As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Sintaxe e exemplos de políticas do Amazon Inspector
As políticas do Amazon Inspector seguem uma sintaxe JSON padronizada que define como o Amazon Inspector está habilitado e configurado em toda a sua organização. Uma política do Amazon Inspector é um documento JSON estruturado de acordo com a sintaxe da política de gerenciamento da AWS Organizations. Ele define quais entidades organizacionais terão o Amazon Inspector ativado automaticamente.
Estrutura básica da política
Uma política do Amazon Inspector usa essa estrutura básica:
{ "inspector": { "enablement": { "ec2_scanning": { "enable_in_regions": { "@@assign": ["us-east-1", "us-west-2"] }, "disable_in_regions": { "@@assign": ["eu-west-1"] } } } } }
Componentes da política
As políticas do Amazon Inspector contêm esses componentes principais:
inspector-
A chave de nível superior para documentos de política do Amazon Inspector, que é necessária para todas as políticas do Amazon Inspector.
enablement-
Define como o Amazon Inspector está habilitado em toda a organização e contém configurações de tipo de escaneamento.
Regions (Array of Strings)-
Especifica as regiões em que o Amazon Inspector deve ser ativado automaticamente.
Exemplos de políticas do Amazon Inspector
Os exemplos a seguir demonstram configurações comuns de políticas do Amazon Inspector.
Exemplo 1 — Ativar o Amazon Inspector em toda a organização
O exemplo a seguir habilita o Amazon Inspector em us-east-1 e us-west-2 para todas as contas na raiz da organização.
Crie um arquivo inspector-policy-enable.json:
{ "inspector": { "enablement": { "lambda_standard_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] }, "lambda_code_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } } }, "ec2_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } }, "ecr_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } }, "code_repository_scanning": { "enable_in_regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "disable_in_regions": { "@@assign": [ "eu-west-1" ] } } } } }
Quando anexadas à raiz, todas as contas na organização habilitam automaticamente o Amazon Inspector, e suas descobertas de escaneamento estão disponíveis para o administrador delegado do Amazon Inspector.
Crie e anexe a política:
POLICY_ID=$(aws organizations create-policy \ --content file://inspector-policy-enable.json \ --name InspectorOrgPolicy \ --type INSPECTOR_POLICY \ --description "Inspector organization policy to enable all resources in IAD and PDX." \ --query 'Policy.PolicySummary.Id' \ --output text) aws organizations attach-policy --policy-id $POLICY_ID --target-id <root-id>
Qualquer nova conta que ingresse na organização herda automaticamente a habilitação.
Se desanexadas, as contas existentes permanecem ativadas, mas as contas futuras não são ativadas automaticamente:
aws organizations detach-policy --policy-id $POLICY_ID --target-id <root-id>
Exemplo 2 — Ativar o Amazon Inspector para uma OU específica
Crie um arquivo inspector-policy-eu-west-1.json:
{ "inspector": { "enablement": { "lambda_standard_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] }, "lambda_code_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } } }, "ec2_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } }, "ecr_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } }, "code_repository_scanning": { "enable_in_regions": { "@@assign": [ "eu-west-1" ] }, "disable_in_regions": { "@@assign": [ "eu-west-2" ] } } } } }
Anexe isso a uma OU para garantir que todas as contas de produção eu-west-1 tenham o Amazon Inspector habilitado e vinculado ao administrador delegado do Amazon Inspector:
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)" aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
As contas fora da OU não são afetadas.
