本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 Amazon Inspector 管理多个账户 AWS Organizations 管理多个账户 可以使用 Amazon Inspector 管理[组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)中的多个账户。Amazon Inspector 支持两种多账户管理方法: + ** AWS Organizations 策略的委托管理员**-通过跨区域跨组织账户自动启用 Amazon Inspector,为委托管理员提供集中管理。组织策略强制启用哪些扫描类型,并且优先于非策略管理的委托管理员和成员帐户启用。 + **非 AWS Organizations 策略的委托管理员-指定用于在不使用组织政策**的情况下管理组织的 Amazon Inspector 的账户。授权的管理员可以为成员账户启用 Amazon Inspector 并配置扫描设置。 这些方法可以一起使用。组织策略制定后,它们会控制资源类型的启用(启用了哪些扫描类型),而委派的管理员则保留对扫描配置设置(例如扫描模式和深度检查路径)的控制权。以下主题描述了这些管理方法、如何指定委派管理员以及如何管理成员账户。 **Topics** + [ # 了解 Amazon Inspector 中的委派管理员账户和成员账户 ](admin-member-relationship.md) + [ # 指定 Amazon Inspector 的委派管理员账户 ](designating-admin.md) # 了解 Amazon Inspector 中的委派管理员账户和成员账户 了解委派管理员账户和成员账户 在多账户环境中使用 Amazon Inspector 时,委派管理员账户可以访问特定元数据。元数据包括 Amazon EC2、Amazon ECR 和 Lambda 的标准扫描以及 Lambda 代码扫描。它还包括成员账户的安全调查发现结果。本节提供了有关委派管理员账户可以执行哪些操作以及成员账户可以执行哪些操作的信息。 ## 组织政策治理模型 当使用 AWS Organizations 策略来启用 Amazon Inspector 时,将强制执行一种管理模型,该模型决定允许哪些操作: **策略管理的资源** 由组织策略明确启用或禁用的资源不能由委派的管理员或成员账户进行修改。启用或禁用策略管理的扫描类型的 API 请求将失败,并显示一个明显的错误,表明该资源由组织策略管理。 **Non-policy-managed resources** 组织策略中未指定的资源可以由委托的管理员和成员账户使用 Amazon Inspector 控制台或 API 进行正常管理。 **扫描配置管理** 无论资源类型是否受策略管理,委派的管理员都可以随时配置扫描设置,例如 EC2 扫描模式、[深度检查路径](https://docs.aws.amazon.com/inspector/latest/user/deep-inspection.html#deep-inspection-paths)和 ECR 重新扫描持续时间。组织策略仅控制扫描是否启用,而不控制扫描的运行方式。 有关创建和管理 Amazon Inspector 组织政策的更多信息,请参阅 Amazon Inspector 政策 AWS Organizations 文档。 ## 委派管理员操作 通常,当委派管理员将设置应用于其账户时,这些设置会应用于组织中的所有其他账户。委派管理员还可以查看和检索自有账户和任何关联成员的信息。Amazon Inspector 委派管理员账户可以执行以下操作: + 只有 AWS Organizations 管理账号才能指定和移除委派的管理员。 + 指定委派管理员时,您必须与要管理的成员账户属于同一个组织。 + 查看和管理关联账户的 Amazon Inspector 状态,包括激活和停用 Amazon Inspector。 + 为组织内的所有成员账户激活或停用扫描类型。 + 查看整个组织的汇总调查发现数据,以及组织内所有成员账户的调查发现详情。 + 创建和管理应用于组织内所有账户的调查发现的抑制规则。 + 为组织的所有成员激活 Amazon ECR 增强扫描。 + 查看整个组织的资源覆盖率。 + 为组织内所有成员账户定义自动重新扫描 ECR 容器映像的持续时间。委托管理员的扫描持续时间设置会覆盖成员账户先前的所有设置。组织内的所有账户共享委派管理员的 Amazon ECR 自动重新扫描持续时间。不能为各个账户设置不同的重新扫描持续时间。 + 为 Amazon EC2 的 Amazon Inspector 深度检查指定五个自定义路径,这些路径将在组织内的所有账户中使用。除此之外,委托管理员还可为个人账户设置五个自定义路径。有关配置深度检查自定义路径的更多信息,请参阅[Amazon Inspector 深度检查的自定义路径](deep-inspection.md#deep-inspection-paths)。 + 为成员账户激活和停用 Amazon Inspector 深度检查。 + SBOMs为组织中的任何成员账户@@ [导出](sbom-export.md)。 + 为组织中的所有成员账户设置 Amazon EC2 扫描模式。有关更多信息,请参阅 [管理扫描模式](scanning-ec2.md#scan-mode)。 + 创建和管理组织中所有账户的 CIS 扫描配置,但成员账户创建的任何扫描配置除外。 **注意** 如果成员账户离开组织,则委派管理员将无法再看到该账户计划的扫描配置。 + 查看组织中所有账户的 CIS 扫描结果。 + 使用组织策略时,请为策略管理的资源配置扫描设置,但不能自行启用或禁用策略管理的扫描类型。 ## 成员账户操作 成员账户可以在 Amazon Inspector 中查看和检索有关其账户的信息,而其账户的设置则由委派管理员管理。组织内的成员账户可以在 Amazon Inspector 中执行以下操作: + 为自己的账户激活 Amazon Inspector。 + 查看自己账户的资源覆盖率。 + 查看自己账户的调查发现详细信息。 + 查看自己账户的 ECR 容器映像自动重新扫描持续时间设置。 + 为 EC2 的 Amazon Inspector 深度检查指定五个自定义路径,这些路径将用于他们的个人账户。除了委派管理员为组织指定的自定义路径外,还会扫描这些路径。有关配置深度检查路径的更多信息,请参阅[Amazon Inspector 深度检查的自定义路径](deep-inspection.md#deep-inspection-paths)。 + 查看您的委派管理员为 Amazon Inspector 深度检查设置的自定义路径。 + [导 SBOMs出](sbom-export.md)与其账户关联的所有资源。 + 查看其账户的扫描模式。 + 为其账户创建和管理 CIS 扫描配置。 + 查看其账户中资源的任何 CIS 扫描结果,包括由委派管理员计划的扫描。 + 启用不受组织策略管理的扫描类型。成员帐户无法启用或禁用策略管理的扫描类型。 **注意** 激活后,只有委托管理员账户才能停用 Amazon Inspector。 # 指定 Amazon Inspector 的委派管理员账户 指定管理员账户 委派管理员是一个为组织管理服务的账户。本主题介绍了如何指定 Amazon Inspector 的委派管理员。 ## 注意事项 在指定委派管理员之前,请注意以下事项: **委派管理员最多可以管理 1 万个成员。** 如果您的成员账户超过 10,000 个,您将通过 Amazon Person CloudWatch al Health Dashboard 收到通知,并通过电子邮件发送至委托管理员账户。 当通过针对拥有超过 10,000 个账户(最多 50,000 个)的组织的 AWS Organizations 策略启用 Amazon Inspector 时,该政策将适用于所有账户。但是,只有 10,000 个账户将与 Amazon Inspector 组织关联。也就是说,授权的管理员只能在 Amazon Inspector 控制台中查看这 10,000 个账户的调查结果和账户状态。 **委派管理员是区域性的。** Amazon Inspector 是一项区域服务。在计划使用 Amazon Inspector 的每个 AWS 区域 地方,您都必须重复该过程中的步骤。 **一个组织只能有一名委托管理员。** 如果将一个账户指定为其中一个账户的委托管理员 AWS 区域,则该账户必须是所有其他账户中的委托管理员 AWS 区域。 **更改委托管理员不会停用成员账户的 Amazon Inspector。** 如果您移除委派管理员,则成员账户将变为独立账户,扫描设置不受影响。 **您的 AWS 组织必须激活所有功能。** 这是的默认设置 AWS Organizations。如果未激活所有特征,请参阅[激活组织中的所有特征](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。 **组织策略优先于委派的管理员设置。** 如果您的组织使用 AWS Organizations 策略来启用 Amazon Inspector,则策略设置将决定启用哪些扫描类型。我们建议在创建组织策略之前指定委派的管理员,以确保一致的管理。有关更多信息,请参阅 [组织政策治理模型](admin-member-relationship.md#org-policy-overview)。 ## 指定委托管理员所需的权限 指定委托管理员所需的权限 您必须拥有激活 Amazon Inspector 和指定 Amazon Inspector 委托管理员的权限。将以下语句添加到 IAM 策略的末尾以授予这些权限。有关更多信息,请参阅[管理 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)。 ``` { "Sid": "PermissionsForInspectorAdmin", "Effect": "Allow", "Action": [ "inspector2:EnableDelegatedAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" } ``` ## 为您的 AWS 组织指定委派管理员 指定委派管理员 以下过程介绍了如何为您的组织指定委派管理员。在完成该过程之前,请确保您与想要委派管理员管理的成员账户均在同一个组织中。 **注意** 您必须使用 AWS Organizations 管理账户才能完成此过程。只有 AWS Organizations 管理账号才能指定委派管理员。可能需要权限才能指定委派管理员。有关更多信息,请参阅 [指定委托管理员所需的权限](#delegated-admin-permissions)。 当您首次激活 Amazon Inspector 时,Amazon Inspector 会为账户创建服务相关角色 `AWSServiceRoleForAmazonInspector`。有关 Amazon Inspector 如何使用服务相关角色的信息,请参阅[对 Amazon Inspector 使用服务相关角色](using-service-linked-roles.md)。 ------ #### [ Console ] **指定 Amazon Inspector 委托管理员** 1. 登录 AWS Organizations 管理账户,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 上打开 Amazon Inspector 控制台。 1. 使用 AWS 区域 选择器指定要在 AWS 区域 哪里指定委派管理员。 1. 在导航窗格中,选择**常规设置**。 1. 在 “**委托管理员**” 下,输入 AWS 账户 要指定为委派管理员的 12 位 ID。 1. 选择**委派**,然后再次选择**委派**。 当您指定委派管理员时,默认情况下会为该账户激活[所有扫描类型](https://docs.aws.amazon.com/inspector/latest/user/scanning-resources.html)。如果您想为 AWS Organizations 管理账户激活 Amazon Inspector,请完成以下步骤。 **为 AWS Organizations 管理账户激活 Amazon Inspector** 1. 登录委托管理员账户,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 中打开 Amazon Inspector 控制台。 1. 在导航窗格中,选择**账户管理**。 1. 在 “**帐户**” 下,选择 AWS Organizations 管理帐户,然后选择 “**激活**”。 1. 选择要为 AWS Organizations 管理账户激活的扫描类型,然后选择**提交**。 ------ #### [ API ] **使用 API 指定委派管理员** + 使用 Organizations 管理账户 AWS 账户 的凭据运行 [EnableDelegatedAdminAccount](https://docs.aws.amazon.com/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html)API 操作。您也可以通过运行 AWS Command Line Interface 以下 CLI 命令来执行此操作:`aws inspector2 enable-delegated-admin-account --delegated-admin-account-id 11111111111`。 **注意** 确保指定要设置为 Amazon Inspector 委派管理员的账户的账户 ID。 ------ # 为成员账户激活 Amazon Inspector 扫描 您可以通过多种方法为组织中的成员账户激活 Amazon Inspector。您选择的方法取决于您的治理要求和组织结构。 **AWS Organizations 策略(建议用于集中式治理)** 使用 AWS Organizations 策略在整个组织中自动启用具有集中控制功能的 Amazon Inspector。这种方法可确保一致的扫描覆盖范围,并自动应用于新帐户。有关详细说明,请参阅有关创建 Amazon Inspector 策略的 AWS Organizations 文档。 **委托管理员激活** 作为委托管理员,您可以通过亚马逊检查器控制台或 API 为特定成员账户或所有成员账户手动激活 Amazon Inspector。当不使用组织策略时,这种方法提供了灵活性。 **会员账户自动激活** 在不受组织政策限制的情况下,成员账户可以为自己的账户激活 Amazon Inspector。激活后,该账户将与委派的管理员关联。 ## 为成员账户激活扫描 以下过程介绍如何使用委派管理员和成员帐户方法激活对成员帐户的扫描。有关 Amazon Inspector 扫描类型的信息,请参阅[Amazon Inspector 中的自动扫描类型](scanning-resources.md)。 **要为所有成员账户自动激活扫描** 1. 使用委派的管理员账户证书登录,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 上打开 Amazon Inspector 控制台。 1. 使用区域选择器选择要激活所有成员账户扫描功能 AWS 区域 的位置。 1. 在导航窗格中,选择**账户管理**。“**帐户**” 选项卡显示与 AWS Organizations 管理账户关联的所有成员账户。 1. 在**组织**下,选中**账号**旁边的复选框。然后选择**激活**,选择要应用于成员账户的扫描选项。您可以选择以下扫描类型: + Amazon EC2 扫描 + Amazon ECR 扫描 + Lambda 标准扫描 + Lambda 代码扫描 1. 选择首选扫描类型后,选择**保存**。 **注意** 如果您有多页账户,则必须在每个页面上重复此步骤。要更改每个页面上显示的账户数量,请选择齿轮图标。 1. 打开**为新成员账户自动激活 Inspector** 设置,然后选择要为添加到组织的新成员账户应用的扫描选项。您可以选择以下扫描类型: + Amazon EC2 扫描 + Amazon ECR 扫描 + Lambda 标准扫描 + Lambda 代码扫描 1. 选择首选扫描类型后,选择**激活**。 **注意** **为新成员账户自动激活 Inspector** 设置可为组织的所有未来成员激活 Amazon Inspector。 如果成员账户数量超过 5000 时,此设置将自动关闭。如果成员账户总数减少到少于 5000,则该设置将自动重新激活。 1. (推荐)在要激活对成员帐户 AWS 区域 的扫描功能的每个步骤中重复上述每个步骤。 **为特定成员账户激活扫描** 1. 使用委派的管理员账户证书登录,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 上打开 Amazon Inspector 控制台。 1. 使用区域选择器选择要激活所有成员账户扫描功能 AWS 区域 的位置。 1. 在导航窗格中,选择**账户管理**。“**帐户**” 选项卡显示与 AWS Organizations 管理账户关联的所有成员账户。 1. 在**组织**下,选中要为其激活扫描的每个成员账号旁边的复选框。然后选择**激活**,选择要应用于成员账户的扫描选项。您可以选择以下扫描类型: + Amazon EC2 扫描 + Amazon ECR 扫描 + Lambda 标准扫描 + Lambda 代码扫描 1. 选择首选扫描类型后,选择**保存**。 **注意** 如果您有多页账户,则必须在每个页面上重复此步骤。要更改每个页面上显示的账户数量,请选择齿轮图标。 1. (推荐)在要激活对特定成员 AWS 区域 的扫描功能的每个步骤中重复上述每个步骤。 **以成员账户身份激活扫描** 1. 使用您的凭证登录,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 中打开 Amazon Inspector 控制台。 1. 使用区域选择器选择要激活所有成员账户扫描功能 AWS 区域 的位置。 1. 在导航窗格中,选择**账户管理**。“**帐户**” 选项卡显示与 AWS Organizations 管理账户关联的所有成员账户。 1. 在**组织**下,选中您的账号旁边的复选框。然后选择**激活**,选择要应用的扫描选项。您可以选择以下扫描类型: + Amazon EC2 扫描 + Amazon ECR 扫描 + Lambda 标准扫描 + Lambda 代码扫描 1. 选择首选扫描类型后,选择**保存**。 1. (推荐)在要为成员账户激活扫描的每个区域重复这些步骤。 **注意** 如果您的 AWS Organizations 管理账户有 Amazon Inspector 的委托管理员账户,则可以将您的账户激活为成员账户以查看扫描详情。 **重要提示** 如果组织策略正在管理您的账户的 Amazon Inspector 启用,则委托的管理员和成员账户无法使用 Amazon Inspector 修改策略管理的扫描类型。 enablement/disablement APIsAPI 请求将失败,并显示一条错误消息,表明该资源由组织策略管理。您仍然可以启用策略未管理的其他扫描类型。 # 在 Amazon Inspector 中取消成员账户的关联 取消成员账户的关联 作为委派管理员,您可能需要取消成员账户与账户的关联。在取消关联成员账户时,账户中的 Amazon Inspector 仍处于激活状态,该账户将变为独立账户。您也无权再管理该账户的 Amazon Inspector。但是,您可以随时将之前取消关联的成员账户与您的账户再次关联起来。本节介绍了如何以委派管理员身份取消关联成员账户。 **注意** 要解除与策略管理的账户的关联,则不应为该账户附加任何针对该扫描类型的Amazon Inspector组织政策。 ------ #### [ Console ] **使用控制台取消成员账户的关联** 1. 使用委派的管理员账户证书登录,然后在 [https://console.aws.amazon.com/inspector/v](https://console.aws.amazon.com/inspector/v2/home) 2/home 上打开 Amazon Inspector 控制台 1. 使用区域选择器选择要取消关联成员账户 AWS 区域 的位置。 1. 在导航窗格中,选择**账户管理**。 1. 在**组织**下,选中您要取消关联的每个账号旁边的复选框。 1. 选择**操作**菜单,然后选择**取消关联账户**。 ------ #### [ API ] **使用 API 取消成员账户的关联** 运行 [DisassociateMember](https://docs.aws.amazon.com/inspector/v2/APIReference/API_DisassociateMember.html) API 操作。在请求中,提供 IDs 您要取消关联的账户。 ------ # 在 Amazon Inspector 中移除委派管理员 移除委派管理员 您可能需要移除 Amazon Inspector 委派管理员账户。您可以通过 AWS Organizations 管理账户执行此操作。在移除 Amazon Inspector 委派管理员账户时,该账户及其所有成员账户中的 Amazon Inspector 仍处于激活状态。委派管理员账户及其所有成员账户将成为独立账户,并保留其原始扫描设置。 **注意** 如果 AWS Organizations 策略正在管理 Amazon Inspector 的启用,则移除委派的管理员不会影响策略的执行。根据组织策略设置,账户将保持启用状态,但在指定新的授权管理员之前,成员账户的发现结果将不再显示在中央委派管理员控制台中。 本节介绍了如何移除委派管理员账户。 ## 移除 Amazon Inspector 委派管理员 以下过程介绍了如何移除 Amazon Inspector 委派管理员以及如何将成员账户与委派管理员账户关联起来。 有关如何指定 Amazon Inspector 委派管理员的信息,请参阅[为 Amazon Inspector 指定委派管理员账户](https://docs.aws.amazon.com/inspector/latest/user/designating-admin.html)。 **注意** 在指定 Amazon Inspector 委派管理员后,Amazon Inspector 委派管理员必须手动关联成员账户。 **移除委托管理员** 1. AWS 管理控制台 使用 AWS Organizations 管理账户登录。 1. 在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 中打开 Amazon Inspector 控制台。 1. 使用区域选择器选择要移除委派管理员 AWS 区域 的位置。 1. 在导航窗格中,选择**常规设置**。 1. 在**委派管理员**下,选择**移除**,然后确认操作。 **将成员与新的委托管理员关联** 1. 使用委派的管理员账户证书登录,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 上打开 Amazon Inspector 控制台。 1. 使用区域选择器选择您想要关联成员 AWS 区域 的位置。 1. 在导航窗格中,选择**账户管理**。 1. 在**组织**下,选中**账号**旁边的复选框。 1. 选择**操作**,然后选择**添加成员**。