Amazon Inspector e AWS Organizations

Amazon Inspector è un servizio di gestione delle vulnerabilità automatizzato che scansiona continuamente i carichi di lavoro Amazon EC2 e di container alla ricerca di vulnerabilità software e esposizione alla rete non intenzionale.

Grazie ad Amazon Inspector è possibile gestire più account associati tramite AWS Organizations semplicemente delegando un account amministratore per Amazon Inspector. L'amministratore delegato gestisce Amazon Inspector per l'organizzazione e vengono concesse autorizzazioni speciali per eseguire attività per conto dell'organizzazione come:

• Abilitazione o disabilitazione delle scansioni per gli account membri

• Visualizzazione dei dati di ricerca aggregati dall'intera organizzazione

• Creazione e gestione di regole di soppressione

Per ulteriori informazioni, consultare Gestione di più account con AWS Organizations nella Guida per l'utente di Amazon Inspector.

Utilizza le seguenti informazioni per facilitare l'integrazione di Amazon Inspector con AWS Organizations.

Ruoli collegati ai servizi creato quando è stata abilitata l'integrazione

Il seguente ruolo collegato ai servizi viene creato automaticamente nell'account di gestione dell'organizzazione quando abiliti l'accesso attendibile. Tale ruolo consente a Amazon Inspector di eseguire le operazioni supportate all'interno degli account dell'organizzazione.

È possibile eliminare o modificare questo ruolo solo se si disabilita l'accesso attendibile tra Amazon Inspector e Organizations o se si rimuove l'account membro dall'organizzazione.

• AWSServiceRoleForAmazonInspector2

Per ulteriori informazioni, consultare Utilizzo di ruoli collegati ai servizi con Amazon Inspector nella Guida per l'utente di Amazon Inspector.

Principali del servizio utilizzati dai ruoli collegati ai servizi

Il ruolo collegato ai servizi nella sezione precedente può essere assunto solo dai principali del servizio autorizzati dalle relazioni di attendibilità definite per il ruolo. I ruoli collegati ai servizi utilizzati da Amazon Inspector concedono l'accesso ai seguenti principali del servizio:

• inspector2.amazonaws.com

Abilitazione dell'accesso attendibile con Amazon Inspector

Per informazioni sulle autorizzazioni necessarie per abilitare l'accesso attendibile, consulta Autorizzazioni necessarie per abilitare l'accesso sicuro.

Amazon Inspector richiede l'accesso attendibile a AWS Organizations prima di designare un account membro come amministratore delegato per questo servizio per l'organizzazione.

Quando si designa un amministratore delegato per Amazon Inspector, Amazon Inspector abilita automaticamente l'accesso attendibile per Amazon Inspector per l'organizzazione.

Tuttavia, se si desidera configurare un account da amministratore delegato utilizzando AWS CLI o uno degli SDK AWS, è necessario chiamare esplicitamente l'operazione EnableAWSServiceAccess e fornire il principale del servizio come parametro. Quindi è possibile chiamare EnableDelegatedAdminAccount per delegare l'account amministratore di Inspector.

Puoi abilitare l'accesso attendibile eseguendo il comando AWS CLI di Organizations oppure chiamando un'operazione API di Organizations in un SDK AWS.

AWS CLI, AWS API

Per abilitare l'accesso al servizio attendibile tramite la CLI/gli SDK di Organizations

Puoi utilizzare i seguenti comandi della AWS CLI oppure operazioni API per abilitare l'accesso al servizio attendibile:

• AWS CLI: enable-aws-service-access

  È possibile emettere il seguente comando per abilitare Amazon Inspector come servizio attendibile con Organizations.

  $ aws organizations enable-aws-service-access \
      --service-principal inspector2.amazonaws.com

  Questo comando non produce alcun output se ha esito positivo.

• API AWS: EnableAWSServiceAccess

Nota

Se si sta utilizzando l'API EnableAWSServiceAccess, è necessario chiamare anche EnableDelegatedAdminAccount per delegare l'account amministratore di Inspector.

Disabilitazione dell'accesso attendibile con Amazon Inspector

Per informazioni sulle autorizzazioni necessarie per disabilitare l'accesso attendibile, consulta Autorizzazioni necessarie per disabilitare l'accesso sicuro.

Solo un amministratore nell'account di gestione di AWS Organizations può disabilitare l'accesso attendibile con Amazon Inspector.

Puoi disabilitare l'accesso attendibile utilizzando solo gli strumenti di Organizations.

Puoi disabilitare l'accesso attendibile eseguendo il comando AWS CLI di Organizations oppure chiamando un'operazione API di Organizations in un SDK AWS.

AWS CLI, AWS API

Per disabilitare l'accesso al servizio attendibile tramite la CLI/gli SDK di Organizations

Puoi utilizzare i seguenti comandi AWS CLI oppure operazioni API per disabilitare l'accesso al servizio attendibile:

• AWS CLI: disable-aws-service-access

  È possibile emettere il comando seguente per disabilitare Amazon Inspector come servizio attendibile con Organizations.

  $ aws organizations disable-aws-service-access \
      --service-principal inspector2.amazonaws.com

  Questo comando non produce alcun output se ha esito positivo.

• API AWS: DisableAWSServiceAccess

Abilitazione di un account amministratore delegato per Amazon Inspector

Con Amazon Inspector è possibile gestire più account in un'organizzazione utilizzando un amministratore delegato con il servizio AWS Organizations.

L'account di gestione AWS Organizations designa un account all'interno dell'organizzazione come account amministratore delegato per Amazon Inspector. L'amministratore delegato gestisce Amazon Inspector per l'organizzazione e vengono concesse autorizzazioni speciali per eseguire attività per conto dell'organizzazione, ad esempio: abilitazione o disabilitazione delle scansioni per gli account membri, visualizzazione dei dati di ricerca aggregati dall'intera organizzazione e creazione e gestione delle regole di soppressione

Per informazioni su come un amministratore delegato gestisce gli account dell'organizzazione, consultare Comprendere la relazione tra account amministratore e account membro nella Guida per l'utente di Amazon Inspector.

Solo un amministratore nell'account di gestione dell'organizzazione può configurare un amministratore delegato per Amazon Inspector.

È possibile specificare un account dell'amministratore delegato dalla console Amazon Inspector o con l'API oppure tramite la CLI o l'operazione SDK di Organizations.

Autorizzazioni minime

Solo un utente o un ruolo nell'account di gestione di Organizations può configurare un account membro come amministratore delegato per Amazon Inspector nell'organizzazione

Per configurare un amministratore delegato utilizzando la console Amazon Inspector, consultare Fase 1: Abilitazione di Amazon Inspector - Ambiente multi-account nella Guida per l'utente di Amazon Inspector.

Nota

Devi chiamare inspector2:enableDelegatedAdminAccount in ogni regione in cui utilizzi Amazon Inspector.

AWS CLI, AWS API

Se desideri configurare un account di amministratore delegato utilizzando AWS CLI o uno degli SDK AWS, puoi utilizzare anche i seguenti comandi:

• AWS CLI:

  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal inspector2.amazonaws.com

• SDK AWS: richiama l'operazione RegisterDelegatedAdministrator di Organizations e il numero ID dell'account membro e identifica il principale del servizio dell'account account.amazonaws.com come parametri.

Disabilitazione di un amministratore delegato per Amazon Inspector

Solo un amministratore nell'account di gestione di AWS Organizations può rimuovere un account dell'amministratore delegato dall'organizzazione.

È possibile rimuovere l'amministratore delegato utilizzando la console Amazon Inspector o l'API oppure utilizzando DeregisterDelegatedAdministrator CLI o l'operazione SDK di Organizations. Per rimuovere un amministratore delegato utilizzando la console Amazon Inspector, consultare Rimozione di un amministratore delegato nella Guida per l'utente di Amazon Inspector.