Tutorial de introducción: Activación de Amazon Inspector

Este tema cómo activar Amazon Inspector para un entorno de cuentas independiente (cuenta de miembro) y un entorno de varias cuentas (cuenta de administrador delegado). Al activar Amazon Inspector, comienza a detectar de forma automática las cargas de trabajo y a analizarlas en busca de vulnerabilidades de software y exposición no deseada de la red.

Standalone account environment

En el siguiente procedimiento se describe cómo activar Amazon Inspector en la consola de una cuenta de miembro. Para activar Amazon Inspector mediante programación, inspector2-. enablement-with-cli

1. Inicie sesión con sus credenciales y, a continuación, abra la consola de Amazon Inspector en la https://console.aws.amazon.com/inspector/versión 2/home.

2. Elija Comenzar.

3. Elija Activar Amazon Inspector.

Al activar Amazon Inspector para una cuenta independiente, todos los tipos de análisis se activan de forma predeterminada. Para obtener información sobre las cuentas de miembro, consulte Descripción de la cuenta de administrador delegado y las cuentas de miembro en Amazon Inspector.

Multi-account (with AWS Organizations policy)

AWS Organizations las políticas proporcionan una gobernanza centralizada para habilitar Amazon Inspector en toda la organización. Cuando utilizas una política de la organización, la habilitación de Amazon Inspector se gestiona automáticamente para todas las cuentas cubiertas por la política, y las cuentas de los miembros no pueden modificar el escaneo gestionado por la política mediante la API de Amazon Inspector.

Requisitos previos

• Su cuenta debe formar parte de una organización. AWS Organizations

• Debe tener permisos para crear y administrar las políticas de la organización AWS Organizations.

• El acceso de confianza para Amazon Inspector debe estar habilitado en AWS Organizations. Para obtener instrucciones, consulte Habilitar el acceso de confianza para Amazon Inspector en la Guía del AWS Organizations usuario.

• Las funciones vinculadas al servicio de Amazon Inspector deben existir en la cuenta de administración. Para crearlos, habilite Amazon Inspector en la cuenta de administración o ejecute los siguientes comandos desde la cuenta de administración:

  • aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com

  • aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com

• Debe designarse un administrador delegado de Amazon Inspector.

nota

Sin las funciones de Amazon Inspector vinculadas al servicio de administración de cuentas y administrador delegado, las políticas de la organización impondrán la habilitación de Amazon Inspector, pero las cuentas de los miembros no se asociarán a la organización de Amazon Inspector para centralizar las conclusiones y la gestión de cuentas.

Para habilitar el uso de AWS Organizations políticas por parte de Amazon Inspector

1. Designe un administrador delegado para Amazon Inspector antes de crear las políticas de la organización para garantizar que las cuentas de los miembros estén asociadas a la organización de Amazon Inspector para obtener una visibilidad centralizada de los hallazgos. Inicia sesión en la cuenta AWS Organizations de administración, abre la consola de Amazon Inspector en la https://console.aws.amazon.com/inspector/v2/home y sigue los pasos que se indican. Designar un administrador delegado para su organización AWS

   nota

   Le recomendamos encarecidamente que mantenga el ID de cuenta de administrador delegado de AWS Organizations Amazon Inspector y el ID de cuenta de administrador delegado designado por Amazon Inspector iguales. Si el ID de cuenta del administrador AWS Organizations delegado es diferente del ID de la cuenta del administrador delegado de Amazon Inspector, Amazon Inspector prioriza el ID de cuenta designado por el Inspector. Cuando el administrador delegado de Amazon Inspector no está establecido pero sí el administrador AWS Organizations delegado y la cuenta de gestión tiene las funciones vinculadas al servicio de Amazon Inspector, Amazon Inspector asigna automáticamente el ID de cuenta del administrador delegado como administrador AWS Organizations delegado de Amazon Inspector.

2. En la consola de Amazon Inspector, vaya a Configuración general desde la cuenta de administración. En Política de delegación, selecciona Adjuntar declaración. En el cuadro de diálogo Adjuntar declaración de política, revise la política, seleccione Reconozco que he revisado la política y entiendo los permisos que otorga y, a continuación, elija Adjuntar declaración.

   importante

   La cuenta de administración debe tener los siguientes permisos para adjuntar la declaración de política de delegación:

   • Permisos de Amazon Inspector de la AmazonInspectorpolítica gestionada 2 FullAccess _v2

   • AWS Organizations organizations:PutResourcePolicypermiso de la política AWSOrganizationsFullAccessgestionada

   Si falta el organizations:PutResourcePolicy permiso, la operación falla y aparece el error:Failed to attach statement to the delegation policy.

3. A continuación, crea una AWS Organizations política de Amazon Inspector. En el panel de navegación, elija Administración y, a continuación, Configuraciones.

4. Configure la política de administración de vulnerabilidades. Proporcione los detalles con el nombre y la descripción (opcional) de la política.

5. En la página Configurar el Inspector, en la sección Detalles, introduzca un nombre y una descripción para la política. En la selección de capacidades, realice una de las siguientes acciones:

   • Elija Configurar y active todas las capacidades (recomendado). Esto activa todas las capacidades del Inspector, incluidas EC2, ECR, el estándar Lambda, el escaneo de códigos Lambda y Code Security.

   • Elija Seleccione un subconjunto de capacidades. Seleccione cualquier función de tipo de escaneo que deba activarse.

6. En la sección de selección de cuentas, selecciona una de las siguientes opciones:

   • Selecciona Todas las unidades organizativas y cuentas si quieres aplicar la configuración a todas las unidades organizativas y cuentas.

   • Selecciona Unidades organizativas y cuentas específicas si deseas aplicar la configuración a unidades organizativas y cuentas específicas. Si selecciona esta opción, utilice la barra de búsqueda o el árbol de estructura organizacional para especificar las unidades organizativas y cuentas donde se aplicará la política.

   • Selecciona Sin unidades organizativas ni cuentas si no deseas aplicar la configuración a ninguna unidad organizativa o cuenta.

7. En la sección Regiones, selecciona Habilitar todas las regiones, Desactivar todas las regiones o Especificar regiones.

   • Si selecciona Habilitar todas las regiones, puede decidir si desea habilitar automáticamente las nuevas regiones.

   • Si selecciona Desactivar todas las regiones, puede decidir si desea desactivar automáticamente las nuevas regiones.

   • Si selecciona Especificar regiones, debe elegir qué regiones desea habilitar y desactivar.

   (Opcional) Para obtener información sobre la configuración avanzada, consulte las instrucciones de AWS Organizations.

   (Opcional) En el caso de las etiquetas de recursos, añada etiquetas como pares clave-valor para identificar fácilmente la configuración.

8. Seleccione Siguiente, revise los cambios y, a continuación, seleccione Aplicar. Las cuentas de destino se configuran según la política. El estado de la configuración de la política aparece en la parte superior de la página Políticas. Cada capacidad proporciona un estado que indica si se configuró o si hay errores de implementación. Si hay algún error, elija el enlace del mensaje de error para ver más detalles. Para ver la política en vigor a nivel de cuenta, puede revisar la pestaña Organización en la página Configuraciones, donde puede seleccionar una cuenta.

Cuando Amazon Inspector está activado a través de las políticas de la organización, las cuentas cubiertas por la política no pueden deshabilitar los tipos de escaneo gestionados por la política a través de la consola o la API de Amazon Inspector. Para obtener información detallada sobre lo que los administradores delegados y las cuentas de los miembros pueden y no pueden hacer en virtud de las políticas de la organización, consulte. Administrar varias cuentas en Amazon Inspector con AWS Organizations

Multi-account (without AWS Organizations policy)

nota

Debe usar la cuenta AWS Organizations de administración para completar este procedimiento. Solo la cuenta AWS Organizations de administración puede designar un administrador delegado. Es posible que se necesiten permisos para designar un administrador delegado. Para obtener más información, consulte Permisos necesarios para designar un administrador delegado.

Al activar Amazon Inspector por primera vez, Amazon Inspector crea el rol vinculado al servicio AWSServiceRoleForAmazonInspector para la cuenta. Para obtener información sobre cómo utiliza Amazon Inspector los roles vinculados a servicios, consulte Uso de roles vinculados a servicios para Amazon Inspector.

Designación de un administrador delegado para Amazon Inspector

1. Inicia sesión en la cuenta AWS Organizations de administración y, a continuación, abre la consola de Amazon Inspector en la https://console.aws.amazon.com/inspector/versión 2/home.

2. Elija Comenzar.

3. En Administrador delegado, introduzca el ID de 12 dígitos del Cuenta de AWS que desee designar como administrador delegado.

4. Elija Delegado y, a continuación, vuelva a elegir Delegado.

5. (Opcional) Si quieres activar Amazon Inspector para la cuenta de AWS Organizations gestión, selecciona Activar Amazon Inspector en Permisos de servicio.

Al designar un administrador delegado, todos los tipos de análisis se activan de forma predeterminada para la cuenta. Para obtener información sobre la cuenta de administrador delegado, consulte Descripción de la cuenta de administrador delegado y las cuentas de miembro en Amazon Inspector.