

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Sintaxe e exemplos de políticas do Amazon Inspector
<a name="orgs_manage_policies_inspector_syntax"></a>

As políticas do Amazon Inspector seguem uma sintaxe JSON padronizada que define como o Amazon Inspector está habilitado e configurado em toda a sua organização. Uma política do Amazon Inspector é um documento JSON estruturado de acordo com a sintaxe da política de gerenciamento da AWS Organizations. Ele define quais entidades organizacionais terão o Amazon Inspector ativado automaticamente.

## Principais considerações sobre as políticas do Amazon Inspector
<a name="inspector-policy-considerations"></a>

Antes de criar políticas do Amazon Inspector, entenda estes pontos-chave sobre a sintaxe de políticas:
+ `enable_in_regions`Tanto as `disable_in_regions` listas quanto as listas são necessárias para cada tipo de escaneamento incluído na política, embora possam ser matrizes vazias (`"@@assign": []`).
+ Ao processar políticas efetivas, `disable_in_regions` tem precedência sobre`enable_in_regions`. Se uma região aparecer nas duas listas, o escaneamento será desativado nessa região.
+ As políticas secundárias podem modificar as políticas principais usando operadores de herança (`@@assign`,,`@@remove`)`@@append`, a menos que sejam explicitamente restritas.
+ A `ALL_SUPPORTED` designação inclui AWS regiões atuais e futuras nas quais o Amazon Inspector está disponível.
+ Os nomes das regiões devem ser AWS regiões válidas nas quais o Amazon Inspector é suportado. Nomes de região inválidos causarão um erro de validação.

## Estrutura básica da política
<a name="inspector-basic-structure"></a>

Uma política do Amazon Inspector usa essa estrutura básica. Cada tipo de escaneamento requer ambos `enable_in_regions` e`disable_in_regions`, mesmo que um seja uma matriz vazia.

```
{
    "inspector": {
        "enablement": {
            "ec2_scanning": {
                "enable_in_regions": {
                    "@@assign": ["us-east-1", "us-west-2"]
                },
                "disable_in_regions": {
                    "@@assign": ["eu-west-1"]
                }
            }
        }
    }
}
```

## Componentes da política
<a name="inspector-policy-components"></a>

As políticas do Amazon Inspector contêm esses componentes principais:

`inspector`  
A chave de nível superior para documentos de política do Amazon Inspector, que é necessária para todas as políticas do Amazon Inspector.

`enablement`  
Define como o Amazon Inspector está habilitado em toda a organização e contém configurações de tipo de escaneamento.

`Regions (Array of Strings)`  
Especifica as regiões em que o Amazon Inspector deve ser ativado automaticamente.

## Tipos de varredura
<a name="inspector-scan-types"></a>


| Tipo de verificação | Chave | Obrigatório | 
| --- | --- | --- | 
| Verificação padrão do Lambda | lambda\_standard\_scanning | Não | 
| Escaneamento de código do Lambda | lambda\_standard\_scanning.lambda\_code\_scanning | Não | 
| Digitalização EC2 | ec2\_scanning | Não | 
| Digitalização ECR | ecr\_scanning | Não | 
| Digitalização do repositório de código | code\_repository\_scanning | Não | 

Cada tipo de escaneamento é opcional — inclua somente os tipos de escaneamento que você deseja configurar. No entanto, para cada tipo de escaneamento incluído, ambos `enable_in_regions` `disable_in_regions` são obrigatórios.

## Exemplos de políticas do Amazon Inspector
<a name="inspector-policy-examples"></a>

Os exemplos a seguir demonstram configurações comuns de políticas do Amazon Inspector.

### Exemplo 1 — Ativar o Amazon Inspector em toda a organização
<a name="inspector-example-org-wide"></a>

O exemplo a seguir habilita o Amazon Inspector em `us-east-1` e `us-west-2` para todas as contas na raiz da organização.

Crie um arquivo `inspector-policy-enable.json`:

```
{
  "inspector": {
    "enablement": {
      "lambda_standard_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "lambda_code_scanning": {
          "enable_in_regions": {
            "@@assign": [
              "us-east-1",
              "us-west-2"
            ]
          },
          "disable_in_regions": {
            "@@assign": [
              "eu-west-1"
            ]
          }
        }
      },
      "ec2_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      },
      "ecr_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      },
      "code_repository_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "us-east-1",
            "us-west-2"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        }
      }
    }
  }
}
```

Quando anexadas à raiz, todas as contas na organização habilitam automaticamente o Amazon Inspector, e suas descobertas de escaneamento estão disponíveis para o administrador delegado do Amazon Inspector.

Crie e anexe a política:

```
POLICY_ID=$(aws organizations create-policy \
  --content file://inspector-policy-enable.json \
  --name InspectorOrgPolicy \
  --type INSPECTOR_POLICY \
  --description "Inspector organization policy to enable all resources in IAD and PDX." \
  --query 'Policy.PolicySummary.Id' \
  --output text)
aws organizations attach-policy --policy-id $POLICY_ID --target-id <root-id>
```

Qualquer nova conta que ingresse na organização herda automaticamente a habilitação.

Se desanexadas, as contas existentes permanecem ativadas, mas as contas futuras não são ativadas automaticamente:

```
aws organizations detach-policy --policy-id $POLICY_ID --target-id <root-id>
```

### Exemplo 2 — Ativar o Amazon Inspector para uma OU específica
<a name="inspector-example-specific-ou"></a>

Crie um arquivo `inspector-policy-eu-west-1.json`:

```
{
  "inspector": {
    "enablement": {
      "lambda_standard_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        },
        "lambda_code_scanning": {
          "enable_in_regions": {
            "@@assign": [
              "eu-west-1"
            ]
          },
          "disable_in_regions": {
            "@@assign": [
              "eu-west-2"
            ]
          }
        }
      },
      "ec2_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      },
      "ecr_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      },
      "code_repository_scanning": {
        "enable_in_regions": {
          "@@assign": [
            "eu-west-1"
          ]
        },
        "disable_in_regions": {
          "@@assign": [
            "eu-west-2"
          ]
        }
      }
    }
  }
}
```

Anexe isso a uma OU para garantir que todas as contas de produção `eu-west-1` tenham o Amazon Inspector habilitado e vinculado ao administrador delegado do Amazon Inspector:

```
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)"
aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
```

As contas fora da OU não são afetadas.