Tutorial de conceitos básicos: ativar o Amazon Inspector - Amazon Inspector

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tutorial de conceitos básicos: ativar o Amazon Inspector

Este tópico descreve como ativar o Amazon Inspector para um ambiente de conta independente (conta de membro) e para um ambiente de várias contas (conta de administrador delegado). Ao ativar o Amazon Inspector, ele automaticamente começa a descobrir workloads e verificá-las em busca de vulnerabilidades de software e exposição não intencional da rede.

Standalone account environment

O procedimento a seguir descreve como ativar o Amazon Inspector no console para uma conta de membro. Para ativar programaticamente o Amazon Inspector, inspector2-. enablement-with-cli

  1. Faça login usando suas credenciais e, em seguida, abra o console https://console.aws.amazon.com/inspector/ do Amazon Inspector em v2/home.

  2. Selecione a opção Conceitos básicos.

  3. Escolha Ativar o Amazon Inspector.

Ao ativar o Amazon Inspector em uma conta independente, todos os tipos de verificação são ativados por padrão. Consulte informações sobre as contas de membro em Conceitos básicos da conta de administrador delegado e das contas de membro no Amazon Inspector.

Multi-account (with AWS Organizations policy)

AWS Organizations as políticas fornecem governança centralizada para habilitar o Amazon Inspector em toda a sua organização. Quando você usa uma política da organização, a ativação do Amazon Inspector é gerenciada automaticamente para todas as contas cobertas pela política, e as contas membros não podem modificar a verificação gerenciada por políticas usando a API do Amazon Inspector.

Pré-requisitos

  • Sua conta deve fazer parte de uma AWS Organizations organização.

  • Você deve ter permissões para criar e gerenciar as políticas da organização no AWS Organizations.

  • O acesso confiável para o Amazon Inspector deve estar habilitado. AWS Organizations Para obter instruções, consulte Habilitar o acesso confiável para o Amazon Inspector no Guia do AWS Organizations Usuário.

  • As funções vinculadas ao serviço Amazon Inspector devem existir na conta de gerenciamento. Para criá-los, habilite o Amazon Inspector na conta de gerenciamento ou execute os seguintes comandos na conta de gerenciamento:

    • aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com

    • aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com

  • Um administrador delegado do Amazon Inspector deve ser designado.

nota

Sem as funções vinculadas ao serviço de conta de gerenciamento e administrador delegado do Amazon Inspector, as políticas da organização reforçarão a habilitação do Amazon Inspector, mas as contas dos membros não serão associadas à organização do Amazon Inspector para descobertas centralizadas e gerenciamento de contas.

Para habilitar o Amazon Inspector usando políticas AWS Organizations

  1. Designe um administrador delegado para o Amazon Inspector antes de criar políticas organizacionais para garantir que as contas dos membros sejam associadas à organização do Amazon Inspector para visibilidade centralizada das descobertas. Faça login na conta AWS Organizations de gerenciamento, abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/v2/home e siga as etapas. Designar um administrador delegado para sua organização AWS

    nota

    É altamente recomendável manter o ID da conta de administrador delegado do AWS Organizations Amazon Inspector e o ID da conta de administrador delegado designado do Amazon Inspector iguais. Se a ID da conta do administrador AWS Organizations delegado for diferente da ID da conta do administrador delegado do Amazon Inspector, o Amazon Inspector priorizará a ID da conta designada pelo Inspector. Quando o administrador delegado do Amazon Inspector não está definido, mas o administrador AWS Organizations delegado está definido e a conta de gerenciamento tem as funções vinculadas ao serviço Amazon Inspector, o Amazon Inspector atribui automaticamente o ID da conta do administrador delegado como administrador AWS Organizations delegado do Amazon Inspector.

  2. No console do Amazon Inspector, navegue até Configurações gerais na conta de gerenciamento. Em Política de delegação, escolha Anexar declaração. Na caixa de diálogo Anexar declaração de política, revise a política, selecione Reconheço que revisei a política e compreendo as permissões que ela concede e, em seguida, escolha Anexar declaração.

    Importante

    A conta de gerenciamento deve ter as seguintes permissões para anexar a declaração de política de delegação:

    Se a organizations:PutResourcePolicy permissão estiver ausente, a operação falhará com o erro:Failed to attach statement to the delegation policy.

  3. Em seguida, crie uma política do Amazon Inspector AWS Organizations . No painel de navegação, escolha Gerenciamento e, em seguida, selecione Configurações.

  4. Configure a política de gerenciamento de vulnerabilidades. Forneça detalhes com nome e descrição (opcional) para a política.

  5. Na página Configurar Inspector, na seção Detalhes, insira um nome e uma descrição para a política. Na Seleção de capacidade, faça o seguinte:

    • Escolha Configurar e habilite todos os recursos (recomendado). Isso ativa todos os recursos do Inspector, incluindo EC2, ECR, padrão Lambda, escaneamento de código Lambda e Segurança de Código.

    • Escolha Selecionar subconjunto de recursos. Selecione qualquer recurso do tipo de escaneamento que deva ser ativado.

  6. Na seção Seleção de conta, selecione uma das seguintes opções:

    • Escolha Todas as unidades organizacionais e contas se quiser aplicar a configuração a todas as unidades organizacionais e contas.

    • Escolha Unidades organizacionais e contas específicas se quiser aplicar a configuração a contas e unidades organizacionais específicas. Se você escolher essa opção, use a barra de pesquisa ou a árvore da estrutura organizacional para especificar as unidades organizacionais e as contas nas quais a política será aplicada.

    • Escolha Nenhuma unidade organizacional ou conta se não quiser aplicar a configuração a nenhuma unidade organizacional ou conta.

  7. Na seção Regiões, escolha Ativar todas as regiões, Desativar todas as regiões ou Especificar regiões.

    • Se você escolher Habilitar todas as regiões, poderá determinar se deseja habilitar automaticamente novas regiões.

    • Se você escolher Desabilitar todas as regiões, poderá determinar se deseja desabilitar automaticamente novas regiões.

    • Se você escolher Especificar regiões, deverá escolher quais regiões deseja habilitar e desabilitar.

    (Opcional) Para configurações avançadas, consulte as orientações do AWS Organizations.

    (Opcional) Para tags de recursos, adicione tags como pares de valores-chave para ajudá-lo a identificar facilmente a configuração.

  8. Escolha Avançar, revise suas alterações e escolha Aplicar. Suas contas de destino são configuradas com base na política. O status da configuração da sua política é exibido na parte superior da página Políticas. Cada recurso fornece um status sobre se ele foi configurado ou onde há falhas de implantação. Para qualquer falha, escolha o link da mensagem de falha para ver mais detalhes. Para ver a política efetiva em nível da conta, é possível analisar a guia Organização na página Configurações, onde é possível escolher uma conta.

Quando o Amazon Inspector é ativado por meio das políticas da organização, as contas cobertas pela política não podem desativar os tipos de escaneamento gerenciados pela política por meio da API ou do console do Amazon Inspector. Para obter informações detalhadas sobre o que administradores delegados e contas de membros podem ou não fazer de acordo com as políticas da organização, consulte. Gerenciando várias contas no Amazon Inspector com AWS Organizations

Multi-account (without AWS Organizations policy)
nota

Você deve usar a conta AWS Organizations de gerenciamento para concluir esse procedimento. Somente a conta AWS Organizations de gerenciamento pode designar um administrador delegado. Podem ser necessárias permissões para designar um administrador delegado. Para obter mais informações, consulte Permissões necessárias para designar um administrador delegado.

Ao ativar o Amazon Inspector pela primeira vez, ele cria o perfil vinculado ao serviço AWSServiceRoleForAmazonInspector para a conta. Consulte informações sobre como o Amazon Inspector usa perfis vinculados ao serviço em Uso de funções vinculadas a serviço para o Amazon Inspector.

Designar um administrador delegado do Amazon Inspector

  1. Faça login na conta AWS Organizations de gerenciamento e abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/ v2/home.

  2. Escolha Começar.

  3. Em Administrador delegado, insira a ID de 12 dígitos do Conta da AWS que você deseja designar como administrador delegado.

  4. Escolha Delegar e Delegar novamente.

  5. (Opcional) Se você quiser ativar o Amazon Inspector para a conta de AWS Organizations gerenciamento, escolha Ativar Amazon Inspector em Permissões de serviço.

Ao designar um administrador delegado, todos os tipos de verificação são ativados para a conta por padrão. Consulte informações sobre a conta de administrador delegado em Conceitos básicos da conta de administrador delegado e contas de membro no Amazon Inspector.