本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 亚马逊 Inspector 政策
Amazon Inspector 政策允许您集中启用和管理 AWS 组织中各个账户的亚马逊 Inspector。使用 Amazon Inspector 政策,您可以指定哪些组织实体(根或账户)已自动启用 Amazon Inspector 并将其关联到 Amazon Inspector 委托的管理员账户。 OUs您可以使用 Amazon Inspector 政策来简化整个服务的入门流程,并确保在所有现有和新创建的账户中一致启用亚马逊 Inspector。
## 主要特点和优点
Amazon Inspector 策略允许您定义应为您的组织或其子集启用哪些扫描类型,从而确保覆盖范围一致并减少手动工作。实施后,它们可以帮助您自动注册新帐户,并在组织规模扩大时保持扫描基准。
## 工作原理
当您将亚马逊检查员策略附加到组织实体时,该策略会自动为该范围内的所有成员账户启用亚马逊检查器。此外,如果您通过为 Amazon Inspector 注册委托管理员来完成 Amazon Inspector 的设置,则该账户将对组织中启用了 Amazon Inspector 的账户进行集中漏洞可见性。
Amazon Inspector 政策可以应用于整个组织、特定的组织单位 (OUs) 或个人账户。加入组织或加入附有 Amazon Inspector 政策的 OU 的账户会自动继承该政策,并启用 Amazon Inspector 并将其关联到 Amazon Inspector 委托的管理员。Amazon Inspector 策略允许您启用亚马逊扫 EC2 描、亚马逊 ECR 扫描、Lambda 标准和代码扫描以及代码安全。可以通过组织的委派管理员帐户管理特定的配置设置和禁止规则。
当您将Amazon Inspector策略附加到您的组织或组织单位时, AWS Organizations会自动评估该政策并根据您定义的范围进行应用。策略执行过程遵循特定的冲突解决规则:
+ 区域同时出现在启用和禁用列表中时,禁用配置优先。例如,如果在启用和禁用配置中都列出了某个区域,则该区域的 Amazon Inspector 将被禁用。
+ 如果指定启用,`ALL_SUPPORTED`则除非明确禁用 Amazon Inspector,否则将在当前和未来的所有地区启用。这使您能够在 AWS 扩展到新区域时保持全面的覆盖范围。
+ 子策略可以使用继承运算符修改父策略设置,从而允许在不同的组织级别实现精细控制。这种分层方法可确保特定的组织单元在保持基准控制的同时,可以自定义其安全设置。
### 术语
本主题在讨论 Amazon Inspector 政策时使用以下术语。
| 租期 | 定义 |
| --- | --- |
| 有效策略 | 合并所有继承的策略后,应用于某个账户的最终策略。 |
| 策略继承 | 账户从父级组织单元继承策略的过程。 |
| 委派管理员 | 指定代表组织管理 Amazon Inspector 政策的账户。 |
| 服务相关角色 | 一个 IAM 角色,允许 Amazon Inspector 与其他 AWS 服务进行交互。 |
### Amazon Inspector 政策的用例
跨多个账户启动大规模工作负载的组织可以使用此策略来确保所有账户立即启用正确的扫描类型并避免漏洞。监管或合规性驱动的环境可以使用子政策来覆盖或限制 OU 的扫描类型。快速增长的环境可以自动启用新创建的帐户,因此它们始终符合基准。
### 策略继承和强制执行
了解策略的继承和执行方式对于在整个组织中实现有效的安全管理至关重要。继承模型遵循Organiz AWS ations的层次结构,确保了可预测和一致的策略应用。
+ 在根级别附加的策略适用于所有账户
+ 账户从其父级组织单元继承策略
+ 多个策略可应用于单个账户
+ 更具体的策略(层次结构中更接近账户的策略)优先级更高
### 策略验证
创建 Amazon Inspector 策略时,需要进行以下验证:
+ 区域名称必须是有效的 AWS 区域标识符
+ Amazon Inspector 必须支持区域
+ 策略结构必须遵循 AWS Organizations 策略语法规则
+ 必须同时存在 `enable_in_regions` 和 `disable_in_regions` 列表,但这两个列表都可以为空
### 区域注意事项和支持的区域
Amazon Inspector 政策仅适用于可使用亚马逊 Inspector 和 Or AWS ganizations 可信访问的地区。了解区域行为有助于您在组织的全局范围内实施有效的安全控制。
+ 策略在每个区域内独立执行
+ 您可以指定在策略中包括或排除哪些区域
+ 使用 `ALL_SUPPORTED` 选项时,新区域将自动包含在内
+ 政策仅适用于提供 Amazon Inspector 的地区
### 分离行为
如果您取消了 Amazon Inspector 政策,则在之前涵盖的账户中,Amazon Inspector 仍处于启用状态。但是,未来对组织结构的更改(例如新账户加入或现有账户迁入 OU)将不再自动启用 Amazon Inspector。任何进一步的启用都必须手动或通过重新附加策略来执行。
## 其他详细信息
### 委托管理员
一个组织中只能为一名委托管理员注册 Amazon Inspector。在附加 Amazon Inspector 策略 APIs 之前,您必须在 Amazon Inspector 控制台中或通过进行配置。
### 先决条件
您必须为 Organization AWS s 启用可信访问权限,注册 Amazon Inspector 的委托管理员,并在所有账户中使用服务相关角色。
### 支持的区域:
所有提供 Amazon Inspector 的区域。
# 开始使用 Amazon Inspector 政策
在配置 Amazon Inspector 策略之前,请确保您了解先决条件和实施要求。本主题将指导您完成在组织中设置和管理这些策略的过程。
## 了解所需权限
要启用或附加 Amazon Inspector 政策,您必须在管理账户中拥有以下权限:
+ `inspector2.amazonaws.com` 的 `organizations:EnableAWSServiceAccess`
+ `inspector2.amazonaws.com` 的 `organizations:RegisterDelegatedAdministrator`
+ `organizations:AttachPolicy`, `organizations:CreatePolicy`, `organizations:DescribeEffectivePolicy`
+ `inspector2:Enable`(适用于管理账号和委派管理员)
## 开始前的准备工作
在实施 Amazon Inspector 政策之前,请查看以下要求:
+ 您的账户必须是 AWS 组织的一部分
+ 您必须使用以下任一身份登录:
+ 组织的管理账户
+ Organ AWS izations 委托管理员有权管理 Amazon Inspector 政策
+ 您必须为组织中的 Amazon Inspector 启用可信访问权限
+ 您必须在组织根目录中启用 Amazon Inspector 策略类型
此外,请确认:
+ 您要应用政策的区域支持 Amazon Inspector
+ 您的管理账户中已配置 `AWSServiceRoleForInspectorV2` 服务关联角色。要验证此角色是否存在,请运行 `aws iam get-role --role-name AWSServiceRoleForInspectorV2`。如果需要创建此角色,可以从您的管理账户在任何区域运行 `aws inspector2 enable`,也可以通过运行 `aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com` 直接创建。
## 实现步骤
要有效实施 Amazon Inspector 政策,请按顺序执行以下步骤。每个步骤都可确保配置正确,并有助于在设置过程中避免常见问题。管理账户或授权管理员可以通过 AWS Organizations 控制台、 AWS 命令行界面 (AWS CLI) 或执行这些步骤 AWS SDKs。
1. [为 Amazon Inspector 启用可信访问权限](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access)。
1. [为您的组织启用 Amazon Inspector 政策](enable-policy-type.md)。
1. [创建 Amazon Inspector 政策](orgs_manage_policies_inspector_syntax.md)。
1. [将 Amazon Inspector 政策附加到贵组织的根目录、组织单位或账户](orgs_policies_attach.md)。
1. [查看适用于账户的合并生效 Amazon Inspector 政策](orgs_manage_policies_effective.md)。
## 创建 Amazon Inspector 政策
### 最小权限
要创建 Amazon Inspector 策略,您需要以下权限:
+ `organizations:CreatePolicy`
### AWS 管理控制台
**创建 Amazon Inspector 政策**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 Amazon Inspector 控制台中为正在使用的服务设置委托管理员。
1. 为 Amazon Inspector 设置委托管理员后,请访问 AWS 组织控制台设置政策。在 AWS 组织控制台上,访问 Amazon Inspector **政策页面,选择创建策略**。
1. 在**创建新的 Amazon Inspector 政策****页面上,输入策略名称**和可选的**政策描述**。
1. (可选)您可以向策略添加一个或多个标签,方法是选择 **Add tag (添加标签)**,然后输入一个键和可选的值。将值留空,设置为空字符串;它并非 `null`。您最多可以向策略附加 50 个标签。有关更多信息,请参阅 [标记资源 AWS Organizations注意事项](orgs_tagging.md)。
1. 在 JSON 代码框中输入或粘贴策略文本。有关 Amazon Inspector 策略语法以及可以用作起点的示例策略的信息,请参阅[Amazon Inspector 策略语法和示例](orgs_manage_policies_inspector_syntax.md)。
1. 编辑完策略后,选择位于页面右下角的 **Create policy (创建策略)**。
# 使用 Amazon Inspector 政策的最佳实践
在整个组织中实施 Amazon Inspector 政策时,遵循既定的最佳实践有助于确保成功部署和维护。
## 简单开始并进行一些小更改
首先,在有限的组织单位(例如,“安全试点”)启用 Amazon Inspector 政策,以便在向所有账户推出之前验证预期行为。这种渐进式方法允许您在更广泛的部署之前识别并解决受控环境中的潜在问题。
## 建立审查流程
定期监控是否有新账户加入您的组织,并确认他们会自动继承 Amazon Inspector 启用。每季度审查一次保单附件范围,确保您的安全覆盖范围与您的组织结构和安全要求保持一致。
## 使用验证更改 DescribeEffectivePolicy
附加或修改政策后,请运行`DescribeEffectivePolicy`代表账户,以确保正确反映 Amazon Inspector 的启用。此验证步骤可帮助您确认您的政策变更是否在整个组织中产生了预期效果。
## 沟通与培训
告知账户所有者,亚马逊检查器将自动启用,一旦他们与亚马逊检查员授权的管理员相关联,发现结果可能会出现在他们的 Security Hub 或 Amazon Inspector 控制面板中。清晰的沟通有助于确保账户所有者了解已实施的安全监控,并能够对发现的结果做出适当的回应。
## 规划您的委派管理员策略
指定一个安全或合规账户作为 Amazon Inspector 的委托管理员。从 Amazon Inspector 控制台或通过 AWS Organizations 设置委托管理员 APIs。这种方法可在整个组织中实现一致的安全监控和管理。
## 处理区域注意事项
在您的工作负载运行的区域启用 Amazon Inspector。在确定哪些地区需要 Amazon Inspector 覆盖范围时,请考虑您的合规要求和运营需求。记录您的区域特定要求,以便在整个基础设施中保持一致的安全监控。
# Amazon Inspector 策略语法和示例
Amazon Inspector 策略遵循标准化的 JSON 语法,该语法定义了如何在您的组织中启用和配置 Amazon Inspector。Amazon Inspector 策略是一份根据 AWS 组织管理策略语法结构的 JSON 文档。它定义了哪些组织实体将自动启用 Amazon Inspector。
## 基本策略结构
Amazon Inspector 政策使用以下基本结构:
```
{
"inspector": {
"enablement": {
"ec2_scanning": {
"enable_in_regions": {
"@@assign": ["us-east-1", "us-west-2"]
},
"disable_in_regions": {
"@@assign": ["eu-west-1"]
}
}
}
}
}
```
## 策略组件
Amazon Inspector 政策包含以下关键组成部分:
`inspector`
Amazon Inspector 政策文件的顶级密钥,这是所有亚马逊 Inspector 政策所必需的。
`enablement`
定义如何在整个组织中启用 Amazon Inspector,并包含扫描类型配置。
`Regions (Array of Strings)`
指定应自动启用 Amazon Inspector 的区域。
## 亚马逊 Inspector 政策示例
以下示例演示了常见的 Amazon Inspector 策略配置。
### 示例 1 — 在组织范围内启用 Amazon Inspector
以下示例`us-west-2`为组织根目录中的`us-east-1`所有账户启用 Amazon Inspector。
创建 `inspector-policy-enable.json` 文件:
```
{
"inspector": {
"enablement": {
"lambda_standard_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"lambda_code_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
}
},
"ec2_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
},
"ecr_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
},
"code_repository_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
}
}
}
}
```
连接到根目录后,组织中的所有账户都会自动启用 Amazon Inspector,其扫描结果可供亚马逊检查员授权的管理员使用。
创建并附加策略:
```
POLICY_ID=$(aws organizations create-policy \
--content file://inspector-policy-enable.json \
--name InspectorOrgPolicy \
--type INSPECTOR_POLICY \
--description "Inspector organization policy to enable all resources in IAD and PDX." \
--query 'Policy.PolicySummary.Id' \
--output text)
aws organizations attach-policy --policy-id $POLICY_ID --target-id
```
任何加入组织的新账户都会自动继承启用。
如果已分离,现有账户将保持启用状态,但是 future 账户不会自动启用:
```
aws organizations detach-policy --policy-id $POLICY_ID --target-id
```
### 示例 2 — 为特定 OU 启用 Amazon Inspector
创建 `inspector-policy-eu-west-1.json` 文件:
```
{
"inspector": {
"enablement": {
"lambda_standard_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
},
"lambda_code_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
}
},
"ec2_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
},
"ecr_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
},
"code_repository_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
}
}
}
}
```
将其附加到 OU 以确保中的所有生产账户都`eu-west-1`将启用 Amazon Inspector 并将其关联到 Amazon Inspector 委托的管理员:
```
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)"
aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
```
OU 之外的账户不受影响。