Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Richtlinien von Amazon Inspector
Mit den Amazon Inspector-Richtlinien können Sie Amazon Inspector für alle Konten in Ihrer AWS Organisation zentral aktivieren und verwalten. Mit einer Amazon Inspector-Richtlinie geben Sie an, für welche Organisationseinheiten (Stamm- oder Konten) Amazon Inspector automatisch aktiviert und mit dem delegierten Administratorkonto von Amazon Inspector verknüpft ist. OUs Sie können die Richtlinien von Amazon Inspector verwenden, um das dienstweite Onboarding zu vereinfachen und sicherzustellen, dass Amazon Inspector in allen vorhandenen und neu erstellten Konten konsistent aktiviert wird.
## Wichtigste Funktionen und Vorteile
Mit den Richtlinien von Amazon Inspector können Sie festlegen, welche Scantypen für Ihr Unternehmen oder für Teilgruppen davon aktiviert werden sollen, um eine konsistente Abdeckung zu gewährleisten und den manuellen Aufwand zu reduzieren. Sobald sie implementiert sind, helfen sie Ihnen dabei, neue Kunden automatisch zu registrieren und Ihre Scan-Basis beizubehalten, wenn Ihr Unternehmen wächst.
## Funktionsweise
Wenn Sie einer Organisationseinheit eine Amazon Inspector-Richtlinie zuordnen, aktiviert die Richtlinie Amazon Inspector automatisch für alle Mitgliedskonten innerhalb dieses Bereichs. Wenn Sie die Einrichtung von Amazon Inspector abgeschlossen haben, indem Sie einen delegierten Administrator für Amazon Inspector registriert haben, bietet dieses Konto außerdem eine zentrale Übersicht über Sicherheitslücken für Konten in der Organisation, für die Amazon Inspector aktiviert ist.
Die Richtlinien von Amazon Inspector können auf die gesamte Organisation, auf bestimmte Organisationseinheiten (OUs) oder auf einzelne Konten angewendet werden. Konten, die der Organisation beitreten — oder in eine Organisationseinheit mit einer angehängten Amazon Inspector-Richtlinie wechseln — erben automatisch die Richtlinie und haben Amazon Inspector aktiviert und mit dem delegierten Amazon Inspector-Administrator verknüpft. Mit den Amazon Inspector Inspector-Richtlinien können Sie EC2 Amazon-Scanning, Amazon ECR-Scannen oder Lambda Standard- und Code-Scanning sowie Code Security aktivieren. Spezifische Konfigurationseinstellungen und Unterdrückungsregeln können über das delegierte Administratorkonto der Organisation verwaltet werden.
Wenn Sie Ihrer Organisation oder Organisationseinheit eine Amazon Inspector Inspector-Richtlinie zuordnen, bewertet AWS Organizations die Richtlinie automatisch und wendet sie auf der Grundlage des von Ihnen definierten Geltungsbereichs an. Der Prozess zur Durchsetzung von Richtlinien folgt bestimmten Regeln zur Konfliktlösung:
+ Wenn Regionen sowohl in der Aktivierungs- als auch in der Deaktivierungsliste aufgeführt werden, hat die Deaktivierungskonfiguration Vorrang. Wenn beispielsweise eine Region sowohl in der Aktivierungs- als auch in der Deaktivierungskonfiguration aufgeführt ist, wird Amazon Inspector in dieser Region deaktiviert.
+ Wenn für die Aktivierung angegeben `ALL_SUPPORTED` ist, ist Amazon Inspector in allen aktuellen und future Regionen aktiviert, sofern es nicht ausdrücklich deaktiviert ist. Auf diese Weise können Sie auch bei der AWS Expansion in neue Regionen einen umfassenden Versicherungsschutz aufrechterhalten.
+ Richtlinien für untergeordnete Unternehmen können die Einstellungen der übergeordneten Richtlinien mithilfe von Vererbungsoperatoren ändern, sodass eine detaillierte Steuerung auf verschiedenen Organisationsebenen möglich ist. Dieser hierarchische Ansatz stellt sicher, dass bestimmte Organisationseinheiten ihre Sicherheitseinstellungen anpassen und gleichzeitig die grundlegenden Kontrollen beibehalten können.
### Terminologie
In diesem Thema werden die folgenden Begriffe verwendet, wenn es um die Richtlinien von Amazon Inspector geht.
| Begriff | Definition |
| --- | --- |
| Effektive Richtlinie | Die endgültige Richtlinie, die für ein Konto gilt, nachdem alle geerbten Richtlinien kombiniert wurden. |
| Richtlinienvererbung | Der Prozess, bei dem Konten Richtlinien von übergeordneten Organisationseinheiten übernehmen. |
| Delegierter Administrator | Ein Konto, das für die Verwaltung der Amazon Inspector Inspector-Richtlinien im Namen der Organisation bestimmt ist. |
| Servicegebundene Rolle | Eine IAM-Rolle, die es Amazon Inspector ermöglicht, mit anderen AWS Diensten zu interagieren. |
### Anwendungsfälle für Amazon Inspector Inspector-Richtlinien
Organizations, die umfangreiche Workloads auf mehrere Konten verteilen, können diese Richtlinie verwenden, um sicherzustellen, dass alle Konten sofort die richtigen Scantypen aktivieren und Lücken vermeiden. In Umgebungen, in denen gesetzliche Vorschriften gelten oder die Einhaltung gesetzlicher Vorschriften eingehalten wird, können untergeordnete Richtlinien verwendet werden, um die Scantypen je nach Organisationseinheit außer Kraft zu setzen oder einzuschränken. Umgebungen mit schnellem Wachstum können die Aktivierung neu erstellter Konten automatisieren, sodass diese stets mit dem Basiswert konform sind.
### Vererbung und Durchsetzung von Richtlinien
Für ein effektives Sicherheitsmanagement in Ihrem Unternehmen ist es entscheidend zu verstehen, wie Richtlinien vererbt und durchgesetzt werden. Das Vererbungsmodell folgt der AWS Organisationshierarchie und gewährleistet so eine vorhersehbare und konsistente Richtlinienanwendung.
+ Richtlinien, die auf der Stammebene angehängt sind, gelten für alle Konten
+ Konten erben Richtlinien von ihren übergeordneten Organisationseinheiten
+ Für ein einzelnes Konto können mehrere Richtlinien gelten
+ Spezifischere Richtlinien (die dem Konto in der Hierarchie näher kommen) haben Vorrang
### Richtlinienvalidierung
Bei der Erstellung von Amazon Inspector Inspector-Richtlinien werden die folgenden Validierungen durchgeführt:
+ Regionsnamen müssen gültige AWS Regionskennungen sein
+ Regionen müssen von Amazon Inspector unterstützt werden
+ Die Richtlinienstruktur muss den AWS Syntaxregeln der Unternehmensrichtlinien entsprechen
+ `enable_in_regions`Sowohl als auch `disable_in_regions` Listen müssen vorhanden sein, können aber auch leer sein
### Regionale Überlegungen und geförderte Regionen
Die Richtlinien von Amazon Inspector gelten nur in Regionen, in denen Amazon Inspector und AWS Organizations Trusted Access verfügbar sind. Wenn Sie das regionale Verhalten verstehen, können Sie effektive Sicherheitskontrollen in der gesamten globalen Präsenz Ihres Unternehmens implementieren.
+ Die Durchsetzung der Richtlinien erfolgt in jeder Region unabhängig
+ Sie können angeben, welche Regionen in Ihre Richtlinien aufgenommen oder ausgeschlossen werden sollen
+ Neue Regionen werden automatisch berücksichtigt, wenn Sie die `ALL_SUPPORTED` Option verwenden
+ Die Richtlinien gelten nur für Regionen, in denen Amazon Inspector verfügbar ist
### Verhalten bei Distanzierung
Wenn Sie eine Amazon Inspector-Richtlinie trennen, bleibt Amazon Inspector für zuvor abgedeckte Konten aktiviert. Bei future Änderungen an der Organisationsstruktur (z. B. der Beitritt neuer Konten oder der Umzug vorhandener Konten in die Organisationseinheit) wird Amazon Inspector jedoch nicht mehr automatisch aktiviert. Jede weitere Aktivierung muss manuell oder durch erneutes Anhängen einer Richtlinie erfolgen.
## Zusätzliche Einzelheiten
### Delegierter Administrator
In einer Organisation kann nur ein delegierter Administrator für Amazon Inspector registriert werden. Sie müssen dies in der Amazon Inspector Inspector-Konsole oder über konfigurieren, APIs bevor Sie Amazon Inspector Inspector-Richtlinien anhängen.
### Voraussetzungen
Sie müssen vertrauenswürdigen Zugriff für AWS Organizations aktivieren, einen delegierten Administrator für Amazon Inspector registriert haben und für alle Konten dienstbezogene Rollen verfügbar haben.
### Unterstützte Regionen
Alle Regionen, in denen Amazon Inspector verfügbar ist.
# Erste Schritte mit den Amazon Inspector Inspector-Richtlinien
Bevor Sie Amazon Inspector Inspector-Richtlinien konfigurieren, stellen Sie sicher, dass Sie die Voraussetzungen und Implementierungsanforderungen verstehen. Dieses Thema führt Sie durch den Prozess der Einrichtung und Verwaltung dieser Richtlinien in Ihrer Organisation.
## Erfahren Sie mehr über die erforderlichen Berechtigungen
Um Amazon Inspector Inspector-Richtlinien zu aktivieren oder anzuhängen, benötigen Sie die folgenden Berechtigungen im Verwaltungskonto:
+ `organizations:EnableAWSServiceAccess` für `inspector2.amazonaws.com`
+ `organizations:RegisterDelegatedAdministrator` für `inspector2.amazonaws.com`
+ `organizations:AttachPolicy`, `organizations:CreatePolicy`, `organizations:DescribeEffectivePolicy`
+ `inspector2:Enable`(für Verwaltungskonto und delegierten Administrator)
## Bevor Sie beginnen
Überprüfen Sie die folgenden Anforderungen, bevor Sie die Amazon Inspector Inspector-Richtlinien implementieren:
+ Ihr Konto muss Teil einer AWS Organisation sein
+ Sie müssen als einer der folgenden Personen angemeldet sein:
+ Das Verwaltungskonto für die Organisation
+ Ein vom AWS Organizations delegierter Administrator mit Berechtigungen zur Verwaltung der Amazon Inspector Inspector-Richtlinien
+ Sie müssen den vertrauenswürdigen Zugriff für Amazon Inspector in Ihrer Organisation aktivieren
+ Sie müssen den Richtlinientyp Amazon Inspector im Stammverzeichnis Ihrer Organisation aktivieren
Stellen Sie außerdem sicher, dass:
+ Amazon Inspector wird in den Regionen unterstützt, in denen Sie Richtlinien anwenden möchten
+ Sie haben die `AWSServiceRoleForInspectorV2` serviceverknüpfte Rolle in Ihrem Verwaltungskonto konfiguriert. Führen `aws iam get-role --role-name AWSServiceRoleForInspectorV2` Sie den Befehl aus, um zu überprüfen, ob diese Rolle existiert. Wenn Sie diese Rolle erstellen müssen, können Sie sie entweder `aws inspector2 enable` in einer beliebigen Region von Ihrem Verwaltungskonto aus ausführen oder sie direkt durch Ausführen erstellen`aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com`.
## Implementierungsschritte
Um die Richtlinien von Amazon Inspector effektiv zu implementieren, folgen Sie diesen Schritten der Reihe nach. Jeder Schritt gewährleistet die korrekte Konfiguration und hilft, häufig auftretende Probleme bei der Einrichtung zu vermeiden. Das Verwaltungskonto oder der delegierte Administrator kann diese Schritte über die AWS Organizations Konsole, die AWS Befehlszeilenschnittstelle (AWS CLI) oder AWS SDKs ausführen.
1. [Aktivieren Sie den vertrauenswürdigen Zugriff für Amazon Inspector](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access).
1. [Aktivieren Sie die Amazon Inspector Inspector-Richtlinien für Ihre Organisation](enable-policy-type.md).
1. [Erstellen Sie eine Amazon Inspector Inspector-Richtlinie](orgs_manage_policies_inspector_syntax.md).
1. [Hängen Sie die Amazon Inspector Inspector-Richtlinie an das Stammverzeichnis, die Organisationseinheit oder das Konto Ihrer Organisation](orgs_policies_attach.md) an.
1. [Sehen Sie sich die kombinierte gültige Amazon Inspector Inspector-Richtlinie an, die für ein Konto gilt](orgs_manage_policies_effective.md).
## Erstellen Sie eine Amazon Inspector Inspector-Richtlinie
### Mindestberechtigungen
Um eine Amazon Inspector Inspector-Richtlinie zu erstellen, benötigen Sie die folgende Berechtigung:
+ `organizations:CreatePolicy`
### AWS Management-Konsole
**So erstellen Sie eine Amazon Inspector Inspector-Richtlinie**
1. Melden Sie sich bei der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).
1. Richten Sie einen delegierten Administrator für den Service ein, der in der Amazon Inspector Inspector-Konsole verwendet wird.
1. Sobald der delegierte Administrator für Amazon Inspector eingerichtet wurde, rufen Sie die AWS Organisationskonsole auf, um die Richtlinien einzurichten. Rufen Sie in der AWS Organisationskonsole die Seite Richtlinien von Amazon Inspector auf und wählen Sie **Richtlinie erstellen** aus.
1. Geben Sie auf der Seite **Neue Amazon Inspector Inspector-Richtlinie erstellen** einen **Richtliniennamen** und eine optionale **Richtlinienbeschreibung** ein.
1. (Optional) Sie können der Richtlinie ein oder mehrere Tags hinzufügen, indem Sie **Tag hinzufügen** auswählen und dann einen Schlüssel und einen optionalen Wert eingeben. Wenn Sie den Wert leer lassen, wird er auf eine leere Zeichenfolge gesetzt; er ist nicht `null`. Sie können einer Richtlinie bis zu 50 Tags hinzufügen. Weitere Informationen finden Sie unter [Ressourcen taggen AWS OrganizationsÜberlegungen](orgs_tagging.md).
1. Geben Sie den Richtlinientext in das JSON-Codefeld ein oder fügen Sie ihn ein. Informationen zur Amazon Inspector Inspector-Richtliniensyntax und Beispielrichtlinien, die Sie als Ausgangspunkt verwenden können, finden Sie unter[Syntax und Beispiele für Amazon Inspector Inspector-Richtlinien](orgs_manage_policies_inspector_syntax.md).
1. Wenn Sie mit der Bearbeitung Ihrer Richtlinie fertig sind, wählen Sie in der unteren rechten Ecke der Seite **Richtlinie erstellen** aus.
# Bewährte Methoden für die Verwendung von Amazon Inspector Inspector-Richtlinien
Bei der Implementierung von Amazon Inspector Inspector-Richtlinien in Ihrem Unternehmen trägt die Befolgung etablierter Best Practices dazu bei, eine erfolgreiche Implementierung und Wartung sicherzustellen.
## Einfach starten und kleine Änderungen vornehmen
Aktivieren Sie zunächst die Amazon Inspector Inspector-Richtlinien in einer begrenzten Organisationseinheit (z. B. „Security Pilot“), um das erwartete Verhalten zu überprüfen, bevor sie für alle Konten eingeführt werden. Dieser schrittweise Ansatz ermöglicht es Ihnen, potenzielle Probleme in einer kontrollierten Umgebung zu identifizieren und zu lösen, bevor sie in größerem Umfang eingesetzt werden.
## Richten Sie Überprüfungsprozesse ein
Überwachen Sie regelmäßig, ob neue Konten Ihrer Organisation beitreten, und stellen Sie sicher, dass diese automatisch die Amazon Inspector Inspector-Aktivierung übernehmen. Überprüfen Sie vierteljährlich den Umfang der beigefügten Versicherungsverträge, um sicherzustellen, dass Ihr Sicherheitsschutz Ihrer Unternehmensstruktur und Ihren Sicherheitsanforderungen entspricht.
## Überprüfen Sie die Änderungen mit DescribeEffectivePolicy
Nachdem Sie eine Richtlinie angehängt oder geändert haben, führen Sie `DescribeEffectivePolicy` für Kundenbetreuerkonten aus, um sicherzustellen, dass die Aktivierung von Amazon Inspector korrekt wiedergegeben wird. Mit diesem Bestätigungsschritt können Sie überprüfen, ob Ihre Richtlinienänderungen in Ihrem gesamten Unternehmen die beabsichtigte Wirkung haben.
## Kommunizieren und schulen
Informieren Sie Kontoinhaber darüber, dass Amazon Inspector automatisch aktiviert wird und die Ergebnisse möglicherweise in ihren Security Hub- oder Amazon Inspector-Dashboards angezeigt werden, sobald sie mit dem delegierten Administrator von Amazon Inspector verknüpft sind. Eine klare Kommunikation trägt dazu bei, dass die Kontoinhaber die bestehende Sicherheitsüberwachung verstehen und angemessen auf die Ergebnisse reagieren können.
## Planen Sie Ihre Strategie für delegierte Administratoren
Benennen Sie ein Sicherheits- oder Compliance-Konto als delegierten Administrator für Amazon Inspector. Richten Sie den delegierten Administrator über die Amazon Inspector Inspector-Konsole oder über AWS Organizations APIs ein. Dieser Ansatz ermöglicht eine konsistente Sicherheitsüberwachung und -verwaltung in Ihrem gesamten Unternehmen.
## Berücksichtigen Sie regionale Überlegungen
Aktivieren Sie Amazon Inspector in Regionen, in denen Ihre Workloads ausgeführt werden. Berücksichtigen Sie Ihre Compliance-Anforderungen und betrieblichen Anforderungen, wenn Sie festlegen, in welchen Regionen Amazon Inspector abgedeckt werden muss. Dokumentieren Sie Ihre regionsspezifischen Anforderungen, um eine konsistente Sicherheitsüberwachung in Ihrer gesamten Infrastruktur aufrechtzuerhalten.
# Syntax und Beispiele für Amazon Inspector Inspector-Richtlinien
Die Richtlinien von Amazon Inspector folgen einer standardisierten JSON-Syntax, die definiert, wie Amazon Inspector in Ihrer Organisation aktiviert und konfiguriert wird. Eine Amazon Inspector Inspector-Richtlinie ist ein JSON-Dokument, das gemäß der Syntax der Verwaltungsrichtlinien der AWS Organizations strukturiert ist. Es definiert, für welche Organisationseinheiten Amazon Inspector automatisch aktiviert wird.
## Grundlegende Richtlinienstruktur
Eine Amazon Inspector Inspector-Richtlinie verwendet diese grundlegende Struktur:
```
{
"inspector": {
"enablement": {
"ec2_scanning": {
"enable_in_regions": {
"@@assign": ["us-east-1", "us-west-2"]
},
"disable_in_regions": {
"@@assign": ["eu-west-1"]
}
}
}
}
}
```
## Richtlinienkomponenten
Die Richtlinien von Amazon Inspector enthalten die folgenden Schlüsselkomponenten:
`inspector`
Der Schlüssel der obersten Ebene für Amazon Inspector Inspector-Richtliniendokumente, der für alle Amazon Inspector Inspector-Richtlinien erforderlich ist.
`enablement`
Definiert, wie Amazon Inspector unternehmensweit aktiviert wird, und enthält Konfigurationen für den Scantyp.
`Regions (Array of Strings)`
Gibt die Regionen an, in denen Amazon Inspector automatisch aktiviert werden soll.
## Beispiele für Richtlinien von Amazon Inspector
Die folgenden Beispiele zeigen gängige Amazon Inspector Inspector-Richtlinienkonfigurationen.
### Beispiel 1 — Amazon Inspector unternehmensweit aktivieren
Das folgende Beispiel aktiviert Amazon Inspector in `us-east-1` und `us-west-2` für alle Konten im Organisationsstamm.
Erstellen Sie eine Datei`inspector-policy-enable.json`:
```
{
"inspector": {
"enablement": {
"lambda_standard_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"lambda_code_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
}
},
"ec2_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
},
"ecr_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
},
"code_repository_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
}
}
}
}
```
Wenn sie an das Stammkonto angehängt sind, aktivieren alle Konten in der Organisation automatisch Amazon Inspector, und ihre Scanergebnisse sind für den delegierten Amazon Inspector-Administrator verfügbar.
Erstellen Sie die Richtlinie und fügen Sie sie an:
```
POLICY_ID=$(aws organizations create-policy \
--content file://inspector-policy-enable.json \
--name InspectorOrgPolicy \
--type INSPECTOR_POLICY \
--description "Inspector organization policy to enable all resources in IAD and PDX." \
--query 'Policy.PolicySummary.Id' \
--output text)
aws organizations attach-policy --policy-id $POLICY_ID --target-id
```
Jedes neue Konto, das der Organisation beitritt, erbt automatisch die Aktivierung.
Wenn die Verbindung getrennt wird, bleiben bestehende Konten aktiviert, future Konten werden jedoch nicht automatisch aktiviert:
```
aws organizations detach-policy --policy-id $POLICY_ID --target-id
```
### Beispiel 2 — Amazon Inspector für eine bestimmte Organisationseinheit aktivieren
Erstellen Sie eine Datei`inspector-policy-eu-west-1.json`:
```
{
"inspector": {
"enablement": {
"lambda_standard_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
},
"lambda_code_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
}
},
"ec2_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
},
"ecr_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
},
"code_repository_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
}
}
}
}
```
Hängen Sie dies an eine Organisationseinheit an, um sicherzustellen, dass Amazon Inspector für alle Produktionskonten aktiviert und mit dem delegierten Amazon Inspector-Administrator verknüpft ist: `eu-west-1`
```
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)"
aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
```
Konten außerhalb der Organisationseinheit sind davon nicht betroffen.