本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊 Inspector 政策
Amazon Inspector 政策允许您集中启用和管理 AWS 组织中各个账户的亚马逊 Inspector。使用 Amazon Inspector 政策,您可以指定哪些组织实体(根或账户)已自动启用 Amazon Inspector 并将其关联到 Amazon Inspector 委托的管理员账户。 OUs您可以使用 Amazon Inspector 政策来简化整个服务的入门流程,并确保在所有现有和新创建的账户中一致启用亚马逊 Inspector。
主要特点和优点
Amazon Inspector 策略允许您定义应为您的组织或其子集启用哪些扫描类型,从而确保覆盖范围一致并减少手动工作。实施后,它们可以帮助您自动注册新帐户,并在组织规模扩大时保持扫描基准。
工作原理
当您将亚马逊检查员策略附加到组织实体时,该策略会自动为该范围内的所有成员账户启用亚马逊检查器。此外,如果您通过为 Amazon Inspector 注册委托管理员来完成 Amazon Inspector 的设置,则该账户将对组织中启用了 Amazon Inspector 的账户进行集中漏洞可见性。
Amazon Inspector 政策可以应用于整个组织、特定的组织单位 (OUs) 或个人账户。加入组织或加入附有 Amazon Inspector 政策的 OU 的账户会自动继承该政策,并启用 Amazon Inspector 并将其关联到 Amazon Inspector 委托的管理员。Amazon Inspector 策略允许您启用亚马逊扫 EC2 描、亚马逊 ECR 扫描、Lambda 标准和代码扫描以及代码安全。可以通过组织的委派管理员帐户管理特定的配置设置和禁止规则。
当您将Amazon Inspector策略附加到您的组织或组织单位时, AWS Organizations会自动评估该政策并根据您定义的范围进行应用。策略执行过程遵循特定的冲突解决规则:
-
区域同时出现在启用和禁用列表中时,禁用配置优先。例如,如果在启用和禁用配置中都列出了某个区域,则该区域的 Amazon Inspector 将被禁用。
-
如果指定启用,
ALL_SUPPORTED则除非明确禁用 Amazon Inspector,否则将在当前和未来的所有地区启用。这使您能够在 AWS 扩展到新区域时保持全面的覆盖范围。 -
子策略可以使用继承运算符修改父策略设置,从而允许在不同的组织级别实现精细控制。这种分层方法可确保特定的组织单元在保持基准控制的同时,可以自定义其安全设置。
术语
本主题在讨论 Amazon Inspector 政策时使用以下术语。
| 租期 | 定义 |
|---|---|
| 有效策略 | 合并所有继承的策略后,应用于某个账户的最终策略。 |
| 策略继承 | 账户从父级组织单元继承策略的过程。 |
| 委派管理员 | 指定代表组织管理 Amazon Inspector 政策的账户。 |
| 服务相关角色 | 一个 IAM 角色,允许 Amazon Inspector 与其他 AWS 服务进行交互。 |
Amazon Inspector 政策的用例
跨多个账户启动大规模工作负载的组织可以使用此策略来确保所有账户立即启用正确的扫描类型并避免漏洞。监管或合规性驱动的环境可以使用子政策来覆盖或限制 OU 的扫描类型。快速增长的环境可以自动启用新创建的帐户,因此它们始终符合基准。
策略继承和强制执行
了解策略的继承和执行方式对于在整个组织中实现有效的安全管理至关重要。继承模型遵循Organiz AWS ations的层次结构,确保了可预测和一致的策略应用。
-
在根级别附加的策略适用于所有账户
-
账户从其父级组织单元继承策略
-
多个策略可应用于单个账户
-
更具体的策略(层次结构中更接近账户的策略)优先级更高
策略验证
创建 Amazon Inspector 策略时,需要进行以下验证:
-
区域名称必须是有效的 AWS 区域标识符
-
Amazon Inspector 必须支持区域
-
策略结构必须遵循 AWS Organizations 策略语法规则
-
必须同时存在
enable_in_regions和disable_in_regions列表,但这两个列表都可以为空
区域注意事项和支持的区域
Amazon Inspector 政策仅适用于可使用亚马逊 Inspector 和 Or AWS ganizations 可信访问的地区。了解区域行为有助于您在组织的全局范围内实施有效的安全控制。
-
策略在每个区域内独立执行
-
您可以指定在策略中包括或排除哪些区域
-
使用
ALL_SUPPORTED选项时,新区域将自动包含在内 -
政策仅适用于提供 Amazon Inspector 的地区
分离行为
如果您取消了 Amazon Inspector 政策,则在之前涵盖的账户中,Amazon Inspector 仍处于启用状态。但是,未来对组织结构的更改(例如新账户加入或现有账户迁入 OU)将不再自动启用 Amazon Inspector。任何进一步的启用都必须手动或通过重新附加策略来执行。
其他详细信息
委托管理员
一个组织中只能为一名委托管理员注册 Amazon Inspector。在附加 Amazon Inspector 策略 APIs 之前,您必须在 Amazon Inspector 控制台中或通过进行配置。
先决条件
您必须为 Organization AWS s 启用可信访问权限,注册 Amazon Inspector 的委托管理员,并在所有账户中使用服务相关角色。
支持的区域
所有提供 Amazon Inspector 的区域。
