Tutorial de introducción: Activación de Amazon Inspector

Este tema cómo activar Amazon Inspector para un entorno de cuentas independiente (cuenta de miembro) y un entorno de varias cuentas (cuenta de administrador delegado). Al activar Amazon Inspector, comienza a detectar de forma automática las cargas de trabajo y a analizarlas en busca de vulnerabilidades de software y exposición no deseada de la red.

Standalone account environment

En el siguiente procedimiento se describe cómo activar Amazon Inspector en la consola de una cuenta de miembro. Para activar Amazon Inspector mediante programación, inspector2-. enablement-with-cli

1. Inicie sesión con sus credenciales y, a continuación, abra la consola de Amazon Inspector en la https://console.aws.amazon.com/inspector/versión 2/home.

2. Elija Comenzar.

3. Elija Activar Amazon Inspector.

Al activar Amazon Inspector para una cuenta independiente, todos los tipos de análisis se activan de forma predeterminada. Para obtener información sobre las cuentas de miembro, consulte Descripción de la cuenta de administrador delegado y las cuentas de miembro en Amazon Inspector.

Multi-account (with AWS Organizations policy)

AWS Organizations las políticas proporcionan una gobernanza centralizada para habilitar Amazon Inspector en toda la organización. Cuando utilizas una política de la organización, la habilitación de Amazon Inspector se gestiona automáticamente para todas las cuentas cubiertas por la política, y las cuentas de los miembros no pueden modificar el escaneo gestionado por la política mediante la API de Amazon Inspector.

Requisitos previos

• Su cuenta debe formar parte de una organización. AWS Organizations

• Debe tener permisos para crear y administrar las políticas de la organización AWS Organizations.

• El acceso de confianza para Amazon Inspector debe estar habilitado en AWS Organizations. Para obtener instrucciones, consulte Habilitar el acceso de confianza para Amazon Inspector en la Guía del AWS Organizations usuario.

• Las funciones vinculadas al servicio de Amazon Inspector deben existir en la cuenta de administración. Para crearlos, habilite Amazon Inspector en la cuenta de administración o ejecute los siguientes comandos desde la cuenta de administración:

  • aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com

  • aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com

• Debe designarse un administrador delegado de Amazon Inspector.

nota

Sin las funciones de Amazon Inspector vinculadas al servicio de administración de cuentas y administrador delegado, las políticas de la organización impondrán la habilitación de Amazon Inspector, pero las cuentas de los miembros no se asociarán a la organización de Amazon Inspector para centralizar las conclusiones y la gestión de cuentas.

Para habilitar el uso de AWS Organizations políticas por parte de Amazon Inspector

1. Designe un administrador delegado para Amazon Inspector antes de crear las políticas de la organización para garantizar que las cuentas de los miembros estén asociadas a la organización de Amazon Inspector para obtener una visibilidad centralizada de los hallazgos. Inicia sesión en la cuenta AWS Organizations de administración, abre la consola de Amazon Inspector en la https://console.aws.amazon.com/inspector/v2/home y sigue los pasos que se indican. Designar un administrador delegado para su organización AWS

   nota

   Le recomendamos encarecidamente que mantenga el ID de cuenta de administrador delegado de AWS Organizations Amazon Inspector y el ID de cuenta de administrador delegado designado por Amazon Inspector iguales. Si el ID de cuenta del administrador AWS Organizations delegado es diferente del ID de la cuenta del administrador delegado de Amazon Inspector, Amazon Inspector prioriza el ID de cuenta designado por el Inspector. Cuando el administrador delegado de Amazon Inspector no está establecido pero sí el administrador AWS Organizations delegado y la cuenta de gestión tiene las funciones vinculadas al servicio de Amazon Inspector, Amazon Inspector asigna automáticamente el ID de cuenta del administrador delegado como administrador AWS Organizations delegado de Amazon Inspector.

2. En la consola de Amazon Inspector, vaya a Configuración general desde la cuenta de administración. En Política de delegación, selecciona Adjuntar declaración. En el cuadro de diálogo Adjuntar declaración de política, revise la política, seleccione Reconozco que he revisado la política y entiendo los permisos que otorga y, a continuación, elija Adjuntar declaración.

   importante

   La cuenta de administración debe tener los siguientes permisos para adjuntar la declaración de política de delegación:

   • Permisos de Amazon Inspector de la AmazonInspectorpolítica gestionada 2 FullAccess _v2

   • AWS Organizations organizations:PutResourcePolicypermiso de la política AWSOrganizationsFullAccessgestionada

   Si falta el organizations:PutResourcePolicy permiso, la operación falla y aparece el error:Failed to attach statement to the delegation policy.

3. Cree una política de Amazon Inspector AWS Organizations que especifique qué tipos de escaneo habilitar y en qué regiones. Para obtener instrucciones detalladas sobre la creación de políticas de Amazon Inspector, incluida la sintaxis de las políticas y ejemplos, consulte la AWS Organizations documentación de las políticas de Amazon Inspector.

4. Adjunta la política de Amazon Inspector a la raíz de tu organización, a las unidades organizativas o a las cuentas específicas en función de tus requisitos de gobierno.

5. (Opcional) Compruebe que se haya aplicado la política. La aplicación de la política es asincrónica y puede tardar desde unos segundos hasta varias horas, según el tamaño de la organización. En la consola de Amazon Inspector del administrador delegado, vaya a Administración de cuentas. En Organización, consulta la cuenta de cada miembro y su estado de activación. En el caso de las cuentas habilitadas mediante AWS Organizations políticas, el indicador Activado de cada tipo de análisis mostrará si están gestionadas por políticas.

Cuando Amazon Inspector está activado a través de las políticas de la organización, las cuentas cubiertas por la política no pueden deshabilitar los tipos de escaneo gestionados por la política a través de la consola o la API de Amazon Inspector. Para obtener información detallada sobre lo que los administradores delegados y las cuentas de los miembros pueden y no pueden hacer en virtud de las políticas de la organización, consulte. Administrar varias cuentas en Amazon Inspector con AWS Organizations

Multi-account (without AWS Organizations policy)

nota

Debe usar la cuenta AWS Organizations de administración para completar este procedimiento. Solo la cuenta AWS Organizations de administración puede designar un administrador delegado. Es posible que se necesiten permisos para designar un administrador delegado. Para obtener más información, consulte Permisos necesarios para designar un administrador delegado.

Al activar Amazon Inspector por primera vez, Amazon Inspector crea el rol vinculado al servicio AWSServiceRoleForAmazonInspector para la cuenta. Para obtener información sobre cómo utiliza Amazon Inspector los roles vinculados a servicios, consulte Uso de roles vinculados a servicios para Amazon Inspector.

Designación de un administrador delegado para Amazon Inspector

1. Inicia sesión en la cuenta AWS Organizations de administración y, a continuación, abre la consola de Amazon Inspector en la https://console.aws.amazon.com/inspector/versión 2/home.

2. Elija Comenzar.

3. En Administrador delegado, introduzca el ID de 12 dígitos del Cuenta de AWS que desee designar como administrador delegado.

4. Elija Delegado y, a continuación, vuelva a elegir Delegado.

5. (Opcional) Si quieres activar Amazon Inspector para la cuenta de AWS Organizations gestión, selecciona Activar Amazon Inspector en Permisos de servicio.

Al designar un administrador delegado, todos los tipos de análisis se activan de forma predeterminada para la cuenta. Para obtener información sobre la cuenta de administrador delegado, consulte Descripción de la cuenta de administrador delegado y las cuentas de miembro en Amazon Inspector.