As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Políticas do Amazon Inspector
As políticas do Amazon Inspector permitem que você habilite e gerencie centralmente o Amazon Inspector em todas as contas da sua organização. AWS Com uma política do Amazon Inspector, você especifica quais entidades organizacionais (raiz ou contas) têm o Amazon Inspector habilitado automaticamente e vinculado à conta de administrador delegado do Amazon Inspector. OUs Você pode usar as políticas do Amazon Inspector para simplificar a integração de todo o serviço e garantir a ativação consistente do Amazon Inspector em todas as contas existentes e recém-criadas.
Principais características e benefícios
As políticas do Amazon Inspector permitem que você defina quais tipos de escaneamento devem ser habilitados para sua organização ou subconjuntos dela, garantindo uma cobertura consistente e reduzindo o esforço manual. Quando implementados, eles ajudam você a integrar novas contas automaticamente e a manter sua linha de base de escaneamento à medida que sua organização cresce.
Como funciona
Quando você anexa uma política do Amazon Inspector a uma entidade organizacional, a política habilita automaticamente o Amazon Inspector para todas as contas membros dentro desse escopo. Além disso, se você finalizou a configuração do Amazon Inspector registrando um administrador delegado para o Amazon Inspector, essa conta terá visibilidade de vulnerabilidade centralizada sobre contas na organização que têm o Amazon Inspector ativado.
As políticas do Amazon Inspector podem ser aplicadas a toda a organização, a unidades organizacionais específicas (OUs) ou a contas individuais. As contas que ingressam na organização — ou se mudam para uma OU com uma política anexada do Amazon Inspector — herdam automaticamente a política e têm o Amazon Inspector ativado e vinculado ao administrador delegado do Amazon Inspector. As políticas do Amazon Inspector permitem que você habilite o escaneamento da Amazon, o EC2 escaneamento do Amazon ECR ou o Lambda Standard e o escaneamento de código, bem como a segurança do código. Configurações específicas e regras de supressão podem ser gerenciadas por meio da conta de administrador delegado da organização.
Quando você anexa uma política do Amazon Inspector à sua organização ou unidade organizacional, o AWS Organizations avalia automaticamente a política e a aplica com base no escopo que você define. O processo de aplicação da política segue regras específicas de resolução de conflitos:
-
Quando as regiões aparecem nas listas de ativação e desativação, a configuração de desativação tem precedência. Por exemplo, se uma região estiver listada nas configurações de ativação e desativação, o Amazon Inspector será desativado nessa região.
-
Quando
ALL_SUPPORTEDé especificado para ativação, o Amazon Inspector é ativado em todas as regiões atuais e futuras, a menos que seja explicitamente desativado. Isso permite que você mantenha uma cobertura abrangente à medida que AWS se expande para novas regiões. -
As políticas secundárias podem modificar as configurações da política principal usando operadores de herança, permitindo um controle granular em diferentes níveis organizacionais. Essa abordagem hierárquica garante que unidades organizacionais específicas possam personalizar suas configurações de segurança enquanto mantêm os controles básicos.
Terminologia
Este tópico usa os seguintes termos ao discutir as políticas do Amazon Inspector.
| Prazo | Definição |
|---|---|
| Política eficaz | A política final que se aplica a uma conta após a combinação de todas as políticas herdadas. |
| Herança de política | O processo pelo qual as contas herdam políticas das unidades organizacionais principais. |
| Administrador delegado | Uma conta designada para gerenciar as políticas do Amazon Inspector em nome da organização. |
| Perfil vinculado a serviço | Uma função do IAM que permite ao Amazon Inspector interagir com outros AWS serviços. |
Casos de uso das políticas do Amazon Inspector
Organizações que lançam cargas de trabalho em grande escala em várias contas podem usar essa política para garantir que todas as contas habilitem imediatamente os tipos de verificação corretos e evitem lacunas. Ambientes regulatórios ou orientados pela conformidade podem usar políticas secundárias para anular ou limitar os tipos de escaneamento por UO. Ambientes de rápido crescimento podem automatizar a capacitação de contas recém-criadas para que estejam sempre em conformidade com a linha de base.
Herança e aplicação de política
Entender como as políticas são herdadas e aplicadas é crucial para o gerenciamento eficaz da segurança em toda a organização. O modelo de herança segue a hierarquia da AWS Organizations, garantindo uma aplicação previsível e consistente da política.
-
As políticas anexadas no nível raiz se aplicam a todas as contas
-
As contas herdam políticas de suas unidades organizacionais principais
-
Várias políticas podem ser aplicadas a uma única conta
-
Políticas mais específicas (mais próximas da conta na hierarquia) têm precedência
Validação de políticas
Ao criar políticas do Amazon Inspector, as seguintes validações ocorrem:
-
Os nomes das regiões devem ser identificadores de AWS região válidos
-
As regiões devem ser suportadas pelo Amazon Inspector
-
A estrutura da política deve seguir as regras de sintaxe da política da AWS Organizations
-
Ambas as listas
enable_in_regionsedisable_in_regionsdevem estar presentes, embora possam estar vazias
Considerações regionais e regiões compatíveis
As políticas do Amazon Inspector se aplicam somente em regiões onde o acesso confiável ao Amazon Inspector AWS e à Organizations estão disponíveis. Compreender o comportamento regional ajuda você a implementar controles de segurança eficazes em toda a presença global da sua organização.
-
A aplicação de política ocorre em cada região de maneira independente
-
Você pode especificar quais regiões incluir ou excluir em suas políticas
-
Novas regiões são incluídas automaticamente ao usar a opção
ALL_SUPPORTED -
As políticas só se aplicam às regiões onde o Amazon Inspector está disponível
Comportamento de desapego
Se você separar uma política do Amazon Inspector, o Amazon Inspector permanecerá habilitado nas contas cobertas anteriormente. No entanto, futuras mudanças na estrutura organizacional (como a adesão de novas contas ou a migração de contas existentes para a OU) não habilitarão mais automaticamente o Amazon Inspector. Qualquer habilitação adicional deve ser realizada manualmente ou por meio da reanexação de uma política.
Outros detalhes
Administrador delegado
Somente um administrador delegado pode ser registrado no Amazon Inspector em uma organização. Você deve configurar isso no console do Amazon Inspector ou via APIs antes de anexar as políticas do Amazon Inspector.
Pré-requisitos
Você deve habilitar o acesso confiável para AWS Organizations, ter um administrador delegado para o Amazon Inspector registrado e ter funções vinculadas a serviços disponíveis em todas as contas.
Regiões do compatíveis
Todas as regiões em que o Amazon Inspector está disponível.
