本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
入门教程:激活 Amazon Inspector
本主题介绍了如何为独立账户环境(成员账户)以及多账户环境(委派管理员账户)激活 Amazon Inspector。激活 Amazon Inspector 后,它会自动开始发现工作负载并扫描其中是否存在软件漏洞和意外网络暴露。
- Standalone account environment
-
以下步骤介绍了如何在控制台中为成员账户激活 Amazon Inspector。要以编程方式激活 Amazon Inspector,inspec tor2-
。enablement-with-cli -
使用您的凭证登录,然后在 https://console.aws.amazon.com/inspector/v2/
home 中打开 Amazon Inspector 控制台。 -
选择开始使用。
-
选择激活 Amazon Inspector。
为独立账户激活 Amazon Inspector 时,默认情况下会激活所有扫描类型。有关成员账户的信息,请参阅了解 Amazon Inspector 中的委派管理员账户和成员账户。
-
- Multi-account (with Amazon Organizations policy)
-
Amazon Organizations 策略为在整个组织中启用 Amazon Inspector 提供了集中管理。当您使用组织策略时,系统会自动管理该政策涵盖的所有账户的 Amazon Inspector 启用,并且成员账户无法使用 Amazon Inspector API 修改策略管理的扫描。
先决条件
-
您的账户必须是 Amazon Organizations 组织的一部分。
-
您必须拥有在中创建和管理组织策略的权限 Amazon Organizations。
-
必须在中启用 Amazon Inspector 的可信访问权限 Amazon Organizations。有关说明,请参阅Amazon Organizations 用户指南中的为 Amazon Inspector 启用可信访问。
-
Amazon Inspector 服务相关角色应存在于管理账户中。要创建它们,请在管理账户中启用 Amazon Inspector,或者从管理账户运行以下命令:
-
aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com -
aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com
-
-
应指定 Amazon Inspector 的委托管理员。
注意
如果没有管理账户和委托管理员等服务相关的 Amazon Inspector 角色,组织政策将强制启用 Amazon Inspector,但成员账户将无法与 Amazon Inspector 组织关联以进行集中调查和账户管理。
使用 Amazon Organizations 策略启用 Amazon Inspector
-
在创建组织策略之前,请为 Amazon Inspector 指定一名委托管理员,以确保成员账户与 Amazon Inspector 组织关联,以便集中查看调查结果。登录 Amazon Organizations 管理账户,在 https://console.aws.amazon.com/inspector/v2/hom
e 上打开 Amazon Inspector 控制台,然后按照中的步骤进行操作。为您的 Amazon 组织指定委派管理员 注意
我们强烈建议您的 Amazon Organizations Amazon Inspector 委托管理员账户 ID 和 Amazon Inspector 指定的委托管理员账户 ID 保持不变。如果 Amazon Organizations 委托管理员账户 ID 与 Amazon Inspector 委托管理员账户 ID 不同,则 Amazon Inspector 会优先使用检查员指定的账户 ID。当未设置 Amazon Inspector 委托管理员但已设置 Amazon Organizations 委托管理员且管理账户具有亚马逊检查员服务相关角色时,Amazon Inspector 会自动将 Amazon Organizations 委托管理员账户 ID 分配为亚马逊检查员委托的管理员。
-
在 Amazon Inspector 控制台中,从管理账户导航到常规设置。在 “委托策略” 下,选择 “附加声明”。在 “附加策略声明” 对话框中,查看策略,选择 “我确认我已查看策略并了解其授予的权限”,然后选择 Attach stat ement。
重要
管理账户必须具有以下权限才能附加委托政策声明:
-
来自 AmazonInspector2 FullAccess _v2 托管策略的 Amazon Inspector 权限
-
Amazon Organizations
organizations:PutResourcePolicy来自AWSOrganizationsFullAccess托管策略的权限
如果缺少
organizations:PutResourcePolicy权限,则操作将失败并显示错误:Failed to attach statement to the delegation policy。 -
-
接下来,创建 Amazon Inspector Amazon Organizations 政策。从导航窗格中选择 “管理”,然后选择 “配置”。
-
配置漏洞管理策略。提供详细信息以及策略的名称和描述(可选)。
-
在 “配置 Inspector” 页面的 “详细信息” 部分,输入策略的名称和描述。在 “能力选择” 中,执行以下任一操作:
-
选择配置并启用所有功能(推荐)。这将启用所有 Inspector 功能,包括 EC2、ECR、Lambda 标准、Lambda 代码扫描和代码安全。
-
选择选择权能子集。选择任何应开启的扫描类型功能。
-
-
在 “账户选择” 部分,选择以下选项之一:
-
如果要将配置应用于所有组织单位和帐户,请选择 “所有组织单位和帐户”。
-
如果要将配置应用于特定的组织单位和帐户,请选择 “特定组织单位和帐户”。如果您选择此选项,请使用搜索栏或组织结构树来指定将应用该策略的组织单元和账户。
-
如果您不想将配置应用于任何组织单位或帐户,请选择 “无组织单位或帐户”。
-
-
在 “区域” 部分,选择 “启用所有区域”、“禁用所有区域” 或 “指定区域”。
-
如果您选择启用所有区域,则可以决定是否自动启用新区域。
-
如果您选择禁用所有区域,则可以决定是否自动禁用新区域。
-
如果选择指定区域,则必须选择要启用和禁用的区域。
(可选)有关高级设置,请参阅中的指南 Amazon Organizations。
(可选)对于资源标签,将标签添加为键值对,以帮助您轻松识别配置。
-
-
选择 “下一步”,查看您的更改,然后选择 “应用”。您的目标账户是根据策略进行配置的。策略的配置状态显示在 “策略” 页面的顶部。每项功能都提供有关其是否已配置或部署失败的状态。对于任何故障,请选择失败消息的链接以查看更多详细信息。要查看账户级别的有效策略,您可以查看配置页面上的组织选项卡,可以在其中选择一个账户。
当通过组织策略启用 Amazon Inspector 时,该政策所涵盖的账户无法通过 Amazon Inspector API 或控制台禁用策略管理的扫描类型。有关委托管理员和成员账户在组织政策下可以做什么和不能做什么的详细信息,请参阅使用 Amazon Inspector 管理多个账户 Amazon Organizations。
-
- Multi-account (without Amazon Organizations policy)
-
注意
您必须使用 Amazon Organizations 管理账户才能完成此过程。只有 Amazon Organizations 管理账号才能指定委派管理员。可能需要权限才能指定委派管理员。有关更多信息,请参阅 指定委托管理员所需的权限。
当您首次激活 Amazon Inspector 时,Amazon Inspector 会为账户创建服务相关角色
AWSServiceRoleForAmazonInspector。有关 Amazon Inspector 如何使用服务相关角色的信息,请参阅对 Amazon Inspector 使用服务相关角色。指定 Amazon Inspector 委托管理员
-
登录 Amazon Organizations 管理账户,然后在 https://console.aws.amazon.com/inspector/v2/
home 上打开 Amazon Inspector 控制台。 -
选择开始。
-
在 “委托管理员” 下,输入 Amazon Web Services 账户 要指定为委派管理员的 12 位 ID。
-
选择委派,然后再次选择委派。
-
(可选)如果您想为 Amazon Organizations 管理账户激活 Amazon Inspector,请在 “服务权限” 下选择 “激活亚马逊检查器”。
当您指定委派管理员时,默认情况下会为该账户激活所有扫描类型。有关委派管理员账户的信息,请参阅了解 Amazon Inspector 中的委派管理员账户和成员账户。
-