本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解 Amazon Inspector 管理员和成员账户之间的关系
在多账户环境中使用 Amazon Inspector 时,Amazon Inspector 委托管理员账户可以访问某些元数据。这些元数据包括 Amazon EC2 和 Amazon ECR 的配置数据以及成员账户的安全调查发现结果。管理员账户还可以创建应用于成员账户的调查发现抑制规则。有关更多信息,请参阅 使用抑制规则抑制 Amazon Inspector 调查发现。
委派管理员操作
通常,当授权管理员将设置应用于其账户时,这些设置将应用于组织中的所有其他账户。委派管理员还可以查看和检索自有账户和任何关联成员的信息。Amazon Inspector 委派管理员账户可以执行以下操作:
-
查看和管理关联账户的 Amazon Inspector 状态,包括激活和停用 Amazon Inspector。
-
为组织内的所有成员账户激活或停用扫描类型。
-
查看整个组织的汇总调查发现数据,以及组织内所有成员账户的调查发现详情。
-
创建和管理应用于组织内所有账户的调查发现的抑制规则。
-
为组织的所有成员激活 Amazon ECR 增强扫描。
-
查看整个组织的资源覆盖率。
-
为组织内所有成员账户定义自动重新扫描 ECR 容器映像的持续时间。委托管理员的扫描持续时间设置会覆盖成员账户先前的所有设置。组织中的所有账户共享授权管理员的 Amazon ECR 自动重新扫描时长。您不能为个人账户设置不同的重新扫描持续时间。
-
为 Amazon Inspector 的 Amazon EC2 深度检查指定五个自定义路径,这些路径将在组织中的所有账户中使用。除此之外,委托管理员还可为个人账户设置五个自定义路径。有关配置深度检查自定义路径的更多信息,请参阅Amazon Inspector 深度检查的自定义路径。
-
激活和停用对成员账户的 Amazon Inspector 深度检查。
-
为组织内的任何成员账户导出 SBOM。
-
为组织中的所有成员账户设置 Amazon EC2 扫描模式。有关更多信息,请参阅 管理扫描模式。
-
创建和管理组织中所有帐户的 CIS 扫描配置,但成员帐户创建的任何扫描配置除外。
注意
如果成员账户离开组织,则委派的管理员将无法再看到该账户安排的扫描配置。
查看组织中所有帐户的 CIS 扫描结果。
成员账户操作
成员账户可以在 Amazon Inspector 中查看和检索有关其账户的信息,而其账户的设置则由授权管理员管理。组织内的成员账户可以在 Amazon Inspector 中执行以下操作:
-
为自己的账户激活 Amazon Inspector。
-
查看自己账户的资源覆盖率。
-
查看自己账户的调查发现详细信息。
-
查看自己账户的 ECR 容器映像自动重新扫描持续时间设置。
-
为 Amazon Inspector 的 EC2 深度检查指定五个自定义路径,这些路径将用于他们的个人账户。除了委派管理员为组织指定的任何自定义路径外,还会扫描这些路径。有关配置深度检查路径的更多信息,请参阅Amazon Inspector 深度检查的自定义路径。
-
查看您的委托管理员为 Amazon Inspector 深度检查设置的自定义路径。
-
为与其账户关联的任何资源导出 SBOM。
-
查看其账户的扫描模式。
-
为其账户创建和管理 CIS 扫描配置。
-
查看其账户中资源的任何 CIS 扫描结果,包括由授权管理员安排的扫描。
注意
激活后,只有委托管理员账户才能停用 Amazon Inspector。