Tutorial „Erste Schritte“: Amazon Inspector aktivieren - Amazon Inspector

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial „Erste Schritte“: Amazon Inspector aktivieren

In diesem Thema wird beschrieben, wie Amazon Inspector für eine eigenständige Kontoumgebung (Mitgliedskonto) und eine Umgebung mit mehreren Konten (delegiertes Administratorkonto) aktiviert wird. Wenn Sie Amazon Inspector aktivieren, erkennt Amazon Inspector automatisch Workloads und scannt sie auf Softwareschwachstellen und unbeabsichtigte Netzwerkgefährdung.

Standalone account environment

Das folgende Verfahren beschreibt, wie Sie Amazon Inspector in der Konsole für ein Mitgliedskonto aktivieren. Um Amazon Inspector programmatisch zu aktivieren, inspector2 -. enablement-with-cli

  1. Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  2. Wählen Sie Get Started.

  3. Wählen Sie Amazon Inspector aktivieren.

Wenn Sie Amazon Inspector für ein eigenständiges Konto aktivieren, sind standardmäßig alle Scantypen aktiviert. Informationen zu Mitgliedskonten finden Sie unter Grundlegendes zum delegierten Administratorkonto und zu Mitgliedskonten in Amazon Inspector.

Multi-account (with AWS Organizations policy)

AWS Organizations Richtlinien bieten eine zentrale Steuerung, um Amazon Inspector in Ihrer gesamten Organisation zu aktivieren. Wenn Sie eine Unternehmensrichtlinie verwenden, wird die Aktivierung von Amazon Inspector automatisch für alle von der Richtlinie abgedeckten Konten verwaltet, und Mitgliedskonten können richtlinienverwaltete Scans mithilfe der Amazon Inspector Inspector-API nicht ändern.

Voraussetzungen

  • Ihr Konto muss Teil einer Organisation sein. AWS Organizations

  • Sie benötigen die erforderlichen Berechtigungen zum Erstellen und Verwalten von Organisationsrichtlinien in AWS Organizations.

  • Der vertrauenswürdige Zugriff für Amazon Inspector muss in aktiviert sein AWS Organizations. Anweisungen finden Sie im AWS Organizations Benutzerhandbuch unter Enabling Trusted Access for Amazon Inspector.

  • Die mit dem Amazon Inspector Service verknüpften Rollen sollten im Verwaltungskonto vorhanden sein. Um sie zu erstellen, aktivieren Sie Amazon Inspector im Verwaltungskonto oder führen Sie die folgenden Befehle vom Verwaltungskonto aus:

    • aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com

    • aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com

  • Es sollte ein von Amazon Inspector delegierter Administrator benannt werden.

Anmerkung

Ohne die serviceverknüpften Amazon Inspector-Rollen Verwaltungskonto und delegierter Administrator wird durch die Unternehmensrichtlinien die Aktivierung von Amazon Inspector erzwungen, aber Mitgliedskonten werden nicht mit der Amazon Inspector Inspector-Organisation verknüpft, um zentrale Ergebnisse und Kontoverwaltung zu ermöglichen.

So aktivieren Sie Amazon Inspector mithilfe von AWS Organizations Richtlinien

  1. Benennen Sie einen delegierten Administrator für Amazon Inspector, bevor Sie Organisationsrichtlinien erstellen, um sicherzustellen, dass Mitgliedskonten mit der Amazon Inspector Inspector-Organisation verknüpft sind, um die Ergebnisse zentral sichtbar zu machen. Melden Sie sich beim AWS Organizations Verwaltungskonto an, öffnen Sie die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home und folgen Sie den Anweisungen unter. Benennen eines delegierten Administrators für Ihre Organisation AWS

    Anmerkung

    Wir empfehlen dringend, Ihre AWS Organizations Amazon Inspector-Administrator-Konto-ID und die von Amazon Inspector designierte delegierte Administratorkonto-ID identisch zu lassen. Wenn sich die AWS Organizations delegierte Administratorkonto-ID von der delegierten Administratorkonto-ID von Amazon Inspector unterscheidet, priorisiert Amazon Inspector die von Inspector festgelegte Konto-ID. Wenn der delegierte Amazon Inspector-Administrator nicht eingerichtet ist, aber der AWS Organizations delegierte Administrator eingerichtet ist und das Verwaltungskonto die mit dem Amazon Inspector-Service verknüpften Rollen hat, weist Amazon Inspector automatisch die AWS Organizations delegierte Administratorkonto-ID als delegierten Amazon Inspector-Administrator zu.

  2. Navigieren Sie in der Amazon Inspector Inspector-Konsole vom Verwaltungskonto aus zu Allgemeine Einstellungen. Wählen Sie unter Delegierungsrichtlinie die Option Kontoauszug anhängen aus. Überprüfen Sie im Dialogfeld Richtlinienerklärung anhängen die Richtlinie, wählen Sie Ich bestätige, dass ich die Richtlinie überprüft habe und die damit gewährten Berechtigungen verstanden habe, und wählen Sie dann Erklärung anhängen aus.

    Wichtig

    Das Verwaltungskonto muss über die folgenden Berechtigungen verfügen, um die Erklärung zur Delegierungsrichtlinie anhängen zu können:

    Wenn die organizations:PutResourcePolicy Berechtigung fehlt, schlägt der Vorgang mit dem folgenden Fehler fehl:Failed to attach statement to the delegation policy.

  3. Erstellen Sie eine Amazon Inspector Inspector-Richtlinie AWS Organizations , die festlegt, welche Scantypen in welchen Regionen aktiviert werden sollen. Detaillierte Anweisungen zur Erstellung von Amazon Inspector Inspector-Richtlinien, einschließlich Richtliniensyntax und Beispielen, finden Sie in der AWS Organizations Dokumentation zu Amazon Inspector Inspector-Richtlinien.

  4. Ordnen Sie die Amazon Inspector Inspector-Richtlinie Ihrem Organisationsstamm, Ihren Organisationseinheiten oder bestimmten Konten zu, je nach Ihren Governance-Anforderungen.

  5. (Optional) Stellen Sie sicher, dass die Richtlinie angewendet wurde. Die Anwendung der Richtlinie erfolgt asynchron und kann je nach Unternehmensgröße zwischen einigen Sekunden und mehreren Stunden dauern. Navigieren Sie in der Amazon Inspector Inspector-Konsole des delegierten Administrators zu Kontoverwaltung. Sehen Sie sich unter Organisation jedes Mitgliedskonto und seinen Aktivierungsstatus an. Bei Konten, die über AWS Organizations Richtlinien aktiviert wurden, zeigt der Indikator Aktiviert für jeden Scan-Typ an, ob es sich um richtlinienverwaltete Konten handelt.

Wenn Amazon Inspector durch Unternehmensrichtlinien aktiviert ist, können Konten, die unter die Richtlinie fallen, die richtlinienverwalteten Scantypen nicht über die Amazon Inspector Inspector-API oder -Konsole deaktivieren. Detaillierte Informationen darüber, was delegierte Administratoren und Mitgliedskonten gemäß den Unternehmensrichtlinien tun können und was nicht, finden Sie unter. Verwaltung mehrerer Konten in Amazon Inspector mit AWS Organizations

Multi-account (without AWS Organizations policy)
Anmerkung

Sie müssen das AWS Organizations Verwaltungskonto verwenden, um dieses Verfahren abzuschließen. Nur das AWS Organizations Verwaltungskonto kann einen delegierten Administrator benennen. Für die Benennung eines delegierten Administrators sind möglicherweise Berechtigungen erforderlich. Weitere Informationen finden Sie unter Erforderliche Berechtigungen zum designieren eines delegierten Administrators.

Wenn Sie Amazon Inspector zum ersten Mal aktivieren, erstellt Amazon Inspector die serviceverknüpfte Rolle AWSServiceRoleForAmazonInspector für das Konto. Informationen darüber, wie Amazon Inspector serviceverknüpfte Rollen verwendet, finden Sie unterVerwenden von serviceverknüpften Rollen für Amazon Inspector.

So benennen Sie einen delegierten Administrator für Amazon Inspector

  1. Melden Sie sich beim AWS Organizations Verwaltungskonto an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  2. Wählen Sie Erste Schritte.

  3. Geben Sie unter Delegierter Administrator die 12-stellige ID des Benutzers ein, den AWS-Konto Sie als delegierten Administrator festlegen möchten.

  4. Wählen Sie Delegieren und dann erneut Delegieren aus.

  5. (Optional) Wenn Sie Amazon Inspector für das AWS Organizations Verwaltungskonto aktivieren möchten, wählen Sie unter Serviceberechtigungen die Option Amazon Inspector aktivieren aus.

Wenn Sie einen delegierten Administrator benennen, sind standardmäßig alle Scantypen für das Konto aktiviert. Informationen zum delegierten Administratorkonto finden Sie unter Grundlegendes zum delegierten Administratorkonto und zu Mitgliedskonten in Amazon Inspector.