Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Políticas de Amazon Inspector
Las políticas de Amazon Inspector le permiten activar y gestionar Amazon Inspector de forma centralizada en todas las cuentas de su AWS organización. Con una política de Amazon Inspector, especificas qué entidades organizativas (raíz o cuentas) tienen Amazon Inspector activado y vinculado automáticamente a la cuenta de administrador delegado de Amazon Inspector. OUs Puede utilizar las políticas de Amazon Inspector para simplificar la incorporación en todo el servicio y garantizar la activación coherente de Amazon Inspector en todas las cuentas existentes y recién creadas.
## Características y ventajas principales
Las políticas de Amazon Inspector le permiten definir qué tipos de escaneo deben habilitarse para su organización o subconjuntos de la misma, lo que garantiza una cobertura uniforme y reduce el esfuerzo manual. Cuando se implementan, le ayudan a incorporar nuevas cuentas automáticamente y a mantener su línea base de digitalización a medida que su organización crece.
## Funcionamiento
Cuando adjuntas una política de Amazon Inspector a una entidad organizativa, la política habilita automáticamente Amazon Inspector para todas las cuentas de los miembros incluidas en ese ámbito. Además, si ha finalizado la configuración de Amazon Inspector mediante el registro de un administrador delegado en Amazon Inspector, esa cuenta tendrá una visibilidad centralizada de las vulnerabilidades en las cuentas de la organización que tengan Amazon Inspector activado.
Las políticas de Amazon Inspector se pueden aplicar a toda la organización, a unidades organizativas específicas (OUs) o a cuentas individuales. Las cuentas que se unen a la organización (o se trasladan a una OU con una política de Amazon Inspector adjunta) heredan automáticamente la política y tienen Amazon Inspector activado y vinculado al administrador delegado de Amazon Inspector. Las políticas de Amazon Inspector le permiten habilitar el EC2 escaneo de Amazon, el escaneo de Amazon ECR o el escaneo Lambda Standard y de códigos, así como Code Security. Los ajustes de configuración específicos y las reglas de supresión se pueden gestionar a través de la cuenta de administrador delegado de la organización.
Cuando adjuntas una política de Amazon Inspector a tu organización o unidad organizativa, AWS Organizations evalúa automáticamente la política y la aplica en función del ámbito que definas. El proceso de aplicación de la política sigue reglas específicas de resolución de conflictos:
+ Cuando las regiones aparecen en las listas de habilitación y deshabilitación, prevalece la configuración de deshabilitación. Por ejemplo, si una región aparece en las configuraciones de activación e inhabilitación, Amazon Inspector se desactivará en esa región.
+ Cuando `ALL_SUPPORTED` se especifica la activación, Amazon Inspector se habilita en todas las regiones actuales y futuras, a menos que se desactive explícitamente. Esto le permite mantener una cobertura integral a medida que AWS se expande a nuevas regiones.
+ Las políticas secundarias pueden modificar la configuración de las políticas principales mediante operadores de herencia, de modo que permite un control detallado en los diferentes niveles organizativos. Este enfoque jerárquico garantiza que las unidades organizativas específicas puedan personalizar las configuraciones de seguridad, sin dejar de mantener los controles básicos.
### Terminología
En este tema se utilizan los siguientes términos al tratar las políticas de Amazon Inspector.
| Plazo | Definición |
| --- | --- |
| Política en vigor | Política final que se aplica a una cuenta luego de combinar todas las políticas heredadas. |
| Herencia de políticas | Proceso mediante el cual las cuentas heredan las políticas de las unidades organizativas principales. |
| Administrador delegado | Una cuenta designada para gestionar las políticas de Amazon Inspector en nombre de la organización. |
| Rol vinculado a servicios | Un rol de IAM que permite a Amazon Inspector interactuar con otros AWS servicios. |
### Casos de uso de las políticas de Amazon Inspector
Las organizaciones que lanzan cargas de trabajo a gran escala en varias cuentas pueden utilizar esta política para garantizar que todas las cuentas habiliten inmediatamente los tipos de escaneo correctos y eviten brechas. Los entornos normativos o regidos por el cumplimiento normativo pueden utilizar políticas secundarias para anular o limitar los tipos de escaneos por unidad organizativa. Los entornos de rápido crecimiento pueden automatizar la habilitación de las cuentas recién creadas para que siempre cumplan con los requisitos básicos.
### Herencia y aplicación de políticas
Es fundamental entender cómo las políticas se heredan y se aplican para conseguir una administración eficaz de la seguridad en la organización. El modelo de herencia sigue la jerarquía de AWS las Organizaciones, lo que garantiza una aplicación de políticas predecible y coherente.
+ Las políticas asociadas en el nivel raíz se aplican a todas las cuentas
+ Las cuentas heredan las políticas de sus unidades organizativas principales
+ Se pueden aplicar varias políticas a una sola cuenta
+ Las políticas más específicas (más próximas a la cuenta en la jerarquía) tienen prioridad
### Validación de políticas
Al crear las políticas de Amazon Inspector, se producen las siguientes validaciones:
+ Los nombres de las regiones deben ser identificadores de región válidos AWS
+ Amazon Inspector debe admitir las regiones
+ La estructura de políticas debe seguir AWS las reglas de sintaxis de las políticas de Organizations
+ Las listas `enable_in_regions` y `disable_in_regions` deben estar presentes, aunque pueden estar vacías
### Consideraciones regionales y regiones compatibles
Las políticas de Amazon Inspector se aplican únicamente en las regiones en las que esté disponible el acceso de confianza de Amazon Inspector y AWS Organizations. Comprender el comportamiento regional permite implementar controles de seguridad efectivos en la presencia global de su organización.
+ La aplicación de políticas se produce en cada región de forma independiente
+ Puede especificar las regiones a incluir o excluir en sus políticas
+ Las nuevas regiones se incluyen automáticamente al usar la opción `ALL_SUPPORTED`
+ Las políticas solo se aplican a las regiones en las que Amazon Inspector está disponible
### Comportamiento de distanciamiento
Si desvinculas una política de Amazon Inspector, Amazon Inspector permanece activado en las cuentas anteriormente cubiertas. Sin embargo, los cambios futuros en la estructura organizativa (como la incorporación de nuevas cuentas o el traslado de cuentas existentes a la OU) ya no habilitarán Amazon Inspector automáticamente. Cualquier otra activación debe realizarse de forma manual o mediante la reincorporación de una política.
## Detalles adicionales
### Administrador delegado
Solo se puede registrar un administrador delegado en Amazon Inspector en una organización. Debe configurarlo en la consola de Amazon Inspector o APIs antes de adjuntar las políticas de Amazon Inspector.
### Requisitos previos
Debe habilitar el acceso de confianza para AWS Organizations, tener registrado un administrador delegado para Amazon Inspector y tener funciones vinculadas a servicios disponibles en todas las cuentas.
### Regiones admitidas
Todas las regiones en las que Amazon Inspector está disponible.
# Introducción a las políticas de Amazon Inspector
Antes de configurar las políticas de Amazon Inspector, asegúrese de comprender los requisitos previos y los requisitos de implementación. Esta sección explica cómo configurar y administrar estas políticas en su organización.
## Obtenga información sobre los permisos necesarios
Para activar o adjuntar las políticas de Amazon Inspector, debes tener los siguientes permisos en la cuenta de administración:
+ `organizations:EnableAWSServiceAccess` para `inspector2.amazonaws.com`
+ `organizations:RegisterDelegatedAdministrator` para `inspector2.amazonaws.com`
+ `organizations:AttachPolicy`, `organizations:CreatePolicy`, `organizations:DescribeEffectivePolicy`
+ `inspector2:Enable`(para la cuenta de administración y el administrador delegado)
## Antes de empezar
Revise los siguientes requisitos antes de implementar las políticas de Amazon Inspector:
+ Su cuenta debe formar parte de una AWS organización
+ Debe haber iniciado sesión de la siguiente manera:
+ La cuenta de administración de la organización
+ Un administrador delegado de AWS Organizations con permisos para gestionar las políticas de Amazon Inspector
+ Debe habilitar el acceso de confianza para Amazon Inspector en su organización
+ Debes habilitar el tipo de política de Amazon Inspector en la raíz de tu organización
Además, compruebe que:
+ Amazon Inspector es compatible con las regiones en las que quieras aplicar las políticas
+ Tenga el rol vinculado a servicios `AWSServiceRoleForInspectorV2` configurado en su cuenta de administración. Para comprobar que este rol existe, ejecute `aws iam get-role --role-name AWSServiceRoleForInspectorV2`. Si necesita crear este rol, puede ejecutar `aws inspector2 enable` en cualquier región desde su cuenta de administración o crearlo directamente al ejecutar `aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com`.
## Pasos para la implementación
Para implementar las políticas de Amazon Inspector de forma eficaz, sigue estos pasos en secuencia. Cada paso garantiza una configuración adecuada y ayuda a evitar problemas comunes durante la configuración. La cuenta de administración o el administrador delegado pueden realizar estos pasos a través de la AWS Organizations consola, la interfaz de línea de AWS comandos (AWS CLI) o AWS SDKs.
1. [Habilite el acceso confiable para Amazon Inspector](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access).
1. [Activa las políticas de Amazon Inspector para tu organización](enable-policy-type.md).
1. [Crea una política de Amazon Inspector](orgs_manage_policies_inspector_syntax.md).
1. [Adjunta la política de Amazon Inspector a la raíz, la unidad organizativa o la cuenta de tu organización](orgs_policies_attach.md).
1. [Consulta la política combinada de Amazon Inspector vigente que se aplica a una cuenta](orgs_manage_policies_effective.md).
## Crear una política de Amazon Inspector
### Permisos mínimos
Para crear una política de Amazon Inspector, necesitas el siguiente permiso:
+ `organizations:CreatePolicy`
### AWS Consola de administración
**Para crear una política de Amazon Inspector**
1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.
1. Configure un administrador delegado para el servicio que se utiliza en la consola de Amazon Inspector.
1. Una vez que el administrador delegado esté configurado para Amazon Inspector, visita AWS la consola de la organización para configurar las políticas. En AWS la consola de la organización, visita la página de políticas de Amazon Inspector y selecciona **Crear política**.
1. En la página **Crear una nueva política de Amazon Inspector**, introduce un **nombre de política** y una **descripción de la política** opcional.
1. (Opcional) Puede agregar una o varias etiquetas a la política seleccionando **Agregar etiqueta** y a continuación, introduzca una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es `null`. Puede adjuntar hasta 50 etiquetas a una política. Para obtener más información, consulte [Recursos de etiquetado AWS OrganizationsConsideraciones](orgs_tagging.md).
1. Ingrese o pegue el texto de la política en el cuadro de código JSON. Para obtener información sobre la sintaxis de la política de Amazon Inspector y ejemplos de políticas que puede utilizar como punto de partida, consulte[Sintaxis y ejemplos de políticas de Amazon Inspector](orgs_manage_policies_inspector_syntax.md).
1. Cuando haya terminado de editar la política, elija **Crear política** en la esquina inferior derecha de la página.
# Prácticas recomendadas para utilizar las políticas de Amazon Inspector
Al implementar las políticas de Amazon Inspector en toda su organización, seguir las mejores prácticas establecidas ayuda a garantizar el éxito de la implementación y el mantenimiento.
## Comience de forma sencilla y haga pequeños cambios
Comience por habilitar las políticas de Amazon Inspector en una unidad organizativa limitada (por ejemplo, «Security Pilot») para validar el comportamiento esperado antes de implementarlas en todas las cuentas. Este enfoque gradual le permite identificar y resolver posibles problemas en un entorno controlado antes de una implementación más amplia.
## Establezca procesos de revisión
Supervisa periódicamente si hay nuevas cuentas que se unan a tu organización y confirma que hereden automáticamente la activación de Amazon Inspector. Revise los alcances de las políticas adjuntas trimestralmente para asegurarse de que su cobertura de seguridad se mantenga alineada con su estructura organizativa y sus requisitos de seguridad.
## Valide los cambios mediante DescribeEffectivePolicy
Tras adjuntar o modificar una política, busca cuentas representativas `DescribeEffectivePolicy` para asegurarte de que la habilitación de Amazon Inspector se refleja correctamente. Este paso de validación le ayuda a confirmar que los cambios en la política tienen el efecto deseado en toda la organización.
## Comunique y capacite
Informe a los propietarios de las cuentas de que Amazon Inspector se activará automáticamente y que las conclusiones pueden aparecer en sus paneles de control de Security Hub o Amazon Inspector una vez que estén vinculadas al administrador delegado de Amazon Inspector. Una comunicación clara ayuda a garantizar que los propietarios de las cuentas comprendan la supervisión de seguridad vigente y puedan responder adecuadamente a las conclusiones.
## Planifique su estrategia de administrador delegado
Designe una cuenta de seguridad o conformidad como administradora delegada de Amazon Inspector. Configure el administrador delegado desde la consola de Amazon Inspector o a través de AWS Organizations APIs. Este enfoque permite una supervisión y una gestión de la seguridad coherentes en toda la organización.
## Gestione las consideraciones regionales
Habilite Amazon Inspector en las regiones en las que se ejecutan sus cargas de trabajo. Tenga en cuenta sus requisitos de conformidad y sus necesidades operativas a la hora de determinar qué regiones requieren la cobertura de Amazon Inspector. Documente los requisitos específicos de su región para mantener un monitoreo de seguridad uniforme en toda su infraestructura.
# Sintaxis y ejemplos de políticas de Amazon Inspector
Las políticas de Amazon Inspector siguen una sintaxis JSON estandarizada que define cómo se habilita y configura Amazon Inspector en toda la organización. Una política de Amazon Inspector es un documento JSON estructurado según la sintaxis de la AWS política de gestión de Organizations. Define qué entidades organizativas tendrán Amazon Inspector activado automáticamente.
## Estructura básica de las políticas
La política de Amazon Inspector utiliza esta estructura básica:
```
{
"inspector": {
"enablement": {
"ec2_scanning": {
"enable_in_regions": {
"@@assign": ["us-east-1", "us-west-2"]
},
"disable_in_regions": {
"@@assign": ["eu-west-1"]
}
}
}
}
}
```
## Componentes de política
Las políticas de Amazon Inspector contienen los siguientes componentes clave:
`inspector`
La clave de nivel superior de los documentos de política de Amazon Inspector, necesaria para todas las políticas de Amazon Inspector.
`enablement`
Define cómo se habilita Amazon Inspector en toda la organización y contiene las configuraciones de los tipos de escaneo.
`Regions (Array of Strings)`
Especifica las regiones en las que Amazon Inspector debe activarse automáticamente.
## Ejemplos de políticas de Amazon Inspector
Los siguientes ejemplos muestran las configuraciones de políticas habituales de Amazon Inspector.
### Ejemplo 1: Habilitar Amazon Inspector en toda la organización
El siguiente ejemplo habilita Amazon Inspector en `us-east-1` y `us-west-2` para todas las cuentas de la raíz de la organización.
Cree un archivo de `inspector-policy-enable.json`:
```
{
"inspector": {
"enablement": {
"lambda_standard_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"lambda_code_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
}
},
"ec2_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
},
"ecr_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
},
"code_repository_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
}
}
}
}
```
Cuando se adjuntan a la raíz, todas las cuentas de la organización habilitan Amazon Inspector automáticamente y los resultados de sus escaneos están disponibles para el administrador delegado de Amazon Inspector.
Crea y adjunta la política:
```
POLICY_ID=$(aws organizations create-policy \
--content file://inspector-policy-enable.json \
--name InspectorOrgPolicy \
--type INSPECTOR_POLICY \
--description "Inspector organization policy to enable all resources in IAD and PDX." \
--query 'Policy.PolicySummary.Id' \
--output text)
aws organizations attach-policy --policy-id $POLICY_ID --target-id
```
Cualquier cuenta nueva que se una a la organización hereda automáticamente la habilitación.
Si se separan, las cuentas existentes permanecen habilitadas, pero las cuentas futuras no se habilitan automáticamente:
```
aws organizations detach-policy --policy-id $POLICY_ID --target-id
```
### Ejemplo 2: Habilitar Amazon Inspector para una unidad organizativa específica
Cree un archivo de `inspector-policy-eu-west-1.json`:
```
{
"inspector": {
"enablement": {
"lambda_standard_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
},
"lambda_code_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
}
},
"ec2_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
},
"ecr_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
},
"code_repository_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
}
}
}
}
```
Adjunte esto a una OU para asegurarse de que todas las cuentas de producción `eu-west-1` tengan Amazon Inspector activado y vinculado al administrador delegado de Amazon Inspector:
```
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)"
aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
```
Las cuentas fuera de la OU no se ven afectadas.