inspector AWS Organizations que especifique quais tipos de escaneamento devem ser habilitados e em quais regiões. Para obter instruções detalhadas sobre a criação de políticas do Amazon Inspector, incluindo exemplos e sintaxe de políticas, consulte a AWS Organizations documentação das políticas do Amazon Inspector.

  4. Anexe a política do Amazon Inspector à raiz da sua organização, unidades organizacionais ou contas específicas com base em seus requisitos de governança.

  5. (Opcional) Verifique se a política foi aplicada. A aplicação da política é assíncrona e pode levar de alguns segundos a várias horas, dependendo do tamanho da sua organização. No console do Amazon Inspector do administrador delegado, navegue até Gerenciamento de contas. Em Organização, veja a conta de cada membro e seu status de capacitação. Para contas habilitadas por meio de AWS Organizations políticas, o indicador Ativado para cada tipo de escaneamento mostrará se ele é gerenciado por políticas.

Quando o Amazon Inspector é ativado por meio das políticas da organização, as contas cobertas pela política não podem desativar os tipos de escaneamento gerenciados pela política por meio da API ou do console do Amazon Inspector. Para obter informações detalhadas sobre o que administradores delegados e contas de membros podem ou não fazer de acordo com as políticas da organização, consulte. Gerenciando várias contas no Amazon Inspector com AWS Organizations

Multi-account (without AWS Organizations policy)
nota

Você deve usar a conta AWS Organizations de gerenciamento para concluir esse procedimento. Somente a conta AWS Organizations de gerenciamento pode designar um administrador delegado. Podem ser necessárias permissões para designar um administrador delegado. Para obter mais informações, consulte Permissões necessárias para designar um administrador delegado.

Ao ativar o Amazon Inspector pela primeira vez, ele cria o perfil vinculado ao serviço AWSServiceRoleForAmazonInspector para a conta. Consulte informações sobre como o Amazon Inspector usa perfis vinculados ao serviço em Uso de funções vinculadas a serviço para o Amazon Inspector.

Designar um administrador delegado do Amazon Inspector

  1. Faça login na conta AWS Organizations de gerenciamento e, em seguida, abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/ v2/home.

  2. Escolha Começar.

  3. Em Administrador delegado, insira a ID de 12 dígitos do Conta da AWS que você deseja designar como administrador delegado.

  4. Escolha Delegar e Delegar novamente.

  5. (Opcional) Se você quiser ativar o Amazon Inspector para a conta de AWS Organizations gerenciamento, escolha Ativar Amazon Inspector em Permissões de serviço.

Ao designar um administrador delegado, todos os tipos de verificação são ativados para a conta por padrão. Consulte informações sobre a conta de administrador delegado em Conceitos básicos da conta de administrador delegado e contas de membro no Amazon Inspector.