本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
入門教學課程:啟用 Amazon Inspector
本主題說明如何為獨立帳戶環境 (成員帳戶) 和多帳戶環境 (委派管理員帳戶) 啟用 Amazon Inspector。當您啟用 Amazon Inspector 時,它會自動開始探索工作負載,並掃描它們是否有軟體漏洞和意外的網路暴露。
- Standalone account environment
-
下列程序說明如何在 主控台中為成員帳戶啟用 Amazon Inspector。若要以程式設計方式啟用 Amazon Inspector,acspector2-enablement-with-cli
。 -
使用您的登入資料登入,然後開啟位於 https://https://console.aws.amazon.com/inspector/v2/home
的 Amazon Inspector 主控台。 -
選擇開始使用。
-
選擇啟用 Amazon Inspector。
當您為獨立帳戶啟用 Amazon Inspector 時,預設會啟用所有掃描類型。如需成員帳戶的資訊,請參閱了解 Amazon Inspector 中的委派管理員帳戶和成員帳戶。
-
- Multi-account (with AWS Organizations policy)
-
AWS Organizations 政策提供集中式控管,以在整個組織中啟用 Amazon Inspector。當您使用組織政策時,系統會自動針對政策涵蓋的所有帳戶管理 Amazon Inspector 啟用,而且成員帳戶無法使用 Amazon Inspector API 修改政策受管掃描。
先決條件
-
您的帳戶必須是 AWS Organizations 組織的一部分。
-
您必須擁有在 中建立和管理組織政策的許可 AWS Organizations。
-
Amazon Inspector 的信任存取必須在其中啟用 AWS Organizations。如需說明,請參閱AWS Organizations 《 使用者指南》中的啟用 Amazon Inspector 的受信任存取。
-
Amazon Inspector 服務連結角色應該存在於管理帳戶中。若要建立它們,請在管理帳戶中啟用 Amazon Inspector,或從管理帳戶執行下列命令:
-
aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com -
aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com
-
-
應指定 Amazon Inspector 委派管理員。
注意
如果沒有管理帳戶和委派管理員的服務連結 Amazon Inspector 角色,組織政策將強制執行 Amazon Inspector 啟用,但成員帳戶不會與 Amazon Inspector 組織建立關聯,以進行集中式問題清單和帳戶管理。
使用 AWS Organizations 政策啟用 Amazon Inspector
-
在建立組織政策之前指定 Amazon Inspector 的委派管理員,以確保成員帳戶與 Amazon Inspector 組織相關聯,以實現集中式調查結果可見性。登入 AWS Organizations 管理帳戶,在 https://https://console.aws.amazon.com/inspector/v2/home
開啟 Amazon Inspector 主控台,然後遵循 中的步驟為您的 AWS 組織指定委派管理員。 注意
我們強烈建議將您的 AWS Organizations Amazon Inspector 委派管理員帳戶 ID 和 Amazon Inspector 指定的委派管理員帳戶 ID 保持相同。如果 AWS Organizations 委派管理員帳戶 ID 與 Amazon Inspector 委派管理員帳戶 ID 不同,Amazon Inspector 會優先考慮 Inspector 指定的帳戶 ID。未設定 Amazon Inspector 委派管理員,但已設定 AWS Organizations 委派管理員,且管理帳戶具有 Amazon Inspector 服務連結角色時,Amazon Inspector 會自動將 AWS Organizations 委派管理員帳戶 ID 指派為 Amazon Inspector 委派管理員。
-
在 Amazon Inspector 主控台中,從管理帳戶導覽至一般設定。在委派政策下,選擇連接陳述式。在連接政策陳述式對話方塊中,檢閱政策,選取我確認已檢閱政策並了解其授予的許可,然後選擇連接陳述式。
重要
管理帳戶必須具有下列許可,才能連接委派政策陳述式:
-
來自 Amazon InspectorAmazonInspector2FullAccess 許可
-
AWS Organizations
organizations:PutResourcePolicyAWSOrganizationsFullAccess 受管政策的 許可
如果缺少
organizations:PutResourcePolicy許可,操作會失敗並顯示錯誤:Failed to attach statement to the delegation policy。 -
-
接著,建立 Amazon Inspector AWS Organizations 政策。從導覽窗格中,選擇管理,然後選擇組態。
-
設定漏洞管理政策。提供政策名稱和描述的詳細資訊 (選用)。
-
在設定檢查器頁面的詳細資訊區段中,輸入政策的名稱和描述。在功能選擇中,執行下列其中一項:
-
選擇設定並啟用所有功能 (建議)。這會開啟所有 Inspector 功能,包括 EC2、ECR、Lambda 標準、Lambda 程式碼掃描和 Code Security。
-
選擇選取功能子集。選取應開啟的任何掃描類型功能。
-
-
在帳戶選取區段中,選取下列其中一個選項:
-
如果您想要將組態套用至所有組織單位和帳戶,請選擇所有組織單位和帳戶。
-
如果您想要將組態套用至特定組織單位和帳戶,請選擇特定組織單位和帳戶。如果您選擇此選項,請使用搜尋列或組織結構樹來指定要套用政策的組織單位和帳戶。
-
如果您不想將組態套用至任何組織單位或帳戶,請選擇無組織單位或帳戶。
-
-
在區域區段中,選擇啟用所有區域、停用所有區域或指定區域。
-
如果您選擇啟用所有區域,您可以決定是否自動啟用新區域。
-
如果您選擇停用所有區域,您可以決定是否自動停用新區域。
-
如果您選擇指定區域,則必須選擇要啟用和停用的區域。
(選用) 如需進階設定,請參閱 中的指引 AWS Organizations。
(選用) 針對資源標籤,將標籤新增為鍵/值對,以協助您輕鬆識別組態。
-
-
選擇下一步,檢閱您的變更,然後選擇套用。您的目標帳戶是根據政策設定。政策的組態狀態會顯示在政策頁面頂端。每個功能都會提供狀態,指出是否已設定或發生部署失敗。對於任何失敗,請選擇失敗訊息的連結以查看更多詳細資訊。若要在帳戶層級檢視有效政策,您可以檢閱組態頁面上的組織索引標籤,您可以在其中選擇帳戶。
透過組織政策啟用 Amazon Inspector 時,政策涵蓋的帳戶無法透過 Amazon Inspector API 或主控台停用政策受管掃描類型。如需委派管理員和成員帳戶在組織政策下可以和不可以執行哪些操作的詳細資訊,請參閱 使用 在 Amazon Inspector 中管理多個帳戶 AWS Organizations。
-
- Multi-account (without AWS Organizations policy)
-
注意
您必須使用 AWS Organizations 管理帳戶來完成此程序。只有 AWS Organizations 管理帳戶可以指定委派管理員。指定委派管理員可能需要許可。如需詳細資訊,請參閱指定委派管理員所需的許可。
當您第一次啟用 Amazon Inspector 時,Amazon Inspector 會
AWSServiceRoleForAmazonInspector為帳戶建立服務連結角色。如需 Amazon Inspector 如何使用服務連結角色的資訊,請參閱 使用 Amazon Inspector 的服務連結角色。為 Amazon Inspector 指定委派管理員
-
登入 AWS Organizations 管理帳戶,然後開啟位於 https://https://console.aws.amazon.com/inspector/v2/home
的 Amazon Inspector 主控台。 -
選擇開始使用。
-
在委派管理員下,輸入 AWS 帳戶 您要指定為委派管理員之 的 12 位數 ID。
-
選擇委派,然後再次選擇委派。
-
(選用) 如果您想要為 AWS Organizations 管理帳戶啟用 Amazon Inspector,請在服務許可下選擇啟用 Amazon Inspector。
當您指定委派管理員時,預設會為帳戶啟用所有掃描類型。如需有關委派管理員帳戶的資訊,請參閱了解 Amazon Inspector 中的委派管理員帳戶和成員帳戶。
-
