Noções básicas sobre a conta do administrador delegado e as contas-membro no Amazon Inspector - Amazon Inspector

Noções básicas sobre a conta do administrador delegado e as contas-membro no Amazon Inspector

Ao usar o Amazon Inspector em um ambiente de várias contas, a conta de administrador delegado tem acesso a determinados metadados. Os metadados incluem verificação padrão para o Amazon EC2, Amazon ECR e Lambda, além de verificação de código do Lambda. Também incluem resultados de descobertas de segurança de contas-membro. Esta seção fornece informações sobre quais ações a conta de administrador delegado pode realizar e quais as contas-membro podem realizar.

Ações de administrador delegado

Geralmente, quando o administrador delegado aplica configurações à sua conta, essas configurações são aplicadas a todas as outras contas da organização. O administrador delegado também pode visualizar e recuperar informações da própria conta e de qualquer membro associado. Uma conta de administrador delegado do Amazon Inspector pode executar as seguintes ações:

  • Visualize e gerencie o status do Amazon Inspector para contas associadas, incluindo a ativação e a desativação do Amazon Inspector.

  • Habilitar ou desabilitar tipos de verificação para todas as contas-membro da organização.

  • Visualize dados agregados de descoberta em toda a organização e detalhes de localização de todas as contas de membros da organização.

  • Crie e gerencie regras de supressão que sejam aplicáveis às descobertas de todas as contas na organização.

  • Ative o escaneamento aprimorado do Amazon ECR para todos os membros da organização.

  • Veja a cobertura de recursos para toda a organização.

  • Defina a duração para verificações automáticas de imagens de contêiner do ECR para todas as contas-membro da organização. A configuração de duração do escaneamento do administrador delegado substitui qualquer configuração definida anteriormente pela conta do membro. Todas as contas na organização compartilham a duração da nova verificação automatizada do Amazon ECR dos administradores delegados. Você não pode definir diferentes durações da nova verificação para contas individuais.

  • Especifique cinco caminhos personalizados para a inspeção profunda do Amazon Inspector para o Amazon EC2 que serão usados em todas as contas da organização. Eles são um acréscimo aos cinco caminhos personalizados que um administrador delegado pode definir para sua conta individual. Para ter mais informações sobre como configurar caminhos personalizados para inspeção profunda, consulte Caminhos personalizados para a inspeção profunda do Amazon Inspector.

  • Ative e desative a inspeção profunda do Amazon Inspector para contas-membro.

  • Exporte SBOMs para qualquer conta de membro da organização.

  • Defina o modo de verificação do Amazon EC2 para todas as contas de membro da organização. Para ter mais informações, consulte Gerenciar o modo de digitalização.

  • Crie e gerencie configurações de verificação do CIS para todas as contas na organização, exceto para quaisquer configurações de verificação criadas por contas-membro.

    nota

    Se uma conta-membro sair da organização, o administrador delegado não poderá mais ver as configurações de verificação programadas por essa conta.

  • Visualizar os resultados da verificação do CIS para todas as contas na organização.

Ações da conta de membro

Uma conta-membro pode visualizar e recuperar informações sobre a própria conta no Amazon Inspector, e as configurações da conta são gerenciadas pelo administrador delegado. As contas de membro de uma empresa podem executar as seguintes ações no Amazon Inspector:

  • Ativar os escaneamentos do Amazon Inspector para sua conta.

  • Visualizar a cobertura de recursos para sua própria conta.

  • Visualizar os detalhes das descobertas para sua conta.

  • Visualizar a configuração de duração da nova digitalização automática da imagem do contêiner ECR para sua conta.

  • Especifique cinco caminhos personalizados para a inspeção profunda do Amazon Inspector para o EC2 que serão usados para sua conta individual. Esses caminhos são verificados, além de quaisquer caminhos personalizados que o administrador delegado tenha especificado para a organização. Para ter mais informações sobre como configurar caminhos para inspeção profunda, consulte Caminhos personalizados para a inspeção profunda do Amazon Inspector.

  • Veja os caminhos personalizados definidos pelo administrador delegado para a inspeção profunda do Amazon Inspector.

  • Exporte SBOMs para qualquer recurso associado à conta.

  • Visualize o modo de verificação da conta.

  • Criar e gerenciar as configurações de verificação do CIS para sua conta.

  • Veja os resultados de qualquer verificação do CIS para recursos em sua conta, inclusive aquelas programadas pelo administrador delegado.

nota

Após a ativação, o Amazon Inspector pode ser desativado somente por uma conta de administrador delegado.