Tutoriel de démarrage : Activation d'Amazon Inspector

Cette rubrique explique comment activer Amazon Inspector pour un environnement de compte autonome (compte membre) et un environnement multi-comptes (compte administrateur délégué). Lorsque vous activez Amazon Inspector, celui-ci commence automatiquement à détecter les charges de travail et à les analyser pour détecter les vulnérabilités logicielles et les risques d'exposition involontaire au réseau.

Standalone account environment

La procédure suivante décrit comment activer Amazon Inspector dans la console pour un compte membre. Pour activer Amazon Inspector par programme, inspector2-. enablement-with-cli

1. Connectez-vous à l'aide de vos informations d'identification, puis ouvrez la console Amazon Inspector sur https://console.aws.amazon.com/inspector/v2/home.

2. Sélectionnez Get started (Mise en route).

3. Choisissez Activer Amazon Inspector.

Lorsque vous activez Amazon Inspector pour un compte autonome, tous les types de scan sont activés par défaut. Pour plus d'informations sur les comptes membres, consultez Comprendre le compte d'administrateur délégué et les comptes de membre dans Amazon Inspector.

Multi-account (with AWS Organizations policy)

AWS Organizations les politiques fournissent une gouvernance centralisée pour activer Amazon Inspector dans l'ensemble de votre organisation. Lorsque vous utilisez une politique d'entreprise, l'activation d'Amazon Inspector est automatiquement gérée pour tous les comptes couverts par cette politique, et les comptes membres ne peuvent pas modifier le scan géré par les politiques à l'aide de l'API Amazon Inspector.

Conditions préalables

• Votre compte doit appartenir à une AWS Organizations organisation.

• Vous devez disposer des autorisations nécessaires pour créer et gérer les politiques de l'organisation dans AWS Organizations.

• L'accès sécurisé pour Amazon Inspector doit être activé dans AWS Organizations. Pour obtenir des instructions, consultez la section Activation de l'accès sécurisé pour Amazon Inspector dans le guide de AWS Organizations l'utilisateur.

• Les rôles liés au service Amazon Inspector doivent exister dans le compte de gestion. Pour les créer, activez Amazon Inspector dans le compte de gestion ou exécutez les commandes suivantes depuis le compte de gestion :

  • aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com

  • aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com

• Un administrateur délégué Amazon Inspector doit être désigné.

Note

Sans les rôles Amazon Inspector liés au service tels que compte de gestion et administrateur délégué, les politiques de l'organisation renforceront l'activation d'Amazon Inspector, mais les comptes des membres ne seront pas associés à l'organisation Amazon Inspector pour des recherches et une gestion centralisées des comptes.

Pour activer Amazon Inspector à l'aide AWS Organizations de politiques

1. Désignez un administrateur délégué pour Amazon Inspector avant de créer les politiques de l'organisation afin de garantir que les comptes des membres sont associés à l'organisation Amazon Inspector pour une visibilité centralisée des résultats. Connectez-vous au compte de AWS Organizations gestion, ouvrez la console Amazon Inspector sur https://console.aws.amazon.com/inspector/v2/home et suivez les étapes indiquées. Désignation d'un administrateur délégué pour votre organisation AWS

   Note

   Nous vous recommandons vivement de conserver les mêmes ID de compte d'administrateur délégué Amazon Inspector et d'identifiant de compte d'administrateur délégué désigné par Amazon Inspector. AWS Organizations Si l'ID de compte d'administrateur AWS Organizations délégué est différent de l'ID de compte d'administrateur délégué Amazon Inspector, Amazon Inspector donne la priorité à l'ID de compte désigné par l'Inspecteur. Lorsque l'administrateur délégué Amazon Inspector n'est pas défini mais que l'administrateur AWS Organizations délégué est défini et que le compte de gestion possède les rôles liés au service Amazon Inspector, Amazon Inspector attribue automatiquement l'ID de compte d'administrateur AWS Organizations délégué en tant qu'administrateur délégué Amazon Inspector.

2. Dans la console Amazon Inspector, accédez aux paramètres généraux depuis le compte de gestion. Sous Politique de délégation, choisissez Joindre une déclaration. Dans la boîte de dialogue Joindre une déclaration de politique, passez en revue la politique, sélectionnez Je reconnais avoir lu la politique et compris les autorisations qu'elle accorde, puis choisissez Joindre une déclaration.

   Important

   Le compte de gestion doit disposer des autorisations suivantes pour joindre la déclaration de politique de délégation :

   • Autorisations Amazon Inspector issues de la AmazonInspectorpolitique gérée 2 FullAccess _v2

   • AWS Organizations organizations:PutResourcePolicyautorisation provenant de la politique AWSOrganizationsFullAccessgérée

   Si l'organizations:PutResourcePolicyautorisation est manquante, l'opération échoue avec l'erreur :Failed to attach statement to the delegation policy.

3. Créez une politique Amazon Inspector AWS Organizations qui spécifie les types de scan à activer et dans quelles régions. Pour obtenir des instructions détaillées sur la création de politiques Amazon Inspector, y compris la syntaxe des politiques et des exemples, consultez la AWS Organizations documentation relative aux politiques Amazon Inspector.

4. Associez la politique Amazon Inspector à la racine de votre organisation, à des unités organisationnelles ou à des comptes spécifiques en fonction de vos exigences de gouvernance.

5. (Facultatif) Vérifiez que la politique a été appliquée. L'application des politiques est asynchrone et peut prendre de quelques secondes à plusieurs heures selon la taille de votre organisation. Dans la console Amazon Inspector de l'administrateur délégué, accédez à Gestion des comptes. Sous Organisation, consultez le compte de chaque membre et son statut d'activation. Pour les comptes activés par le biais de AWS Organizations politiques, l'indicateur Activé pour chaque type de scan indiquera s'il est géré par des politiques.

Lorsqu'Amazon Inspector est activé via les politiques de l'organisation, les comptes couverts par la politique ne peuvent pas désactiver les types de scan gérés par des politiques via l'API ou la console Amazon Inspector. Pour obtenir des informations détaillées sur ce que les administrateurs délégués et les comptes de membres peuvent et ne peuvent pas faire dans le cadre des politiques de l'organisation, consultezGérer plusieurs comptes dans Amazon Inspector avec AWS Organizations.

Multi-account (without AWS Organizations policy)

Note

Vous devez utiliser le compte AWS Organizations de gestion pour effectuer cette procédure. Seul le compte AWS Organizations de gestion peut désigner un administrateur délégué. Des autorisations peuvent être nécessaires pour désigner un administrateur délégué. Pour de plus amples informations, veuillez consulter Autorisations requises pour désigner un administrateur délégué.

Lorsque vous activez Amazon Inspector pour la première fois, Amazon Inspector crée le rôle lié au service AWSServiceRoleForAmazonInspector pour le compte. Pour plus d'informations sur la manière dont Amazon Inspector utilise les rôles liés à un service, consultez. Utilisation de rôles liés à un service pour Amazon Inspector

Pour désigner un administrateur délégué pour Amazon Inspector

1. Connectez-vous au compte de AWS Organizations gestion, puis ouvrez la console Amazon Inspector sur https://console.aws.amazon.com/inspector/v2/home.

2. Choisissez Démarrer.

3. Sous Administrateur délégué, entrez l'identifiant à 12 chiffres de celui que Compte AWS vous souhaitez désigner comme administrateur délégué.

4. Choisissez Déléguer, puis sélectionnez à nouveau Déléguer.

5. (Facultatif) Si vous souhaitez activer Amazon Inspector pour le compte AWS Organizations de gestion, choisissez Activer Amazon Inspector sous Autorisations de service.

Lorsque vous désignez un administrateur délégué, tous les types de scan sont activés par défaut pour le compte. Pour plus d'informations sur le compte d'administrateur délégué, consultez Comprendre le compte d'administrateur délégué et les comptes de membre dans Amazon Inspector.