本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 在 Amazon Inspector 中管理多個帳戶 AWS Organizations
您可以使用 Amazon Inspector 來管理[組織中的](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)多個帳戶。Amazon Inspector 支援兩種多帳戶管理方法:
+ ** AWS Organizations 政策的委派管理員** - 為委派管理員提供集中式控管,並跨區域跨組織帳戶自動啟用 Amazon Inspector。組織政策會強制執行哪些掃描類型已啟用,並優先於非政策受管委派管理員和成員帳戶啟用。
+ **非 AWS Organizations 政策的委派管理員** - 指定為管理組織 Amazon Inspector 而不使用組織政策的帳戶。委派管理員可以為成員帳戶啟用 Amazon Inspector 並設定掃描設定。
這些方法可以一起使用。當組織政策到位時,它們會控制資源類型啟用 (啟用哪些掃描類型),而委派管理員則保留對掃描模式和深度檢查路徑等掃描組態設定的控制。下列主題說明這些管理方法、如何指定委派管理員,以及如何管理成員帳戶。
**Topics**
+ [了解 Amazon Inspector 中的委派管理員帳戶和成員帳戶](admin-member-relationship.md)
+ [為 Amazon Inspector 指定委派管理員帳戶](designating-admin.md)
# 了解 Amazon Inspector 中的委派管理員帳戶和成員帳戶
在多帳戶環境中使用 Amazon Inspector 時,委派的管理員帳戶可以存取特定中繼資料。中繼資料包括 Amazon EC2、Amazon ECR 和 Lambda 的標準掃描,以及 Lambda 程式碼掃描。它還包含成員帳戶的安全調查結果結果。本節提供有關委派管理員帳戶可以執行哪些動作,以及成員帳戶可以執行哪些動作的資訊。
## 組織政策控管模型
使用 AWS Organizations 政策啟用 Amazon Inspector 時,會強制執行控管模型,以決定允許哪些動作:
**政策受管資源**
委派管理員或成員帳戶無法修改組織政策明確啟用或停用的資源。啟用或停用政策受管掃描類型的 API 請求將會失敗,並出現明確錯誤,指出資源是由組織政策管理。
**Non-policy-managed資源**
組織政策中未指定的資源通常可由委派管理員和成員帳戶使用 Amazon Inspector 主控台或 API 進行管理。
**掃描組態管理**
委派管理員一律可以設定掃描設定,例如 EC2 掃描模式、[深度檢查路徑](https://docs.aws.amazon.com/inspector/latest/user/deep-inspection.html#deep-inspection-paths)和 ECR 重新掃描持續時間,無論資源類型是否由政策管理。組織政策只會控制是否啟用掃描,而不是其運作方式。
如需建立和管理 Amazon Inspector 組織政策的詳細資訊,請參閱 Amazon Inspector 政策 AWS Organizations 的文件。
## 委派的管理員動作
一般而言,當委派管理員將設定套用至其帳戶時,這些設定會套用至組織中的所有其他帳戶。委派管理員也可以檢視和擷取自己帳戶和任何相關聯成員的資訊。Amazon Inspector 委派管理員帳戶可以執行下列動作:
+ 只有 AWS Organizations 管理帳戶可以指定和移除委派管理員。
+ 指定委派管理員時,您必須與要管理的成員帳戶位於相同的組織中。
+ 檢視和管理關聯帳戶的 Amazon Inspector 狀態,包括啟用和停用 Amazon Inspector。
+ 啟用或停用組織中所有成員帳戶的掃描類型。
+ 檢視整個組織的彙總調查結果資料,並尋找組織內所有成員帳戶的詳細資訊。
+ 建立和管理套用到組織中所有帳戶調查結果的禁止規則。
+ 為組織的所有成員啟用 Amazon ECR 增強型掃描。
+ 檢視整個組織的資源涵蓋範圍。
+ 定義組織中所有成員帳戶的 ECR 容器映像自動重新掃描持續時間。委派管理員的掃描持續時間設定會覆寫成員帳戶先前設定的任何設定。組織中的所有帳戶都會共用委派管理員的 Amazon ECR 自動重新掃描持續時間。您無法為個別帳戶設定不同的重新掃描持續時間。
+ 為 Amazon EC2 的 Amazon Inspector 深度檢查指定五個自訂路徑,這些路徑將用於組織中的所有帳戶。 Amazon EC2 這是委派管理員可以為其個別帳戶設定的五個自訂路徑以外的。如需設定深度檢查自訂路徑的詳細資訊,請參閱 [Amazon Inspector 深度檢查的自訂路徑](deep-inspection.md#deep-inspection-paths)。
+ 啟用和停用成員帳戶的 Amazon Inspector 深度檢查。
+ [匯出組織中任何成員帳戶的 SBOMs](sbom-export.md)。
+ 為組織中的所有成員帳戶設定 Amazon EC2 掃描模式。如需詳細資訊,請參閱[管理掃描模式](scanning-ec2.md#scan-mode)。
+ 為組織中的所有帳戶建立和管理 CIS 掃描組態,成員帳戶建立的任何掃描組態除外。
**注意**
如果成員帳戶離開組織,委派管理員將無法再看到該帳戶排程的掃描組態。
+ 檢視組織中所有帳戶的 CIS 掃描結果。
+ 使用組織政策時,請設定政策受管資源的掃描設定,但無法自行啟用或停用政策受管掃描類型。
## 成員帳戶動作
成員帳戶可以在 Amazon Inspector 中檢視和擷取其帳戶的相關資訊,而其帳戶的設定則由委派管理員管理。組織內的成員帳戶可以在 Amazon Inspector 中執行下列動作:
+ 為自己的帳戶啟用 Amazon Inspector。
+ 檢視其自身帳戶的資源涵蓋範圍。
+ 檢視自己帳戶的調查結果詳細資訊。
+ 檢視其自身帳戶的 ECR 容器映像自動重新掃描持續時間設定。
+ 為 EC2 的 Amazon Inspector 深度檢查指定五個自訂路徑,這些路徑將用於其個別帳戶。除了委派管理員為組織指定的任何自訂路徑之外,還會掃描這些路徑。如需設定深度檢查路徑的詳細資訊,請參閱[Amazon Inspector 深度檢查的自訂路徑](deep-inspection.md#deep-inspection-paths)。
+ 檢視委派管理員為 Amazon Inspector 深度檢查設定的自訂路徑。
+ [匯出與其帳戶關聯之任何資源SBOMs](sbom-export.md)。
+ 檢視其帳戶的掃描模式。
+ 建立和管理其帳戶的 CIS 掃描組態。
+ 檢視其帳戶中資源的任何 CIS 掃描結果,包括委派管理員排程的資源。
+ 啟用非由組織政策管理的掃描類型。成員帳戶無法啟用或停用政策受管掃描類型。
**注意**
啟用後,只能由委派管理員帳戶停用 Amazon Inspector。
# 為 Amazon Inspector 指定委派管理員帳戶
委派管理員是管理組織服務的帳戶。本主題說明如何指定 Amazon Inspector 的委派管理員。
## 考量事項
指定委派管理員之前,請注意下列事項:
**委派管理員最多可以管理 10,000 個成員。**
如果您超過 10,000 個成員帳戶,您會透過 Amazon CloudWatch Personal Health Dashboard 收到通知,並透過電子郵件傳送給委派的管理員帳戶。
透過超過 10,000 個帳戶 (最多 50,000 個) 的組織 AWS Organizations 政策啟用 Amazon Inspector 時,政策適用於所有帳戶。不過,只有 10,000 個帳戶會與 Amazon Inspector 組織相關聯。也就是說,委派管理員只能在 Amazon Inspector 主控台中檢視這 10,000 個帳戶的調查結果和帳戶狀態。
**委派管理員是區域管理員。**
Amazon Inspector 是區域服務。您必須在計劃使用 Amazon Inspector 的每個 AWS 區域 中重複程序中的步驟。
**組織只能有一個委派管理員。**
如果將 帳戶指定為其中一個 中的委派管理員 AWS 區域,則該帳戶必須是所有其他 中的委派管理員 AWS 區域。
**變更委派管理員不會停用成員帳戶的 Amazon Inspector。**
如果您移除委派管理員,成員帳戶會成為獨立帳戶,且掃描設定不會受到影響。
**您的 AWS 組織必須啟用所有功能。**
這是 的預設設定 AWS Organizations。如果未啟用,請參閱[啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
**組織政策優先於委派的管理員設定。**
如果您的組織使用 AWS Organizations 政策來啟用 Amazon Inspector,政策設定會決定要啟用哪些掃描類型。我們建議您在建立組織政策之前指定委派管理員,以確保一致的控管。如需詳細資訊,請參閱[組織政策控管模型](admin-member-relationship.md#org-policy-overview)。
## 指定委派管理員所需的許可
您必須具有啟用 Amazon Inspector 和指定 Amazon Inspector 委派管理員的許可。將下列陳述式新增至 IAM 政策的結尾,以授予這些許可。如需詳細資訊,請參閱[管理 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)。
```
{
"Sid": "PermissionsForInspectorAdmin",
"Effect": "Allow",
"Action": [
"inspector2:EnableDelegatedAdminAccount",
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
```
## 為您的 AWS 組織指定委派管理員
下列程序說明如何為您的組織指定委派管理員。完成程序之前,請確定您在與希望委派管理員管理的成員帳戶相同的組織中。
**注意**
您必須使用 AWS Organizations 管理帳戶來完成此程序。只有 AWS Organizations 管理帳戶可以指定委派管理員。指定委派管理員可能需要許可。如需詳細資訊,請參閱[指定委派管理員所需的許可](#delegated-admin-permissions)。
當您第一次啟用 Amazon Inspector 時,Amazon Inspector 會`AWSServiceRoleForAmazonInspector`為帳戶建立服務連結角色。如需 Amazon Inspector 如何使用服務連結角色的資訊,請參閱 [使用 Amazon Inspector 的服務連結角色](using-service-linked-roles.md)。
------
#### [ Console ]
**為 Amazon Inspector 指定委派管理員**
1. 登入 AWS Organizations 管理帳戶,然後開啟位於 https://[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 的 Amazon Inspector 主控台。
1. 使用 AWS 區域 選取器來指定您要指定委派管理員的 AWS 區域 。
1. 從導覽窗格中,選擇**一般設定**。
1. 在**委派管理員**下,輸入 AWS 帳戶 您要指定為委派管理員之 的 12 位數 ID。
1. 選擇**委派**,然後再次選擇**委派**。
當您指定委派管理員時,預設會為帳戶啟用[所有掃描類型](https://docs.aws.amazon.com/inspector/latest/user/scanning-resources.html)。如果您想要為 AWS Organizations 管理帳戶啟用 Amazon Inspector,請完成下列程序。
**為 AWS Organizations 管理帳戶啟用 Amazon Inspector**
1. 登入委派的管理員帳戶,然後開啟位於 https://[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 的 Amazon Inspector 主控台。
1. 從導覽窗格中,選擇**帳戶管理**。
1. 在**帳戶**下,選取 AWS Organizations 管理帳戶,然後選擇**啟用**。
1. 選取您要為 AWS Organizations 管理帳戶啟用的掃描類型,然後選擇**提交**。
------
#### [ API ]
**使用 API 指定委派管理員**
+ 使用 Organizations 管理帳戶的 登入資料來執行 [EnableDelegatedAdminAccount](https://docs.aws.amazon.com/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html) API AWS 帳戶 操作。您也可以執行下列 CLI 命令 AWS Command Line Interface ,使用 來執行此操作:`aws inspector2 enable-delegated-admin-account --delegated-admin-account-id 11111111111`
**注意**
請務必指定您要成為 Amazon Inspector 委派管理員之帳戶的帳戶 ID。
------
# 啟用成員帳戶的 Amazon Inspector 掃描
您可以透過多種方法為組織中的成員帳戶啟用 Amazon Inspector。您選擇的方法取決於您的控管需求和組織結構。
**AWS Organizations 政策 (建議集中管理)**
使用 AWS Organizations 政策透過集中式控制,在您的組織中自動啟用 Amazon Inspector。此方法可確保一致的掃描涵蓋範圍,並自動套用至新帳戶。如需詳細說明,請參閱建立 Amazon Inspector 政策 AWS Organizations 的文件。
**委派管理員啟用**
身為委派管理員,您可以透過 Amazon Inspector 主控台或 API,為特定成員帳戶或所有成員帳戶手動啟用 Amazon Inspector。此方法可在不使用組織政策時提供彈性。
**成員帳戶自我啟用**
當不受組織政策限制時,成員帳戶可以為其自己的帳戶啟用 Amazon Inspector。啟用後,帳戶就會與委派管理員建立關聯。
## 啟用成員帳戶的掃描
下列程序說明如何使用委派管理員和成員帳戶方法啟用成員帳戶的掃描。如需 Amazon Inspector 掃描類型的資訊,請參閱 [Amazon Inspector 中的自動掃描類型](scanning-resources.md)。
**自動啟用所有成員帳戶的掃描**
1. 使用委派的管理員帳戶登入資料登入,然後開啟位於 https://[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 的 Amazon Inspector 主控台。
1. 使用區域選擇器,選擇您要為所有成員帳戶啟用掃描的 AWS 區域 。
1. 從導覽窗格中,選擇**帳戶管理**。**帳戶**索引標籤會顯示與 AWS Organizations 管理帳戶相關聯的所有成員帳戶。
1. 在**組織**下,選取**帳戶號碼**旁的方塊。然後選擇**啟用**,以選取要套用至成員帳戶的掃描選項。您可以選取下列掃描類型:
+ Amazon EC2 掃描
+ Amazon ECR 掃描
+ Lambda 標準掃描
+ Lambda 程式碼掃描
1. 選取偏好的掃描類型之後,請選擇**儲存**。
**注意**
如果您有多個帳戶頁面,則必須在每個頁面上重複此步驟。您可以選擇齒輪圖示來變更每個頁面上顯示的帳戶數量。
1. 開啟**自動為新成員帳戶啟用 Inspector** 設定,然後選取您要套用至新增至組織之新成員帳戶的掃描選項。您可以選取下列掃描類型:
+ Amazon EC2 掃描
+ Amazon ECR 掃描
+ Lambda 標準掃描
+ Lambda 程式碼掃描
1. 選取偏好的掃描類型之後,請選擇**啟用**。
**注意**
**自動為新成員帳戶啟用 Inspector** 設定會為您組織的所有未來成員啟用 Amazon Inspector。
如果成員帳戶的數量超過 5,000,此設定會自動關閉。如果成員帳戶總數減少到少於 5,000,則會自動重新啟用設定。
1. (建議) 在您要為成員帳戶啟用掃描的每個 AWS 區域 中重複這些步驟。
**啟用特定成員帳戶的掃描**
1. 使用委派的管理員帳戶登入資料登入,然後開啟位於 https://[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 的 Amazon Inspector 主控台。
1. 使用區域選擇器,選擇您要為所有成員帳戶啟用掃描的 AWS 區域 。
1. 從導覽窗格中,選擇**帳戶管理**。**帳戶**索引標籤會顯示與 AWS Organizations 管理帳戶相關聯的所有成員帳戶。
1. 在**組織**下,選取您要啟用掃描的每個成員帳戶號碼旁的方塊。然後選擇**啟用**,以選取要套用至成員帳戶的掃描選項。您可以選取下列掃描類型:
+ Amazon EC2 掃描
+ Amazon ECR 掃描
+ Lambda 標準掃描
+ Lambda 程式碼掃描
1. 選取偏好的掃描類型之後,請選擇**儲存**。
**注意**
如果您有多個帳戶頁面,則必須在每個頁面上重複此步驟。您可以選擇齒輪圖示來變更每個頁面上顯示的帳戶數量。
1. (建議) 在您要為特定成員啟用掃描的每個 AWS 區域 中重複這些步驟。
**以成員帳戶身分啟用掃描**
1. 使用您的登入資料登入,然後開啟位於 https://[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 的 Amazon Inspector 主控台。
1. 使用區域選擇器,選擇您要為所有成員帳戶啟用掃描的 AWS 區域 。
1. 從導覽窗格中,選擇**帳戶管理**。**帳戶**索引標籤會顯示與 AWS Organizations 管理帳戶相關聯的所有成員帳戶。
1. 在**組織**下,選取您帳戶號碼旁的方塊。然後選擇**啟用**,以選取要套用的掃描選項。您可以選取下列掃描類型:
+ Amazon EC2 掃描
+ Amazon ECR 掃描
+ Lambda 標準掃描
+ Lambda 程式碼掃描
1. 選取偏好的掃描類型之後,請選擇**儲存**。
1. (建議) 在您要為成員帳戶啟用掃描的每個區域中重複這些步驟。
**注意**
如果您的 AWS Organizations 管理帳戶具有 Amazon Inspector 的委派管理員帳戶,您可以將帳戶啟用為成員帳戶,以檢視掃描詳細資訊。
**Important (重要)**
如果組織政策正在管理帳戶的 Amazon Inspector 啟用,委派管理員和成員帳戶無法使用 Amazon Inspector 啟用/停用 APIs 修改政策受管掃描類型。API 請求將會失敗,並顯示由組織政策管理資源的錯誤。您仍然可以啟用政策未管理的其他掃描類型。
# 在 Amazon Inspector 中取消關聯成員帳戶
身為委派管理員,您可能需要取消成員帳戶與帳戶的關聯。當您取消關聯成員帳戶時,帳戶仍會啟用 Amazon Inspector,而帳戶會成為獨立帳戶。您也不再擁有管理帳戶 Amazon Inspector 的許可。不過,您可以隨時將先前取消關聯的成員帳戶與您的帳戶建立關聯。本節說明如何取消成員帳戶與委派管理員的關聯。
**注意**
若要取消政策受管帳戶的關聯,該帳戶不應附加任何掃描類型的 Amazon Inspector 組織政策。
------
#### [ Console ]
**使用主控台取消成員帳戶的關聯**
1. 使用委派的管理員帳戶登入資料登入,然後開啟位於 https://[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 的 Amazon Inspector 主控台
1. 使用區域選擇器選擇您要取消成員帳戶關聯的 AWS 區域 。
1. 從導覽窗格中,選擇**帳戶管理**。
1. 在**組織**下,選取您要取消關聯的每個帳戶號碼旁的方塊。
1. 選擇**動作**功能表,然後選擇**取消帳戶關聯**。
------
#### [ API ]
**使用 API 取消成員帳戶的關聯**
執行 [DisassociateMember](https://docs.aws.amazon.com/inspector/v2/APIReference/API_DisassociateMember.html) API 操作。在請求中,提供您要取消關聯的帳戶 IDs。
------
# 在 Amazon Inspector 中移除委派管理員
您可能需要移除 Amazon Inspector 委派管理員帳戶。您可以從 AWS Organizations 管理帳戶執行此操作。當您移除 Amazon Inspector 委派管理員帳戶時,Amazon Inspector 仍會在帳戶及其所有成員帳戶中啟用。委派的管理員帳戶及其所有成員帳戶會成為獨立帳戶,並保留其原始掃描設定。
**注意**
如果 AWS Organizations 政策正在管理 Amazon Inspector 啟用,移除委派管理員不會影響政策強制執行。帳戶會根據組織政策設定保持啟用狀態,不過在指定新的委派管理員之前,成員帳戶調查結果將不再顯示在中央委派管理員主控台中。
本節說明如何移除委派管理員帳戶。
## 移除 Amazon Inspector 委派管理員
下列程序說明如何移除 Amazon Inspector 委派管理員,以及如何將成員帳戶與委派管理員帳戶建立關聯。
如需有關如何指派 Amazon Inspector 委派 admninistrator 的資訊,請參閱[指定 Amazon Inspector 的委派管理員帳戶](https://docs.aws.amazon.com/inspector/latest/user/designating-admin.html)。
**注意**
指派 Amazon Inspector 委派管理員之後,Amazon Inspector 委派管理員必須手動關聯成員帳戶。
**移除委派管理員**
1. AWS 管理主控台 使用 AWS Organizations 管理帳戶登入 。
1. 開啟位於 https://[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 的 Amazon Inspector 主控台。
1. 使用區域選擇器選擇您要移除委派管理員 AWS 區域 的 。
1. 從導覽窗格中,選擇**一般設定**。
1. 在**委派管理員**下,選擇**移除**,然後確認您的動作。
**將成員與新的委派管理員建立關聯**
1. 使用委派的管理員帳戶登入資料登入,然後開啟位於 https://[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 的 Amazon Inspector 主控台。
1. 使用區域選擇器選擇您要關聯成員 AWS 區域 的 。
1. 從導覽窗格中,選擇**帳戶管理**。
1. 在**組織**下,選取**帳戶號碼**旁的方塊。
1. 選擇**動作**,然後選擇**新增成員**。