本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
入门教程:激活 Amazon Inspector
本主题介绍了如何为独立账户环境(成员账户)以及多账户环境(委派管理员账户)激活 Amazon Inspector。激活 Amazon Inspector 后,它会自动开始发现工作负载并扫描其中是否存在软件漏洞和意外网络暴露。
- Standalone account environment
-
以下步骤介绍了如何在控制台中为成员账户激活 Amazon Inspector。要以编程方式激活 Amazon Inspector,inspec tor2-
。enablement-with-cli -
使用您的凭证登录,然后在 https://console.aws.amazon.com/inspector/v2/
home 中打开 Amazon Inspector 控制台。 -
选择开始使用。
-
选择激活 Amazon Inspector。
为独立账户激活 Amazon Inspector 时,默认情况下会激活所有扫描类型。有关成员账户的信息,请参阅了解 Amazon Inspector 中的委派管理员账户和成员账户。
-
- Multi-account (with AWS Organizations policy)
-
AWS Organizations 策略为在整个组织中启用 Amazon Inspector 提供了集中管理。当您使用组织策略时,系统会自动管理该政策涵盖的所有账户的 Amazon Inspector 启用,并且成员账户无法使用 Amazon Inspector API 修改策略管理的扫描。
先决条件
-
您的账户必须是 AWS Organizations 组织的一部分。
-
您必须拥有在中创建和管理组织策略的权限 AWS Organizations。
-
必须在中启用 Amazon Inspector 的可信访问权限 AWS Organizations。有关说明,请参阅AWS Organizations 用户指南中的为 Amazon Inspector 启用可信访问。
-
Amazon Inspector 服务相关角色应存在于管理账户中。要创建它们,请在管理账户中启用 Amazon Inspector,或者从管理账户运行以下命令:
-
aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com -
aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com
-
-
应指定 Amazon Inspector 的委托管理员。
注意
如果没有管理账户和委托管理员等服务相关的 Amazon Inspector 角色,组织政策将强制启用 Amazon Inspector,但成员账户将无法与 Amazon Inspector 组织关联以进行集中调查和账户管理。
使用 AWS Organizations 策略启用 Amazon Inspector
-
在创建组织策略之前,请为 Amazon Inspector 指定一名委托管理员,以确保成员账户与 Amazon Inspector 组织关联,以便集中查看调查结果。登录 AWS Organizations 管理账户,在 https://console.aws.amazon.com/inspector/v2/hom
e 上打开 Amazon Inspector 控制台,然后按照中的步骤进行操作。为您的 AWS 组织指定委派管理员 注意
我们强烈建议您的 AWS Organizations Amazon Inspector 委托管理员账户 ID 和 Amazon Inspector 指定的委托管理员账户 ID 保持不变。如果 AWS Organizations 委托管理员账户 ID 与 Amazon Inspector 委托管理员账户 ID 不同,则 Amazon Inspector 会优先使用检查员指定的账户 ID。当未设置 Amazon Inspector 委托管理员但已设置 AWS Organizations 委托管理员且管理账户具有亚马逊检查员服务相关角色时,Amazon Inspector 会自动将 AWS Organizations 委托管理员账户 ID 分配为亚马逊检查员委托的管理员。
-
在 Amazon Inspector 控制台中,从管理账户导航到常规设置。在 “委托策略” 下,选择 “附加声明”。在 “附加策略声明” 对话框中,查看策略,选择 “我确认我已查看策略并了解其授予的权限”,然后选择 “附加声明”。
重要
管理账户必须具有以下权限才能附加委托政策声明:
-
来自 AmazonInspector2 FullAccess _v2 托管策略的 Amazon Inspector 权限
-
AWS Organizations
organizations:PutResourcePolicy来自AWSOrganizationsFullAccess托管策略的权限
如果缺少
organizations:PutResourcePolicy权限,则操作将失败并显示错误:Failed to attach statement to the delegation policy。 -
-
在中创建 Amazon Inspector 策略 AWS Organizations ,指定要启用的扫描类型以及要在哪些区域启用。有关创建 Amazon Inspector 策略的详细说明,包括策略语法和示例,请参阅亚马逊 Inspector 政策 AWS Organizations 文档。
-
根据您的监管要求,将 Amazon Inspector 政策附加到您的组织根目录、组织单位或特定账户。
-
(可选)验证策略是否已应用。策略应用程序是异步的,可能需要几秒钟到几小时不等,具体取决于您的组织规模。在授权管理员的 Amazon Inspector 控制台中,导航到账户管理。在 “组织” 下,查看每个成员账户及其启用状态。对于通过 AWS Organizations 策略启用的帐户,每种扫描类型的已激活指示器将显示其是否由策略管理。
当通过组织策略启用 Amazon Inspector 时,该政策所涵盖的账户无法通过 Amazon Inspector API 或控制台禁用策略管理的扫描类型。有关委托管理员和成员账户在组织政策下可以做什么和不能做什么的详细信息,请参阅使用 Amazon Inspector 管理多个账户 AWS Organizations。
-
- Multi-account (without AWS Organizations policy)
-
注意
您必须使用 AWS Organizations 管理账户才能完成此过程。只有 AWS Organizations 管理账号才能指定委派管理员。可能需要权限才能指定委派管理员。有关更多信息,请参阅 指定委托管理员所需的权限。
当您首次激活 Amazon Inspector 时,Amazon Inspector 会为账户创建服务相关角色
AWSServiceRoleForAmazonInspector。有关 Amazon Inspector 如何使用服务相关角色的信息,请参阅对 Amazon Inspector 使用服务相关角色。指定 Amazon Inspector 委托管理员
-
登录 AWS Organizations 管理账户,然后在 https://console.aws.amazon.com/inspector/v2/
home 上打开 Amazon Inspector 控制台。 -
选择开始。
-
在 “委托管理员” 下,输入 AWS 账户 要指定为委派管理员的 12 位 ID。
-
选择委派,然后再次选择委派。
-
(可选)如果您想为 AWS Organizations 管理账户激活 Amazon Inspector,请在 “服务权限” 下选择 “激活亚马逊检查器”。
当您指定委派管理员时,默认情况下会为该账户激活所有扫描类型。有关委派管理员账户的信息,请参阅了解 Amazon Inspector 中的委派管理员账户和成员账户。
-
