为成员账户激活 Amazon Inspector 扫描 - Amazon Inspector
为成员账户激活扫描

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为成员账户激活 Amazon Inspector 扫描

您可以通过多种方法为组织中的成员账户激活 Amazon Inspector。您选择的方法取决于您的治理要求和组织结构。

AWS Organizations 策略(建议用于集中式治理)

使用 AWS Organizations 策略在整个组织中自动启用具有集中控制功能的 Amazon Inspector。这种方法可确保一致的扫描覆盖范围,并自动应用于新帐户。有关详细说明,请参阅有关创建 Amazon Inspector 策略的 AWS Organizations 文档。

委托管理员激活

作为委托管理员,您可以通过亚马逊检查器控制台或 API 为特定成员账户或所有成员账户手动激活 Amazon Inspector。当不使用组织策略时,这种方法提供了灵活性。

会员账户自动激活

在不受组织政策限制的情况下,成员账户可以为自己的账户激活 Amazon Inspector。激活后,该账户将与委派的管理员关联。

为成员账户激活扫描

以下过程介绍如何使用委派管理员和成员帐户方法激活对成员帐户的扫描。有关 Amazon Inspector 扫描类型的信息,请参阅Amazon Inspector 中的自动扫描类型

要为所有成员账户自动激活扫描

  1. 使用委派的管理员账户证书登录,然后在 https://console.aws.amazon.com/inspector/v2/ home 上打开 Amazon Inspector 控制台。

  2. 使用区域选择器选择要激活所有成员账户扫描功能 AWS 区域 的位置。

  3. 在导航窗格中,选择账户管理。“帐户” 选项卡显示与 AWS Organizations 管理账户关联的所有成员账户。

  4. 组织下,选中账号旁边的复选框。然后选择激活,选择要应用于成员账户的扫描选项。您可以选择以下扫描类型:

    • Amazon EC2 扫描

    • Amazon ECR 扫描

    • Lambda 标准扫描

    • Lambda 代码扫描

    1. 选择首选扫描类型后,选择保存

    注意

    如果您有多页账户,则必须在每个页面上重复此步骤。要更改每个页面上显示的账户数量,请选择齿轮图标。

  5. 打开为新成员账户自动激活 Inspector 设置,然后选择要为添加到组织的新成员账户应用的扫描选项。您可以选择以下扫描类型:

    • Amazon EC2 扫描

    • Amazon ECR 扫描

    • Lambda 标准扫描

    • Lambda 代码扫描

    1. 选择首选扫描类型后,选择激活

    注意

    为新成员账户自动激活 Inspector 设置可为组织的所有未来成员激活 Amazon Inspector。

    如果成员账户数量超过 5000 时,此设置将自动关闭。如果成员账户总数减少到少于 5000,则该设置将自动重新激活。

  6. (推荐)在要激活对成员帐户 AWS 区域 的扫描功能的每个步骤中重复上述每个步骤。

为特定成员账户激活扫描

  1. 使用委派的管理员账户证书登录,然后在 https://console.aws.amazon.com/inspector/v2/ home 上打开 Amazon Inspector 控制台。

  2. 使用区域选择器选择要激活所有成员账户扫描功能 AWS 区域 的位置。

  3. 在导航窗格中,选择账户管理。“帐户” 选项卡显示与 AWS Organizations 管理账户关联的所有成员账户。

  4. 组织下,选中要为其激活扫描的每个成员账号旁边的复选框。然后选择激活,选择要应用于成员账户的扫描选项。您可以选择以下扫描类型:

    • Amazon EC2 扫描

    • Amazon ECR 扫描

    • Lambda 标准扫描

    • Lambda 代码扫描

    1. 选择首选扫描类型后,选择保存

    注意

    如果您有多页账户,则必须在每个页面上重复此步骤。要更改每个页面上显示的账户数量,请选择齿轮图标。

  5. (推荐)在要激活对特定成员 AWS 区域 的扫描功能的每个步骤中重复上述每个步骤。

以成员账户身份激活扫描

  1. 使用您的凭证登录,然后在 https://console.aws.amazon.com/inspector/v2/ home 中打开 Amazon Inspector 控制台。

  2. 使用区域选择器选择要激活所有成员账户扫描功能 AWS 区域 的位置。

  3. 在导航窗格中,选择账户管理。“帐户” 选项卡显示与 AWS Organizations 管理账户关联的所有成员账户。

  4. 组织下,选中您的账号旁边的复选框。然后选择激活,选择要应用的扫描选项。您可以选择以下扫描类型:

    • Amazon EC2 扫描

    • Amazon ECR 扫描

    • Lambda 标准扫描

    • Lambda 代码扫描

    1. 选择首选扫描类型后,选择保存

  5. (推荐)在要为成员账户激活扫描的每个区域重复这些步骤。

    注意

    如果您的 AWS Organizations 管理账户有 Amazon Inspector 的委托管理员账户,则可以将您的账户激活为成员账户以查看扫描详情。

重要提示

如果组织策略正在管理您的账户的 Amazon Inspector 启用,则委托的管理员和成员账户无法使用 Amazon Inspector 修改策略管理的扫描类型。 enablement/disablement APIsAPI 请求将失败,并显示一条错误消息,表明该资源由组织策略管理。您仍然可以启用策略未管理的其他扫描类型。