了解 Amazon Inspector 中的委派管理員帳戶和成員帳戶 - Amazon Inspector
組織政策控管模型委派的管理員動作成員帳戶動作

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

了解 Amazon Inspector 中的委派管理員帳戶和成員帳戶

在多帳戶環境中使用 Amazon Inspector 時,委派的管理員帳戶可以存取特定中繼資料。中繼資料包括 Amazon EC2、Amazon ECR 和 Lambda 的標準掃描,以及 Lambda 程式碼掃描。它還包含成員帳戶的安全調查結果結果。本節提供有關委派管理員帳戶可以執行哪些動作,以及成員帳戶可以執行哪些動作的資訊。

組織政策控管模型

使用 AWS Organizations 政策啟用 Amazon Inspector 時,會強制執行控管模型,以決定允許哪些動作:

政策受管資源

委派管理員或成員帳戶無法修改組織政策明確啟用或停用的資源。啟用或停用政策受管掃描類型的 API 請求將會失敗,並出現明確錯誤,指出資源是由組織政策管理。

Non-policy-managed資源

組織政策中未指定的資源,可由委派管理員和成員帳戶使用 Amazon Inspector 主控台或 API 正常管理。

掃描組態管理

委派管理員一律可以設定掃描設定,例如 EC2 掃描模式、深度檢查路徑和 ECR 重新掃描持續時間,無論資源類型是否由政策管理。組織政策只會控制是否啟用掃描,而不是其運作方式。

如需建立和管理 Amazon Inspector 組織政策的詳細資訊,請參閱 Amazon Inspector 政策 AWS Organizations 的文件。

委派的管理員動作

一般而言,當委派管理員將設定套用到其帳戶時,這些設定會套用到組織中所有其他帳戶。委派管理員也可以檢視和擷取自己帳戶和任何相關聯成員的資訊。Amazon Inspector 委派管理員帳戶可以執行下列動作:

  • 只有 AWS Organizations 管理帳戶可以指定和移除委派管理員。

  • 指定委派管理員時,您必須與要管理的成員帳戶位於相同的組織中。

  • 檢視和管理關聯帳戶的 Amazon Inspector 狀態,包括啟用和停用 Amazon Inspector。

  • 啟用或停用組織中所有成員帳戶的掃描類型。

  • 檢視整個組織的彙總調查結果資料,並尋找組織內所有成員帳戶的詳細資訊。

  • 建立和管理套用到組織中所有帳戶調查結果的禁止規則。

  • 為組織的所有成員啟用 Amazon ECR 增強型掃描。

  • 檢視整個組織的資源涵蓋範圍。

  • 定義組織中所有成員帳戶的 ECR 容器映像自動重新掃描持續時間。委派管理員的掃描持續時間設定會覆寫成員帳戶先前設定的任何設定。組織中的所有帳戶都會共用委派管理員的 Amazon ECR 自動重新掃描持續時間。您無法為個別帳戶設定不同的重新掃描持續時間。

  • 為 Amazon EC2 的 Amazon Inspector 深度檢查指定五個自訂路徑,這些路徑將用於組織中的所有帳戶。 Amazon EC2 這是委派管理員可以為其個別帳戶設定的五個自訂路徑之外的。如需設定深度檢查自訂路徑的詳細資訊,請參閱Amazon Inspector 深度檢查的自訂路徑

  • 啟用和停用成員帳戶的 Amazon Inspector 深度檢查。

  • 匯出組織中任何成員帳戶的 SBOMs

  • 為組織中的所有成員帳戶設定 Amazon EC2 掃描模式。如需詳細資訊,請參閱管理掃描模式

  • 為組織中的所有帳戶建立和管理 CIS 掃描組態,成員帳戶建立的任何掃描組態除外。

    注意

    如果成員帳戶離開組織,委派管理員將無法再看到該帳戶排程的掃描組態。

  • 檢視組織中所有帳戶的 CIS 掃描結果。

  • 使用組織政策時,請設定政策受管資源的掃描設定,但無法自行啟用或停用政策受管掃描類型。

成員帳戶動作

成員帳戶可以在 Amazon Inspector 中檢視和擷取其帳戶的相關資訊,而其帳戶的設定則由委派管理員管理。組織內的成員帳戶可以在 Amazon Inspector 中執行下列動作:

  • 為自己的帳戶啟用 Amazon Inspector。

  • 檢視其自身帳戶的資源涵蓋範圍。

  • 檢視自己帳戶的調查結果詳細資訊。

  • 檢視其自身帳戶的 ECR 容器映像自動重新掃描持續時間設定。

  • 為 EC2 的 Amazon Inspector 深度檢查指定五個自訂路徑,這些路徑將用於其個別帳戶。除了委派管理員為組織指定的任何自訂路徑之外,還會掃描這些路徑。如需設定深度檢查路徑的詳細資訊,請參閱Amazon Inspector 深度檢查的自訂路徑

  • 檢視委派管理員為 Amazon Inspector 深度檢查設定的自訂路徑。

  • 匯出與其帳戶關聯之任何資源SBOMs

  • 檢視其帳戶的掃描模式。

  • 建立和管理其帳戶的 CIS 掃描組態。

  • 檢視任何 CIS 掃描其帳戶中資源的結果,包括委派管理員排程的資源。

  • 啟用非由組織政策管理的掃描類型。成員帳戶無法啟用或停用政策管理的掃描類型。

注意

啟用後,只能由委派管理員帳戶停用 Amazon Inspector。