本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Amazon Inspector 政策的最佳实践
<a name="orgs_manage_policies_inspector_best_practices"></a>

在整个组织中实施 Amazon Inspector 政策时，遵循既定的最佳实践有助于确保成功部署和维护。

## 简单开始并进行一些小更改
<a name="start-simple-incremental-changes"></a>

首先，在有限的组织单位（例如，“安全试点”）启用 Amazon Inspector 政策，以便在向所有账户推出之前验证预期行为。这种渐进式方法允许您在更广泛的部署之前识别并解决受控环境中的潜在问题。

## 建立审查流程
<a name="establish-review-processes"></a>

定期监控是否有新账户加入您的组织，并确认他们会自动继承 Amazon Inspector 启用。每季度审查一次保单附件范围，确保您的安全覆盖范围与您的组织结构和安全要求保持一致。

## 使用验证更改 DescribeEffectivePolicy
<a name="validate-policy-changes"></a>

附加或修改政策后，请运行`DescribeEffectivePolicy`代表账户，以确保正确反映 Amazon Inspector 的启用。此验证步骤可帮助您确认您的政策变更是否在整个组织中产生了预期效果。

## 沟通与培训
<a name="communicate-and-train"></a>

告知账户所有者，亚马逊检查器将自动启用，一旦他们与亚马逊检查员授权的管理员相关联，发现结果可能会出现在他们的 Security Hub 或 Amazon Inspector 控制面板中。清晰的沟通有助于确保账户所有者了解已实施的安全监控，并能够对发现的结果做出适当的回应。

## 规划您的委派管理员策略
<a name="delegated-admin-strategy"></a>

指定一个安全或合规账户作为 Amazon Inspector 的委托管理员。从 Amazon Inspector 控制台或通过 Amazon Organizations 设置委托管理员 APIs。这种方法可在整个组织中实现一致的安全监控和管理。

## 处理区域注意事项
<a name="regional-considerations"></a>

在您的工作负载运行的区域启用 Amazon Inspector。在确定哪些地区需要 Amazon Inspector 覆盖范围时，请考虑您的合规要求和运营需求。记录您的区域特定要求，以便在整个基础设施中保持一致的安全监控。