亚马逊 Inspector 和 Amazon Organizations - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 Inspector 和 Amazon Organizations

Amazon Inspector 是一项自动漏洞管理服务,可持续扫描亚马逊EC2和容器工作负载,以查找软件漏洞和意外网络泄露。

使用 Amazon Inspector,您只需为亚马逊 Inspector 委派一个管理员账户,即可管理 Amazon Organizations 通过关联的多个账户。该委托管理员将为组织管理 Amazon Inspector,并将获得代表您的组织执行诸如以下任务的特殊权限:

  • 启用或禁用对成员账户的扫描

  • 查看从整个组织汇总的查找结果数据

  • 创建和管理禁止规则

有关更多信息,请参阅《Amazon Inspector 用户指南》中的使用 Amazon Organizations管理多个账户

使用以下信息来帮助您将 Amazon Inspector 与集成 Amazon Organizations。

启用集成时,创建了一个服务相关角色

以下服务相关角色会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Amazon Inspector 在您组织中的组织账户内执行受支持的操作。

只有在禁用 Amazon Inspector 与 Organizations 之间的信任访问权限后,或者如果您从组织中删除成员账户,您才能删除或修改此角色。

  • AWSServiceRoleForAmazonInspector2

有关更多信息,请参阅《Amazon Inspector 用户指南》中的将服务相关角色用于 Amazon Inspector

服务相关角色使用的服务委托人

上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Amazon Inspector 使用的服务相关角色为以下服务委托人授予访问权限:

  • inspector2.amazonaws.com

使用 Amazon Inspector 启用信任访问权限

有关启用信任访问权限所需权限的信息,请参阅允许可信访问所需的权限

Amazon Inspector 需要可信访问权限, Amazon Organizations 然后您才能指定成员账户作为贵组织此服务的委托管理员。

当您为 Amazon Inspector 指定委托管理员时,Amazon Inspector 会自动为您的组织启用 Amazon Inspector 信任访问权限。

但是,如果要使用 Amazon CLI或其中一个配置委派管理员帐户 Amazon SDKs,则必须显式调用该EnableAWSServiceAccess操作并提供服务主体作为参数。然后您可以调用 EnableDelegatedAdminAccount 以委托 Inspector 管理员账户。

您可以通过运行 Organizations Amazon CLI 命令或在其中一个中调用 Organizations API 操作来启用可信访问 Amazon SDKs。

Amazon CLI, Amazon API
使用 OrganizationsCLI/启用可信服务访问权限 SDK

使用以下 Amazon CLI 命令或API操作启用可信服务访问权限:

  • Amazon CLI: enable-aws-service-access

    运行以下命令将 Amazon Inspector 启用为 Organizations 的可信服务。

    $ aws organizations enable-aws-service-access \ --service-principal inspector2.amazonaws.com

    如果成功,此命令不会产生任何输出。

  • Amazon API: E A nableAWSService ccess

注意

如果您使用的是 EnableAWSServiceAccessAPI,则还需要致电委EnableDelegatedAdminAccount托 Inspector 管理员帐户。

使用 Amazon Inspector 禁用信任访问权限

有关禁用信任访问所需权限的信息,请参阅禁止可信访问所需的权限

只有 Amazon Organizations 管理账户中的管理员才能禁用 Amazon Inspector 的可信访问权限。

您只能使用 Organizations 工具禁用可信访问。

您可以通过运行 Organizations Amazon CLI 命令或在其中一个中调用 Organization API s 操作来禁用可信访问 Amazon SDKs。

Amazon CLI, Amazon API
使用 OrganizationsCLI/禁用可信服务访问权限 SDK

使用以下 Amazon CLI 命令或API操作禁用可信服务访问权限:

  • Amazon CLI: disable-aws-service-access

    运行以下命令将 Amazon Inspector 禁用 Organizations 作为可信服务。

    $ aws organizations disable-aws-service-access \ --service-principal inspector2.amazonaws.com

    如果成功,此命令不会产生任何输出。

  • Amazon API: D A isableAWSService ccess

为 Amazon Inspector 启用委托管理员账户

借助 Amazon Inspector,您可以使用具有 Amazon Organizations 服务的委托管理员来管理组织中的多个账户。

Amazon Organizations 管理账户将组织内的一个账户指定为 Amazon Inspector 的委托管理员账户。委托管理员管理组织的 Amazon Inspector,并获得代表您的组织执行诸如以下任务的特殊权限:启用或禁用对成员账户的扫描、查看从整个组织汇总的查找结果数据,以及创建和管理禁止规则

有关委托管理员如何管理组织账户的信息,请参阅《Amazon Inspector 用户指南》中的了解管理员账户与成员账户之间的关系

只有组织管理账户中的管理员才能为 Amazon Inspector 配置委托管理员。

您可以从 Amazon Inspector 控制台或API使用 Organizations CLI 或SDK操作指定委托管理员账户。

最小权限

只有 Organizations 管理账户中的用户或角色能够将某个成员账户配置为组织中 Amazon Inspector 的委托管理员。

要使用 Amazon Inspector 控制台配置委托管理员,请参阅《Amazon Inspector 用户指南》中的步骤 1:启用 Amazon Inspector - 多账户环境

注意

您必须在使用 Amazon Inspector 的每个区域调用 inspector2:enableDelegatedAdminAccount

Amazon CLI, Amazon API

如果要使用 Amazon CLI或其中一个配置委派管理员帐户 Amazon SDKs,则可以使用以下命令:

  • Amazon CLI:

    $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal inspector2.amazonaws.com
  • Amazon SDK:调用 Organizations RegisterDelegatedAdministrator 操作和成员账户的 ID 号,将账户服务委托人标识account.amazonaws.com为参数。

为 Amazon Inspector 禁用委托管理员

只有 Amazon Organizations 管理账户中的管理员才能从组织中移除委派的管理员账户。

您可以使用 Amazon Inspector 控制台或API,或者使用 Organizations DeregisterDelegatedAdministrator CLI 或SDK操作移除委托的管理员。要使用 Amazon Inspector 控制台删除委托管理员,请参阅《Amazon Inspector 用户指南》中的删除委托管理员