本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
开始使用 Amazon Inspector 政策
在配置 Amazon Inspector 策略之前,请确保您了解先决条件和实施要求。本主题将指导您完成在组织中设置和管理这些策略的过程。
了解所需权限
要启用或附加 Amazon Inspector 政策,您必须在管理账户中拥有以下权限:
-
inspector2.amazonaws.com的organizations:EnableAWSServiceAccess -
inspector2.amazonaws.com的organizations:RegisterDelegatedAdministrator -
organizations:AttachPolicy,organizations:CreatePolicy,organizations:DescribeEffectivePolicy -
inspector2:Enable(适用于管理账号和委派管理员)
开始前的准备工作
在实施 Amazon Inspector 政策之前,请查看以下要求:
-
您的账户必须是 Amazon 组织的一部分
-
您必须使用以下任一身份登录:
-
组织的管理账户
-
Organ Amazon izations 委托管理员有权管理 Amazon Inspector 政策
-
-
您必须为组织中的 Amazon Inspector 启用可信访问权限
-
您必须在组织根目录中启用 Amazon Inspector 策略类型
此外,请确认:
-
您要应用政策的区域支持 Amazon Inspector
-
您的管理账户中已配置
AWSServiceRoleForInspectorV2服务关联角色。要验证此角色是否存在,请运行aws iam get-role --role-name AWSServiceRoleForInspectorV2。如果需要创建此角色,可以从您的管理账户在任何区域运行aws inspector2 enable,也可以通过运行aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com直接创建。
实现步骤
要有效实施 Amazon Inspector 政策,请按顺序执行以下步骤。每个步骤都可确保配置正确,并有助于在设置过程中避免常见问题。管理账户或授权管理员可以通过 Amazon Organizations 控制台、 Amazon 命令行界面 (Amazon CLI) 或执行这些步骤 Amazon SDKs。
创建 Amazon Inspector 政策
最小权限
要创建 Amazon Inspector 策略,您需要以下权限:
-
organizations:CreatePolicy
Amazon 管理控制台
创建 Amazon Inspector 政策
-
登录 Amazon Organizations 控制台
。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。 -
在 Amazon Inspector 控制台中为正在使用的服务设置委托管理员。
-
为 Amazon Inspector 设置委托管理员后,请访问 Amazon 组织控制台设置政策。在 Amazon 组织控制台上,访问 Amazon Inspector 政策页面,选择创建策略。
-
在创建新的 Amazon Inspector 政策页面上,输入策略名称和可选的政策描述。
-
(可选)您可以向策略添加一个或多个标签,方法是选择 Add tag (添加标签),然后输入一个键和可选的值。将值留空,设置为空字符串;它并非
null。您最多可以向策略附加 50 个标签。有关更多信息,请参阅 标记资源 Amazon Organizations。 -
在 JSON 代码框中输入或粘贴策略文本。有关 Amazon Inspector 策略语法以及可以用作起点的示例策略的信息,请参阅Amazon Inspector 策略语法和示例。
-
编辑完策略后,选择位于页面右下角的 Create policy (创建策略)。