本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
入門教學課程:啟用 Amazon Inspector
本主題說明如何為獨立帳戶環境 (成員帳戶) 和多帳戶環境 (委派管理員帳戶) 啟用 Amazon Inspector。當您啟用 Amazon Inspector 時,它會自動開始探索工作負載,並掃描它們是否有軟體漏洞和意外的網路暴露。
- Standalone account environment
-
下列程序說明如何在 主控台中為成員帳戶啟用 Amazon Inspector。若要以程式設計方式啟用 Amazon Inspector,acspector2-enablement-with-cli
。 -
使用您的登入資料登入,然後開啟位於 https://https://console.aws.amazon.com/inspector/v2/home
的 Amazon Inspector 主控台。 -
選擇開始使用。
-
選擇啟用 Amazon Inspector。
當您為獨立帳戶啟用 Amazon Inspector 時,預設會啟用所有掃描類型。如需成員帳戶的資訊,請參閱了解 Amazon Inspector 中的委派管理員帳戶和成員帳戶。
-
- Multi-account (with AWS Organizations policy)
-
AWS Organizations 政策提供集中式控管,以在整個組織中啟用 Amazon Inspector。當您使用組織政策時,政策涵蓋的所有帳戶都會自動管理 Amazon Inspector 啟用,而且成員帳戶無法使用 Amazon Inspector API 修改政策受管掃描。
先決條件
-
您的帳戶必須是 AWS Organizations 組織的一部分。
-
您必須擁有在 中建立和管理組織政策的許可 AWS Organizations。
-
Amazon Inspector 的信任存取必須在其中啟用 AWS Organizations。如需說明,請參閱AWS Organizations 《 使用者指南》中的啟用 Amazon Inspector 的受信任存取。
-
Amazon Inspector 服務連結角色應該存在於管理帳戶中。若要建立它們,請在管理帳戶中啟用 Amazon Inspector,或從管理帳戶執行下列命令:
-
aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com -
aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com
-
-
應指定 Amazon Inspector 委派管理員。
注意
如果沒有管理帳戶和委派管理員的服務連結 Amazon Inspector 角色,組織政策將強制執行 Amazon Inspector 啟用,但成員帳戶不會與 Amazon Inspector 組織建立關聯,以進行集中式問題清單和帳戶管理。
使用 AWS Organizations 政策啟用 Amazon Inspector
-
在建立組織政策之前指定 Amazon Inspector 的委派管理員,以確保成員帳戶與 Amazon Inspector 組織建立關聯,以實現集中式調查結果可見性。登入 AWS Organizations 管理帳戶,在 https://https://console.aws.amazon.com/inspector/v2/home
開啟 Amazon Inspector 主控台,然後遵循 中的步驟為您的 AWS 組織指定委派管理員。 注意
我們強烈建議將您的 AWS Organizations Amazon Inspector 委派管理員帳戶 ID 和 Amazon Inspector 指定的委派管理員帳戶 ID 保持相同。如果 AWS Organizations 委派管理員帳戶 ID 與 Amazon Inspector 委派管理員帳戶 ID 不同,Amazon Inspector 會優先考慮 Inspector 指定的帳戶 ID。未設定 Amazon Inspector 委派管理員,但已設定 AWS Organizations 委派管理員,且管理帳戶具有 Amazon Inspector 服務連結角色時,Amazon Inspector 會自動將 AWS Organizations 委派管理員帳戶 ID 指派為 Amazon Inspector 委派管理員。
-
在 Amazon Inspector 主控台中,從管理帳戶導覽至一般設定。在委派政策下,選擇連接陳述式。在連接政策陳述式對話方塊中,檢閱政策,選取我確認已檢閱政策並了解其授予的許可,然後選擇連接陳述式。
重要
管理帳戶必須具有下列許可,才能連接委派政策陳述式:
-
來自 Amazon InspectorAmazonInspector2FullAccess 許可
-
AWS Organizations
organizations:PutResourcePolicyAWSOrganizationsFullAccess 受管政策的 許可
如果缺少
organizations:PutResourcePolicy許可,操作會失敗,並顯示錯誤:Failed to attach statement to the delegation policy。 -
-
在 中建立 Amazon Inspector 政策 AWS Organizations ,指定要啟用哪些掃描類型,以及在哪些區域中啟用哪些掃描類型。如需建立 Amazon Inspector 政策的詳細說明,包括政策語法和範例,請參閱 Amazon Inspector 政策 AWS Organizations 的文件。
-
根據您的控管需求,將 Amazon Inspector 政策連接至您的組織根帳戶、組織單位或特定帳戶。
-
(選用) 確認政策已套用。政策應用程式是非同步的,視您的組織大小而定,可能需要幾秒鐘到幾個小時。在委派管理員的 Amazon Inspector 主控台中,導覽至帳戶管理。在組織下,檢視每個成員帳戶及其啟用狀態。對於透過 AWS Organizations 政策啟用的帳戶,每個掃描類型的已啟動指標將顯示其是否受到政策管理。
透過組織政策啟用 Amazon Inspector 時,政策涵蓋的帳戶無法透過 Amazon Inspector API 或主控台停用政策受管掃描類型。如需委派管理員和成員帳戶在組織政策下可以和不可以執行哪些操作的詳細資訊,請參閱 使用 在 Amazon Inspector 中管理多個帳戶 AWS Organizations。
-
- Multi-account (without AWS Organizations policy)
-
注意
您必須使用 AWS Organizations 管理帳戶來完成此程序。只有 AWS Organizations 管理帳戶可以指定委派管理員。指定委派管理員可能需要許可。如需詳細資訊,請參閱指定委派管理員所需的許可。
當您第一次啟用 Amazon Inspector 時,Amazon Inspector
AWSServiceRoleForAmazonInspector會為帳戶建立服務連結角色。如需 Amazon Inspector 如何使用服務連結角色的資訊,請參閱 使用 Amazon Inspector 的服務連結角色。為 Amazon Inspector 指定委派管理員
-
登入 AWS Organizations 管理帳戶,然後開啟位於 https://https://console.aws.amazon.com/inspector/v2/home
的 Amazon Inspector 主控台。 -
選擇開始使用。
-
在委派管理員下,輸入 AWS 帳戶 您要指定為委派管理員之 的 12 位數 ID。
-
選擇委派,然後再次選擇委派。
-
(選用) 如果您想要為 AWS Organizations 管理帳戶啟用 Amazon Inspector,請在服務許可下選擇啟用 Amazon Inspector。
當您指定委派管理員時,預設會為帳戶啟用所有掃描類型。如需有關委派管理員帳戶的資訊,請參閱了解 Amazon Inspector 中的委派管理員帳戶和成員帳戶。
-
