本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 亚马逊 Inspector 和 Amazon Organizations
<a name="services-that-can-integrate-inspector2"></a>

Amazon Inspector 是一项自动漏洞管理服务，可持续扫描 Amazon EC2 和容器工作负载中是否存在软件漏洞和意外网络暴露。

使用 Amazon Inspector，您只需为亚马逊 Inspector 委派一个管理员账户，即可管理 Amazon Organizations 通过关联的多个账户。该委托管理员将为组织管理 Amazon Inspector，并将获得代表您的组织执行诸如以下任务的特殊权限：
+ 启用或禁用对成员账户的扫描
+ 查看从整个组织汇总的查找结果数据
+ 创建和管理禁止规则

有关更多信息，请参阅*《Amazon Inspector 用户指南》*中的[使用 Amazon Organizations管理多个账户](https://docs.amazonaws.cn//inspector/latest/user/managing-multiple-accounts.html)。

使用以下信息来帮助您将 Amazon Inspector 与集成 Amazon Organizations。

## 启用集成时，创建了一个服务相关角色
<a name="integrate-enable-slr-inspector2"></a>

以下[服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html)会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Amazon Inspector 在您组织中的组织账户内执行受支持的操作。

只有在禁用 Amazon Inspector 与 Organizations 之间的信任访问权限后，或者如果您从组织中删除成员账户，您才能删除或修改此角色。
+ `AWSServiceRoleForAmazonInspector2`

有关更多信息，请参阅*《Amazon Inspector 用户指南》*中的[将服务相关角色用于 Amazon Inspector](https://docs.amazonaws.cn//inspector/latest/user/using-service-linked-roles.html)。

## 服务相关角色使用的服务委托人
<a name="integrate-enable-svcprin-inspector2"></a>

上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Amazon Inspector 使用的服务相关角色为以下服务委托人授予访问权限：
+ `inspector2.amazonaws.com`

## 使用 Amazon Inspector 启用信任访问权限
<a name="integrate-enable-ta-inspector2"></a>

有关启用信任访问权限所需权限的信息，请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。

Amazon Inspector 需要可信访问权限， Amazon Organizations 然后您才能指定成员账户作为贵组织此服务的委托管理员。

当您为 Amazon Inspector 指定委托管理员时，Amazon Inspector 会自动为您的组织启用 Amazon Inspector 信任访问权限。

 但是，如果要使用 Amazon CLI 或其中一个配置委派管理员帐户 Amazon SDKs，则必须显式调用该`EnableAWSServiceAccess`操作并提供服务主体作为参数。然后您可以调用 `EnableDelegatedAdminAccount` 以委托 Inspector 管理员账户。

您可以通过运行 Organizations Amazon CLI 命令或在其中一个中调用 Organizations API 操作来启用可信访问 Amazon SDKs。

------
#### [ Amazon CLI, Amazon API ]

**使用 Organizations CLI/SDK 启用信任服务访问权限**  
使用以下 Amazon CLI 命令或 API 操作启用可信服务访问权限：
+ Amazon CLI: [enable-aws-service-access](https://docs.amazonaws.cn/cli/latest/reference/organizations/enable-aws-service-access.html)

  运行以下命令，允许将 Amazon Inspector 作为 Organizations 的可信服务。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal inspector2.amazonaws.com
  ```

  如果成功，此命令不会产生任何输出。
+ Amazon API：[启用AWSService访问权限](https://docs.amazonaws.cn/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

**注意**  
如果您使用 `EnableAWSServiceAccess` API，您还需要调用 [https://docs.amazonaws.cn/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html](https://docs.amazonaws.cn/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html) 以委托 Inspector 管理员账户。

## 使用 Amazon Inspector 禁用信任访问权限
<a name="integrate-disable-ta-inspector2"></a>

有关禁用信任访问所需权限的信息，请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 Amazon Organizations 管理账户中的管理员才能禁用 Amazon Inspector 的可信访问权限。

您只能使用 Organizations 工具禁用可信访问权限。

您可以通过运行 Organizations Amazon CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 Amazon SDKs。

------
#### [ Amazon CLI, Amazon API ]

**使用 Organizations CLI/SDK 禁用信任服务访问权限**  
使用以下 Amazon CLI 命令或 API 操作禁用可信服务访问权限：
+ Amazon CLI: [disable-aws-service-access](https://docs.amazonaws.cn/cli/latest/reference/organizations/disable-aws-service-access.html)

  运行以下命令，禁止将 Amazon Inspector 作为 Organizations 的可信服务。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal inspector2.amazonaws.com
  ```

  如果成功，此命令不会产生任何输出。
+ Amazon API：[禁用AWSService访问权限](https://docs.amazonaws.cn/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 为 Amazon Inspector 启用委托管理员账户
<a name="integrate-enable-da-inspector2"></a>

借助 Amazon Inspector，您可以使用具有 Amazon Organizations 服务的委托管理员来管理组织中的多个账户。

 Amazon Organizations 管理账户将组织内的一个账户指定为 Amazon Inspector 的委托管理员账户。委托管理员管理组织的 Amazon Inspector，并获得代表您的组织执行诸如以下任务的特殊权限：启用或禁用对成员账户的扫描、查看从整个组织汇总的查找结果数据，以及创建和管理禁止规则

 有关委托管理员如何管理组织账户的信息，请参阅*《Amazon Inspector 用户指南》*中的[了解管理员账户与成员账户之间的关系](https://docs.amazonaws.cn//inspector/latest/user/admin-member-relationship.html)。

只有组织管理账户中的管理员才能为 Amazon Inspector 配置委托管理员。

您可以通过 Amazon Inspector 控制台或 API，或者通过使用 Organizations CLI 或 SDK 操作，来指定委托管理员账户。

**最小权限**  
只有 Organizations 管理账户中的用户或角色能够将某个成员账户配置为组织中 Amazon Inspector 的委托管理员。

要使用 Amazon Inspector 控制台配置委托管理员，请参阅*《Amazon Inspector 用户指南》*中的[步骤 1：启用 Amazon Inspector - 多账户环境](https://docs.amazonaws.cn//inspector/latest/user/getting_started_tutorial.html#tutorial_enable_scans)。

**注意**  
您必须在使用 Amazon Inspector 的每个区域调用 `inspector2:enableDelegatedAdminAccount`。

------
#### [ Amazon CLI, Amazon API ]

如果要使用 Amazon CLI 或其中一个配置委派管理员帐户 Amazon SDKs，则可以使用以下命令：
+ Amazon CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal inspector2.amazonaws.com
  ```
+ Amazon SDK：调用 Organizations `RegisterDelegatedAdministrator` 操作和成员账户的 ID 号，并将账户服务委托人标识`account.amazonaws.com`为参数。

------

## 为 Amazon Inspector 禁用委托管理员
<a name="integrate-disable-da-inspector2"></a>

只有 Amazon Organizations 管理账户中的管理员才能从组织中移除委派的管理员账户。

您可以使用 Amazon Inspector 控制台或 API，或者通过使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作，来删除委托管理员。要使用 Amazon Inspector 控制台删除委托管理员，请参阅*《Amazon Inspector 用户指南》*中的[删除委托管理员](https://docs.amazonaws.cn//inspector/latest/user/remove-delegated-admin.html)。