本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 开始使用 Amazon Inspector 政策
<a name="orgs_manage_policies_inspector_getting_started"></a>

在配置 Amazon Inspector 策略之前，请确保您了解先决条件和实施要求。本主题将指导您完成在组织中设置和管理这些策略的过程。

## 了解所需权限
<a name="inspector_getting_started-permissions"></a>

要启用或附加 Amazon Inspector 政策，您必须在管理账户中拥有以下权限：
+ `inspector2.amazonaws.com` 的 `organizations:EnableAWSServiceAccess`
+ `inspector2.amazonaws.com` 的 `organizations:RegisterDelegatedAdministrator`
+ `organizations:AttachPolicy`, `organizations:CreatePolicy`, `organizations:DescribeEffectivePolicy`
+ `inspector2:Enable`（适用于管理账号和委派管理员）

## 开始前的准备工作
<a name="inspector_getting_started-before-begin"></a>

在实施 Amazon Inspector 政策之前，请查看以下要求：
+ 您的账户必须是 Amazon 组织的一部分
+ 您必须使用以下任一身份登录：
  + 组织的管理账户
  + Organ Amazon izations 委托管理员有权管理 Amazon Inspector 政策
+ 您必须为组织中的 Amazon Inspector 启用可信访问权限
+ 您必须在组织根目录中启用 Amazon Inspector 策略类型

此外，请确认：
+ 您要应用政策的区域支持 Amazon Inspector
+ 您的管理账户中已配置 `AWSServiceRoleForInspectorV2` 服务关联角色。要验证此角色是否存在，请运行 `aws iam get-role --role-name AWSServiceRoleForInspectorV2`。如果需要创建此角色，可以从您的管理账户在任何区域运行 `aws inspector2 enable`，也可以通过运行 `aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com` 直接创建。

## 实现步骤
<a name="inspector_getting_started-implementation"></a>

要有效实施 Amazon Inspector 政策，请按顺序执行以下步骤。每个步骤都可确保配置正确，并有助于在设置过程中避免常见问题。管理账户或授权管理员可以通过 Amazon Organizations 控制台、 Amazon 命令行界面 (Amazon CLI) 或执行这些步骤 Amazon SDKs。

1. [为 Amazon Inspector 启用可信访问权限](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access)。

1. [为您的组织启用 Amazon Inspector 政策](enable-policy-type.md)。

1. [创建 Amazon Inspector 政策](orgs_manage_policies_inspector_syntax.md)。

1. [将 Amazon Inspector 政策附加到贵组织的根目录、组织单位或账户](orgs_policies_attach.md)。

1. [查看适用于账户的合并生效 Amazon Inspector 政策](orgs_manage_policies_effective.md)。

## 创建 Amazon Inspector 政策
<a name="inspector_getting_started-create-policy"></a>

### 最小权限
<a name="inspector_getting_started-create-policy-permissions"></a>

要创建 Amazon Inspector 策略，您需要以下权限：
+ `organizations:CreatePolicy`

### Amazon 管理控制台
<a name="inspector_getting_started-create-policy-console"></a>

**创建 Amazon Inspector 政策**

1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（[不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)）。

1. 在 Amazon Inspector 控制台中为正在使用的服务设置委托管理员。

1. 为 Amazon Inspector 设置委托管理员后，请访问 Amazon 组织控制台设置政策。在 Amazon 组织控制台上，访问 Amazon Inspector **政策页面，选择创建策略**。

1. 在**创建新的 Amazon Inspector 政策****页面上，输入策略名称**和可选的**政策描述**。

1. （可选）您可以向策略添加一个或多个标签，方法是选择 **Add tag (添加标签)**，然后输入一个键和可选的值。将值留空，设置为空字符串；它并非 `null`。您最多可以向策略附加 50 个标签。有关更多信息，请参阅 [标记资源 Amazon Organizations注意事项](orgs_tagging.md)。

1. 在 JSON 代码框中输入或粘贴策略文本。有关 Amazon Inspector 策略语法以及可以用作起点的示例策略的信息，请参阅[Amazon Inspector 策略语法和示例](orgs_manage_policies_inspector_syntax.md)。

1. 编辑完策略后，选择位于页面右下角的 **Create policy (创建策略)**。