Tutorial „Erste Schritte“: Amazon Inspector aktivieren - Amazon Inspector

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial „Erste Schritte“: Amazon Inspector aktivieren

In diesem Thema wird beschrieben, wie Amazon Inspector für eine eigenständige Kontoumgebung (Mitgliedskonto) und eine Umgebung mit mehreren Konten (delegiertes Administratorkonto) aktiviert wird. Wenn Sie Amazon Inspector aktivieren, erkennt Amazon Inspector automatisch Workloads und scannt sie auf Softwareschwachstellen und unbeabsichtigte Netzwerkgefährdung.

Standalone account environment

Das folgende Verfahren beschreibt, wie Sie Amazon Inspector in der Konsole für ein Mitgliedskonto aktivieren. Um Amazon Inspector programmatisch zu aktivieren, inspector2 -. enablement-with-cli

  1. Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  2. Wählen Sie Get Started.

  3. Wählen Sie Amazon Inspector aktivieren.

Wenn Sie Amazon Inspector für ein eigenständiges Konto aktivieren, sind standardmäßig alle Scantypen aktiviert. Informationen zu Mitgliedskonten finden Sie unter Grundlegendes zum delegierten Administratorkonto und zu Mitgliedskonten in Amazon Inspector.

Multi-account (with AWS Organizations policy)

AWS Organizations Richtlinien bieten eine zentrale Steuerung, um Amazon Inspector in Ihrer gesamten Organisation zu aktivieren. Wenn Sie eine Unternehmensrichtlinie verwenden, wird die Aktivierung von Amazon Inspector automatisch für alle von der Richtlinie abgedeckten Konten verwaltet, und Mitgliedskonten können richtlinienverwaltete Scans mithilfe der Amazon Inspector Inspector-API nicht ändern.

Voraussetzungen

  • Ihr Konto muss Teil einer Organisation sein. AWS Organizations

  • Sie benötigen die erforderlichen Berechtigungen zum Erstellen und Verwalten von Organisationsrichtlinien in AWS Organizations.

  • Der vertrauenswürdige Zugriff für Amazon Inspector muss in aktiviert sein AWS Organizations. Anweisungen finden Sie im AWS Organizations Benutzerhandbuch unter Enabling Trusted Access for Amazon Inspector.

  • Die mit dem Amazon Inspector Service verknüpften Rollen sollten im Verwaltungskonto vorhanden sein. Um sie zu erstellen, aktivieren Sie Amazon Inspector im Verwaltungskonto oder führen Sie die folgenden Befehle vom Verwaltungskonto aus:

    • aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com

    • aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com

  • Es sollte ein von Amazon Inspector delegierter Administrator benannt werden.

Anmerkung

Ohne die serviceverknüpften Amazon Inspector-Rollen Verwaltungskonto und delegierter Administrator wird durch die Unternehmensrichtlinien die Aktivierung von Amazon Inspector erzwungen, aber Mitgliedskonten werden nicht mit der Amazon Inspector Inspector-Organisation verknüpft, um zentrale Ergebnisse und Kontoverwaltung zu ermöglichen.

So aktivieren Sie Amazon Inspector mithilfe von AWS Organizations Richtlinien

  1. Benennen Sie einen delegierten Administrator für Amazon Inspector, bevor Sie Organisationsrichtlinien erstellen, um sicherzustellen, dass Mitgliedskonten mit der Amazon Inspector Inspector-Organisation verknüpft sind, um die Ergebnisse zentral sichtbar zu machen. Melden Sie sich beim AWS Organizations Verwaltungskonto an, öffnen Sie die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home und folgen Sie den Anweisungen unter. Benennen eines delegierten Administrators für Ihre Organisation AWS

    Anmerkung

    Wir empfehlen dringend, Ihre AWS Organizations Amazon Inspector-Administrator-Konto-ID und die von Amazon Inspector designierte delegierte Administratorkonto-ID identisch zu lassen. Wenn sich die AWS Organizations delegierte Administratorkonto-ID von der delegierten Administratorkonto-ID von Amazon Inspector unterscheidet, priorisiert Amazon Inspector die von Inspector festgelegte Konto-ID. Wenn der delegierte Amazon Inspector-Administrator nicht eingerichtet ist, aber der AWS Organizations delegierte Administrator eingerichtet ist und das Verwaltungskonto die mit dem Amazon Inspector-Service verknüpften Rollen hat, weist Amazon Inspector automatisch die AWS Organizations delegierte Administratorkonto-ID als delegierten Amazon Inspector-Administrator zu.

  2. Navigieren Sie in der Amazon Inspector Inspector-Konsole vom Verwaltungskonto aus zu Allgemeine Einstellungen. Wählen Sie unter Delegierungsrichtlinie die Option Kontoauszug anhängen aus. Überprüfen Sie im Dialogfeld Richtlinienerklärung anhängen die Richtlinie, wählen Sie Ich bestätige, dass ich die Richtlinie überprüft habe und die damit gewährten Berechtigungen verstanden habe, und wählen Sie dann Erklärung anhängen aus.

    Wichtig

    Das Verwaltungskonto muss über die folgenden Berechtigungen verfügen, um die Erklärung zur Delegierungsrichtlinie anhängen zu können:

    Wenn die organizations:PutResourcePolicy Berechtigung fehlt, schlägt der Vorgang mit dem folgenden Fehler fehl:Failed to attach statement to the delegation policy.

  3. Erstellen Sie als Nächstes eine Amazon Inspector AWS Organizations Inspector-Richtlinie. Wählen Sie im Navigationsbereich Management und dann Configurations aus.

  4. Konfigurieren Sie die Richtlinie für das Schwachstellenmanagement. Geben Sie Details mit Namen und Beschreibung (optional) für die Richtlinie an.

  5. Geben Sie auf der Seite Configure Inspector im Abschnitt Details einen Namen und eine Beschreibung für die Richtlinie ein. Führen Sie in der Funktionsauswahl einen der folgenden Schritte aus:

    • Wählen Sie „Konfigurieren“ und „Alle Funktionen aktivieren“ (empfohlen). Dadurch werden alle Inspector-Funktionen aktiviert, einschließlich EC2, ECR, Lambda-Standard, Lambda-Codescan und Code Security.

    • Wählen Sie „Teilmenge der Funktionen auswählen“. Wählen Sie alle Funktionen des Scantyps aus, die aktiviert werden sollen.

  6. Wählen Sie im Bereich Kontoauswahl eine der folgenden Optionen aus:

    • Wählen Sie Alle Organisationseinheiten und Konten aus, wenn Sie die Konfiguration auf alle Organisationseinheiten und Konten anwenden möchten.

    • Wählen Sie Bestimmte Organisationseinheiten und Konten aus, wenn Sie die Konfiguration auf bestimmte Organisationseinheiten und Konten anwenden möchten. Wenn Sie diese Option wählen, verwenden Sie die Suchleiste oder den Organisationsstrukturbaum, um die Organisationseinheiten und Konten anzugeben, auf die die Richtlinie angewendet werden soll.

    • Wählen Sie Keine Organisationseinheiten oder Konten aus, wenn Sie die Konfiguration nicht auf eine Organisationseinheit oder ein Konto anwenden möchten.

  7. Wählen Sie im Abschnitt Regionen die Optionen Alle Regionen aktivieren, Alle Regionen deaktivieren oder Regionen angeben aus.

    • Wenn Sie „Alle Regionen aktivieren“ wählen, können Sie festlegen, ob neue Regionen automatisch aktiviert werden sollen.

    • Wenn Sie Alle Regionen deaktivieren wählen, können Sie festlegen, ob neue Regionen automatisch deaktiviert werden sollen.

    • Wenn Sie „Regionen angeben“ wählen, müssen Sie auswählen, welche Regionen Sie aktivieren und deaktivieren möchten.

    (Optional) Informationen zu den erweiterten Einstellungen finden Sie in der Anleitung von AWS Organizations.

    (Optional) Fügen Sie für Resource-Tags Tags als Schlüssel-Wert-Paare hinzu, damit Sie die Konfiguration leichter identifizieren können.

  8. Wählen Sie Weiter, überprüfen Sie Ihre Änderungen und wählen Sie dann Anwenden aus. Ihre Zielkonten werden auf der Grundlage der Richtlinie konfiguriert. Der Konfigurationsstatus Ihrer Richtlinie wird oben auf der Seite Richtlinien angezeigt. Jede Funktion gibt einen Status an, der angibt, ob sie konfiguriert wurde oder wo Bereitstellungsfehler aufgetreten sind. Wählen Sie bei Fehlern den Link für die Fehlermeldung aus, um weitere Informationen zu erhalten. Die geltenden Richtlinien auf Kontoebene finden Sie auf der Seite Konfigurationen auf der Registerkarte Organisation, auf der Sie ein Konto auswählen können.

Wenn Amazon Inspector durch Unternehmensrichtlinien aktiviert ist, können Konten, die unter die Richtlinie fallen, die richtlinienverwalteten Scantypen nicht über die Amazon Inspector Inspector-API oder -Konsole deaktivieren. Ausführliche Informationen darüber, was delegierte Administratoren und Mitgliedskonten gemäß den Unternehmensrichtlinien tun können und was nicht, finden Sie unter. Verwaltung mehrerer Konten in Amazon Inspector mit AWS Organizations

Multi-account (without AWS Organizations policy)
Anmerkung

Sie müssen das AWS Organizations Verwaltungskonto verwenden, um dieses Verfahren abzuschließen. Nur das AWS Organizations Verwaltungskonto kann einen delegierten Administrator benennen. Für die Benennung eines delegierten Administrators sind möglicherweise Berechtigungen erforderlich. Weitere Informationen finden Sie unter Erforderliche Berechtigungen zum designieren eines delegierten Administrators.

Wenn Sie Amazon Inspector zum ersten Mal aktivieren, erstellt Amazon Inspector die serviceverknüpfte Rolle AWSServiceRoleForAmazonInspector für das Konto. Informationen darüber, wie Amazon Inspector serviceverknüpfte Rollen verwendet, finden Sie unterVerwenden von serviceverknüpften Rollen für Amazon Inspector.

So benennen Sie einen delegierten Administrator für Amazon Inspector

  1. Melden Sie sich beim AWS Organizations Verwaltungskonto an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  2. Wählen Sie Erste Schritte.

  3. Geben Sie unter Delegierter Administrator die 12-stellige ID des Benutzers ein, den AWS-Konto Sie als delegierten Administrator festlegen möchten.

  4. Wählen Sie Delegieren und dann erneut Delegieren aus.

  5. (Optional) Wenn Sie Amazon Inspector für das AWS Organizations Verwaltungskonto aktivieren möchten, wählen Sie unter Serviceberechtigungen die Option Amazon Inspector aktivieren aus.

Wenn Sie einen delegierten Administrator benennen, sind standardmäßig alle Scantypen für das Konto aktiviert. Informationen zum delegierten Administratorkonto finden Sie unter Grundlegendes zum delegierten Administratorkonto und zu Mitgliedskonten in Amazon Inspector.