

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Inspector 政策入門
<a name="orgs_manage_policies_inspector_getting_started"></a>

設定 Amazon Inspector 政策之前，請確定您了解先決條件和實作需求。本主題會引導您在組織中設定和管理這些政策的程序。

## 了解必要的許可
<a name="inspector_getting_started-permissions"></a>

若要啟用或停用 Amazon Inspector 政策，您必須在 管理帳戶中擁有下列許可：
+ 適用於 `inspector2.amazonaws.com` 的 `organizations:EnableAWSServiceAccess`
+ 適用於 `inspector2.amazonaws.com` 的 `organizations:RegisterDelegatedAdministrator`
+ `organizations:AttachPolicy`, `organizations:CreatePolicy`, `organizations:DescribeEffectivePolicy`
+ `inspector2:Enable` （適用於管理帳戶和委派管理員）

## 開始之前
<a name="inspector_getting_started-before-begin"></a>

在實作 Amazon Inspector 政策之前，請檢閱下列要求：
+ 您的帳戶必須是 AWS 組織的一部分
+ 您必須以下列其中一種身分登入：
  + 組織的管理帳戶
  +  AWS Organizations 委派管理員具有管理 Amazon Inspector 政策的許可
+ 您必須為組織中的 Amazon Inspector 啟用受信任存取
+ 您必須在組織的根目錄中啟用 Amazon Inspector 政策類型

此外，請確認：
+ 您要套用政策的區域中支援 Amazon Inspector 
+ 您的管理帳戶中已設定`AWSServiceRoleForInspectorV2`服務連結角色。若要驗證此角色是否存在，請執行 `aws iam get-role --role-name AWSServiceRoleForInspectorV2`。如果您需要建立此角色，您可以從管理帳戶`aws inspector2 enable`在任何區域中執行 ，或執行 直接建立該角色`aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com`。

## 實作步驟
<a name="inspector_getting_started-implementation"></a>

若要有效實作 Amazon Inspector 政策，請依照下列步驟依序執行。每個步驟可確保適當的組態，並有助於防止設定期間的常見問題。管理帳戶或委派管理員可以透過 AWS Organizations 主控台、 AWS 命令列界面 (AWS CLI) 或 AWS SDKs執行這些步驟。

1. [啟用 Amazon Inspector 的受信任存取](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access)。

1. [為您的組織啟用 Amazon Inspector 政策](enable-policy-type.md)。

1. [建立 Amazon Inspector 政策](orgs_manage_policies_inspector_syntax.md)。

1. [將 Amazon Inspector 政策連接到組織的根、OU 或帳戶](orgs_policies_attach.md)。

1. [檢視套用至 帳戶的合併有效 Amazon Inspector 政策](orgs_manage_policies_effective.md)。

## 建立 Amazon Inspector 政策
<a name="inspector_getting_started-create-policy"></a>

### 最低許可
<a name="inspector_getting_started-create-policy-permissions"></a>

若要建立 Amazon Inspector 政策，您需要下列許可：
+ `organizations:CreatePolicy`

### AWS 管理主控台
<a name="inspector_getting_started-create-policy-console"></a>

**建立 Amazon Inspector 政策**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 為在 Amazon Inspector 主控台中使用的服務設定委派管理員。

1. 為 Amazon Inspector 設定委派管理員後，請造訪 AWS 組織主控台以設定政策。在 AWS 組織主控台上，造訪 Amazon Inspector 政策頁面，選擇**建立政策**。

1. 在**建立新的 Amazon Inspector 政策**頁面上，輸入**政策名稱**和選用**的政策描述**。

1. (選用) 您可以透過選擇 **Add tag** (新增標籤)，然後輸入一個鍵和一個選用值，來將一個或多個標籤新增至政策。將值留空會將其設定為空白字串；而不是 `null`。您可以在政策中連接最多 50 個標籤。如需詳細資訊，請參閱[標記 AWS Organizations 資源考量事項](orgs_tagging.md)。

1. 在 JSON 程式碼方塊中輸入或貼上政策文字。如需 Amazon Inspector 政策語法的相關資訊，以及您可以使用做為起點的範例政策，請參閱 [Amazon Inspector 政策語法和範例](orgs_manage_policies_inspector_syntax.md)。

1. 當政策編輯完成時，請在頁面的右下角選擇 **Create policy** (建立政策)。