As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Amazon Inspector e AWS Organizations

O Amazon Inspector é um serviço automatizado de gerenciamento de vulnerabilidades que verifica continuamente as cargas de trabalho da Amazon EC2 e de contêineres em busca de vulnerabilidades de software e exposição não intencional na rede.

Usando o Amazon Inspector, você pode gerenciar várias contas associadas simplesmente delegando uma conta de administrador para o Amazon Inspector. AWS Organizations O administrador delegado gerencia o Amazon Inspector para a organização e recebe permissões especiais para executar tarefas em nome de sua organização, como:

Para obter mais informações, consulte Gerenciar várias contas com o AWS Organizations no Guia do usuário do Amazon Inspector.

Use as informações a seguir para ajudá-lo a integrar o Amazon Inspector com. AWS Organizations

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite que o Amazon Inspector realize as operações suportadas nas contas da sua organização.

Você poderá excluir ou modificar essa função somente se desabilitar o acesso confiável entre o Amazon Inspector e o Organizations, ou se remover a conta-membro da organização.

Para obter mais informações, consulte Usar funções vinculadas ao serviço com o Amazon Inspector no Guia do usuário do Amazon Inspector.

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo Amazon Inspector concedem acesso às seguintes entidades de serviço principais:

Para habilitar o acesso confiável com o Amazon Inspector

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

O Amazon Inspector exige acesso confiável AWS Organizations antes que você possa designar uma conta membro para ser o administrador delegado desse serviço para sua organização.

Quando você designa um administrador delegado para o Amazon Inspector, ele habilita automaticamente o acesso confiável para o Amazon Inspector na sua organização.

No entanto, se você quiser configurar uma conta de administrador delegado usando a AWS CLI ou uma AWS SDKs das, deverá chamar explicitamente EnableAWSServiceAccess a operação e fornecer o principal de serviço como parâmetro. Você então poderá chamar EnableDelegatedAdminAccount para delegar a conta de administrador do Inspector.

Você pode habilitar o acesso confiável executando um AWS CLI comando Organizations ou chamando uma operação da API Organizations em um dos AWS SDKs.

AWS CLI, AWS API

Para habilitar o acesso confiável a serviços usando a CLI/SDK do Organizations

Use os seguintes AWS CLI comandos ou operações de API para habilitar o acesso confiável ao serviço:

• AWS CLI: enable-aws-service-access

  Execute o comando a seguir para habilitar o Amazon Inspector como um serviço confiável com Organizations.

  $ aws organizations enable-aws-service-access \
      --service-principal inspector2.amazonaws.com

  Esse comando não gera nenhuma saída quando é bem-sucedido.

• AWS API: Habilitar AWSService acesso

Para desabilitar o acesso confiável com o Amazon Inspector

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Somente um administrador na conta AWS Organizations de gerenciamento pode desativar o acesso confiável com o Amazon Inspector.

Você só pode desativar o acesso confiável usando as ferramentas Organizations.

Você pode desativar o acesso confiável executando um AWS CLI comando Organizations ou chamando uma operação da API Organizations em um dos AWS SDKs.

AWS CLI, AWS API

Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Use os seguintes AWS CLI comandos ou operações de API para desativar o acesso confiável ao serviço:

• AWS CLI: disable-aws-service-access

  Execute o comando a seguir para desativar o Amazon Inspector como um serviço confiável com Organizations.

  $ aws organizations disable-aws-service-access \
      --service-principal inspector2.amazonaws.com

  Esse comando não gera nenhuma saída quando é bem-sucedido.

• AWS API: Desativar AWSService acesso

Habilitar uma conta de administrador delegado do Amazon Inspector

Com o Amazon Inspector, você pode gerenciar várias contas em uma organização usando um administrador delegado com serviço. AWS Organizations

A conta AWS Organizations de gerenciamento designa uma conta dentro da organização como a conta de administrador delegado para o Amazon Inspector. O administrador delegado gerencia o Amazon Inspector para a organização e recebe permissões especiais para executar tarefas em nome de sua organização, como: habilitar ou desabilitar verificações de contas-membro, exibir dados de localização agregados de toda a organização e criar e gerenciar regras de supressão

Para obter informações sobre como um administrador delegado gerencia contas da organização, consulte Compreender o relacionamento entre contas de administrador e membro no Guia do usuário do Amazon Inspector.

Somente um administrador na conta de gerenciamento da organização pode configurar um administrador delegado para o Amazon Inspector.

É possível especificar uma conta de administrador delegado via console ou API do Amazon Inspector ou usando a operação da CLI ou do SDK do Organizations.

Para configurar um administrador delegado usando o console do Amazon Inspector, consulte Etapa 1: Habilitar o Amazon Inspector - Ambiente de várias contas no Guia do usuário do Amazon Inspector.

AWS CLI, AWS API

Se você quiser configurar uma conta de administrador delegado usando a AWS CLI ou uma das, você pode usar AWS SDKs os seguintes comandos:

• AWS CLI:

  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal inspector2.amazonaws.com

• AWS SDK: chame a RegisterDelegatedAdministrator operação da Organizations e o número de identificação da conta do membro e identifique o responsável pelo serviço da conta account.amazonaws.com como parâmetros.

Desabilitar um administrador delegado do Amazon Inspector

Somente um administrador na conta AWS Organizations de gerenciamento pode remover uma conta de administrador delegado da organização.

É possível remover a conta de administrador delegado via console ou API do Amazon Inspector ou usando a operação DeregisterDelegatedAdministrator da CLI ou o SDK do Organizations. Para remover um administrador delegado usando o console do Amazon Inspector, consulte Remover um administrador delegado no Guia do usuário do Amazon Inspector.