本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Inspector 政策
Amazon Inspector 政策可讓您在 AWS 組織中跨帳戶集中啟用和管理 Amazon Inspector。使用 Amazon Inspector 政策,您可以指定哪些組織實體 (根、OUs 或帳戶) 已自動啟用 Amazon Inspector,並連結至 Amazon Inspector 委派管理員帳戶。您可以使用 Amazon Inspector 政策來簡化整個服務的加入,並確保在所有現有和新建立的帳戶中一致啟用 Amazon Inspector。
主要功能和優點
Amazon Inspector 政策可讓您定義應該為您的組織或其子集啟用哪些掃描類型,以確保一致的涵蓋範圍並減少手動工作。實作後,它們可協助您自動加入新帳戶,並在組織擴展時維持掃描基準。
運作方式
當您將 Amazon Inspector 政策連接到組織實體時,政策會自動為該範圍內的所有成員帳戶啟用 Amazon Inspector。此外,如果您已透過註冊 Amazon Inspector 的委派管理員來完成 Amazon Inspector 設定,則該帳戶將對組織中已啟用 Amazon Inspector 的帳戶具有集中式漏洞可見性。
Amazon Inspector 政策可以套用至整個組織、特定組織單位 (OUs) 或個別帳戶。加入組織的帳戶,或移至已連接 Amazon Inspector 政策的 OU,會自動繼承政策,並啟用 Amazon Inspector 並連結至 Amazon Inspector 委派管理員。Amazon Inspector 政策可讓您啟用 Amazon EC2 掃描、Amazon ECR 掃描或 Lambda 標準和程式碼掃描,以及 Code Security。特定組態設定和禁止規則可以透過組織的委派管理員帳戶進行管理。
當您將 Amazon Inspector 政策連接到組織或組織單位時, AWS Organizations 會自動評估政策,並根據您定義的範圍套用政策。政策強制執行程序遵循特定的衝突解決規則:
-
當區域同時出現在啟用和停用清單中時,停用組態優先。例如,如果區域同時在啟用和停用組態中列出,則會在該區域中停用 Amazon Inspector。
-
當
ALL_SUPPORTED指定為啟用時,除非明確停用,否則會在所有目前和未來的區域中啟用 Amazon Inspector。這可讓您在擴展到新區域時 AWS 維持全面的涵蓋範圍。 -
子政策可以使用繼承運算子修改父政策設定,允許在不同組織層級進行精細控制。這種階層方法可確保特定組織單位可以自訂其安全設定,同時維護基準控制。
術語
本主題會在討論 Amazon Inspector 政策時使用下列術語。
| 術語 | 定義 |
|---|---|
| 有效政策 | 合併所有繼承的政策後套用至帳戶的最終政策。 |
| 政策繼承 | 帳戶從父組織單位繼承政策的程序。 |
| 委派的管理員 | 指定代表組織管理 Amazon Inspector 政策的帳戶。 |
| 服務連結角色 | 允許 Amazon Inspector 與其他 AWS 服務互動的 IAM 角色。 |
Amazon Inspector 政策的使用案例
跨多個帳戶啟動大規模工作負載的組織可以使用此政策,確保所有帳戶立即啟用正確的掃描類型並避免差距。監管或合規驅動的環境可以使用子政策來覆寫或限制 OU 的掃描類型。快速成長環境可以自動化新建立帳戶的啟用,使其始終符合基準。
政策繼承和強制執行
了解政策如何繼承和強制執行對於整個組織的有效安全管理至關重要。繼承模型遵循 AWS Organizations 階層,確保可預測且一致的政策應用程式。
-
連接到根層級的政策適用於所有帳戶
-
帳戶從其父組織單位繼承政策
-
多個政策可以套用至單一帳戶
-
更具體的政策 (更接近階層中的帳戶) 優先
政策驗證
建立 Amazon Inspector 政策時,會發生下列驗證:
-
區域名稱必須是有效的 AWS 區域識別符
-
Amazon Inspector 必須支援區域
-
政策結構必須遵循 AWS Organizations 政策語法規則
-
enable_in_regions和disable_in_regions清單都必須存在,但可以是空的
區域考量事項和支援的區域
Amazon Inspector 政策僅適用於可使用 Amazon Inspector 和 AWS Organizations 受信任存取的區域。了解區域行為可協助您在整個組織的全球足跡中實作有效的安全控制。
-
政策強制執行會在每個區域中獨立執行
-
您可以指定要在政策中包含或排除的區域
-
使用
ALL_SUPPORTED選項時,會自動包含新區域 -
政策僅適用於可使用 Amazon Inspector 的區域
分離行為
如果您分離 Amazon Inspector 政策,Amazon Inspector 仍會在先前涵蓋的帳戶中保持啟用狀態。不過,組織結構的未來變更 (例如加入的新帳戶或移至 OU 的現有帳戶) 將不再自動啟用 Amazon Inspector。任何進一步的啟用都必須手動或透過重新連接政策來執行。
其他詳細資訊
委派的管理員
只能為組織中的 Amazon Inspector 註冊一個委派管理員。在連接 Amazon Inspector 政策之前,您必須在 Amazon Inspector 主控台或透過 APIs 進行設定。
先決條件
您必須啟用 AWS Organizations 的受信任存取、註冊 Amazon Inspector 的委派管理員,以及所有帳戶中的服務連結角色。
支援的地區
可使用 Amazon Inspector 的所有區域。
