本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Inspector 政策入門
設定 Amazon Inspector 政策之前,請確定您了解先決條件和實作需求。本主題會引導您在組織中設定和管理這些政策的程序。
了解必要的許可
若要啟用或停用 Amazon Inspector 政策,您必須在 管理帳戶中擁有下列許可:
-
適用於
inspector2.amazonaws.com的organizations:EnableAWSServiceAccess -
適用於
inspector2.amazonaws.com的organizations:RegisterDelegatedAdministrator -
organizations:AttachPolicy,organizations:CreatePolicy,organizations:DescribeEffectivePolicy -
inspector2:Enable(適用於管理帳戶和委派管理員)
開始之前
在實作 Amazon Inspector 政策之前,請檢閱下列要求:
-
您的帳戶必須是 AWS 組織的一部分
-
您必須以下列其中一種身分登入:
-
組織的管理帳戶
-
AWS Organizations 委派管理員具有管理 Amazon Inspector 政策的許可
-
-
您必須為組織中的 Amazon Inspector 啟用受信任存取
-
您必須在組織的根目錄中啟用 Amazon Inspector 政策類型
此外,請確認:
-
您要套用政策的區域中支援 Amazon Inspector
-
您的管理帳戶中已設定
AWSServiceRoleForInspectorV2服務連結角色。若要驗證此角色是否存在,請執行aws iam get-role --role-name AWSServiceRoleForInspectorV2。如果您需要建立此角色,您可以從管理帳戶aws inspector2 enable在任何區域中執行 ,或執行 直接建立該角色aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com。
實作步驟
若要有效實作 Amazon Inspector 政策,請依照下列步驟依序執行。每個步驟可確保適當的組態,並有助於防止設定期間的常見問題。管理帳戶或委派管理員可以透過 AWS Organizations 主控台、 AWS 命令列界面 (AWS CLI) 或 AWS SDKs執行這些步驟。
建立 Amazon Inspector 政策
最低許可
若要建立 Amazon Inspector 政策,您需要下列許可:
-
organizations:CreatePolicy
AWS 管理主控台
建立 Amazon Inspector 政策
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
為在 Amazon Inspector 主控台中使用的服務設定委派管理員。
-
為 Amazon Inspector 設定委派管理員後,請造訪 AWS 組織主控台以設定政策。在 AWS 組織主控台上,造訪 Amazon Inspector 政策頁面,選擇建立政策。
-
在建立新的 Amazon Inspector 政策頁面上,輸入政策名稱和選用的政策描述。
-
(選用) 您可以透過選擇 Add tag (新增標籤),然後輸入一個鍵和一個選用值,來將一個或多個標籤新增至政策。將值留空會將其設定為空白字串;而不是
null。您可以在政策中連接最多 50 個標籤。如需詳細資訊,請參閱標記 AWS Organizations 資源。 -
在 JSON 程式碼方塊中輸入或貼上政策文字。如需 Amazon Inspector 政策語法的相關資訊,以及您可以使用做為起點的範例政策,請參閱 Amazon Inspector 政策語法和範例。
-
當政策編輯完成時,請在頁面的右下角選擇 Create policy (建立政策)。
