本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon Inspector 政策
Amazon Inspector 政策可讓您在 AWS 組織中跨帳戶集中啟用和管理 Amazon Inspector。使用 Amazon Inspector 政策,您可以指定哪些組織實體 (根、OUs 或帳戶) 已自動啟用 Amazon Inspector,並連結至 Amazon Inspector 委派管理員帳戶。您可以使用 Amazon Inspector 政策來簡化整個服務的加入,並確保在所有現有和新建立的帳戶中一致啟用 Amazon Inspector。
## 主要功能和優點
Amazon Inspector 政策可讓您定義應該為您的組織或其子集啟用哪些掃描類型,以確保一致的涵蓋範圍並減少手動工作。實作後,它們可協助您自動加入新帳戶,並在組織擴展時維持掃描基準。
## 運作方式
當您將 Amazon Inspector 政策連接到組織實體時,政策會自動為該範圍內的所有成員帳戶啟用 Amazon Inspector。此外,如果您已透過註冊 Amazon Inspector 的委派管理員來完成 Amazon Inspector 設定,則該帳戶將對組織中已啟用 Amazon Inspector 的帳戶具有集中式漏洞可見性。
Amazon Inspector 政策可以套用至整個組織、特定組織單位 (OUs) 或個別帳戶。加入組織的帳戶,或移至已連接 Amazon Inspector 政策的 OU,會自動繼承政策,並啟用 Amazon Inspector 並連結至 Amazon Inspector 委派管理員。Amazon Inspector 政策可讓您啟用 Amazon EC2 掃描、Amazon ECR 掃描或 Lambda 標準和程式碼掃描,以及 Code Security。特定組態設定和禁止規則可以透過組織的委派管理員帳戶進行管理。
當您將 Amazon Inspector 政策連接到組織或組織單位時, AWS Organizations 會自動評估政策,並根據您定義的範圍套用政策。政策強制執行程序遵循特定的衝突解決規則:
+ 當區域同時出現在啟用和停用清單中時,停用組態優先。例如,如果區域同時在啟用和停用組態中列出,則會在該區域中停用 Amazon Inspector。
+ 當 `ALL_SUPPORTED` 指定為啟用時,除非明確停用,否則會在所有目前和未來的區域中啟用 Amazon Inspector。這可讓您在擴展到新區域時 AWS 維持全面的涵蓋範圍。
+ 子政策可以使用繼承運算子修改父政策設定,允許在不同組織層級進行精細控制。這種階層方法可確保特定組織單位可以自訂其安全設定,同時維護基準控制。
### 術語
本主題會在討論 Amazon Inspector 政策時使用下列術語。
| 術語 | 定義 |
| --- | --- |
| 有效政策 | 合併所有繼承的政策後套用至帳戶的最終政策。 |
| 政策繼承 | 帳戶從父組織單位繼承政策的程序。 |
| 委派的管理員 | 指定代表組織管理 Amazon Inspector 政策的帳戶。 |
| 服務連結角色 | 允許 Amazon Inspector 與其他 AWS 服務互動的 IAM 角色。 |
### Amazon Inspector 政策的使用案例
跨多個帳戶啟動大規模工作負載的組織可以使用此政策,確保所有帳戶立即啟用正確的掃描類型並避免差距。監管或合規驅動的環境可以使用子政策來覆寫或限制 OU 的掃描類型。快速成長環境可以自動化新建立帳戶的啟用,使其始終符合基準。
### 政策繼承和強制執行
了解政策如何繼承和強制執行對於整個組織的有效安全管理至關重要。繼承模型遵循 AWS Organizations 階層,確保可預測且一致的政策應用程式。
+ 連接到根層級的政策適用於所有帳戶
+ 帳戶從其父組織單位繼承政策
+ 多個政策可以套用至單一帳戶
+ 更具體的政策 (更接近階層中的帳戶) 優先
### 政策驗證
建立 Amazon Inspector 政策時,會發生下列驗證:
+ 區域名稱必須是有效的 AWS 區域識別符
+ Amazon Inspector 必須支援區域
+ 政策結構必須遵循 AWS Organizations 政策語法規則
+ `enable_in_regions` 和 `disable_in_regions`清單都必須存在,但可以是空的
### 區域考量事項和支援的區域
Amazon Inspector 政策僅適用於可使用 Amazon Inspector 和 AWS Organizations 受信任存取的區域。了解區域行為可協助您在整個組織的全球足跡中實作有效的安全控制。
+ 政策強制執行會在每個區域中獨立執行
+ 您可以指定要在政策中包含或排除的區域
+ 使用 `ALL_SUPPORTED`選項時,會自動包含新區域
+ 政策僅適用於可使用 Amazon Inspector 的區域
### 分離行為
如果您分離 Amazon Inspector 政策,Amazon Inspector 仍會在先前涵蓋的帳戶中保持啟用狀態。不過,組織結構的未來變更 (例如加入的新帳戶或移至 OU 的現有帳戶) 將不再自動啟用 Amazon Inspector。任何進一步的啟用都必須手動或透過重新連接政策來執行。
## 其他詳細資訊
### 委派的管理員
只能為組織中的 Amazon Inspector 註冊一個委派管理員。在連接 Amazon Inspector 政策之前,您必須在 Amazon Inspector 主控台或透過 APIs 進行設定。
### 先決條件
您必須啟用 AWS Organizations 的受信任存取、註冊 Amazon Inspector 的委派管理員,以及所有帳戶中的服務連結角色。
### 支援的區域
可使用 Amazon Inspector 的所有區域。
# Amazon Inspector 政策入門
設定 Amazon Inspector 政策之前,請確定您了解先決條件和實作需求。本主題會引導您在組織中設定和管理這些政策的程序。
## 了解必要的許可
若要啟用或停用 Amazon Inspector 政策,您必須在 管理帳戶中擁有下列許可:
+ 適用於 `inspector2.amazonaws.com` 的 `organizations:EnableAWSServiceAccess`
+ 適用於 `inspector2.amazonaws.com` 的 `organizations:RegisterDelegatedAdministrator`
+ `organizations:AttachPolicy`, `organizations:CreatePolicy`, `organizations:DescribeEffectivePolicy`
+ `inspector2:Enable` (適用於管理帳戶和委派管理員)
## 開始之前
在實作 Amazon Inspector 政策之前,請檢閱下列要求:
+ 您的帳戶必須是 AWS 組織的一部分
+ 您必須以下列其中一種身分登入:
+ 組織的管理帳戶
+ AWS Organizations 委派管理員具有管理 Amazon Inspector 政策的許可
+ 您必須為組織中的 Amazon Inspector 啟用受信任存取
+ 您必須在組織的根目錄中啟用 Amazon Inspector 政策類型
此外,請確認:
+ 您要套用政策的區域中支援 Amazon Inspector
+ 您的管理帳戶中已設定`AWSServiceRoleForInspectorV2`服務連結角色。若要驗證此角色是否存在,請執行 `aws iam get-role --role-name AWSServiceRoleForInspectorV2`。如果您需要建立此角色,您可以從管理帳戶`aws inspector2 enable`在任何區域中執行 ,或執行 直接建立該角色`aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com`。
## 實作步驟
若要有效實作 Amazon Inspector 政策,請依照下列步驟依序執行。每個步驟可確保適當的組態,並有助於防止設定期間的常見問題。管理帳戶或委派管理員可以透過 AWS Organizations 主控台、 AWS 命令列界面 (AWS CLI) 或 AWS SDKs執行這些步驟。
1. [啟用 Amazon Inspector 的受信任存取](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access)。
1. [為您的組織啟用 Amazon Inspector 政策](enable-policy-type.md)。
1. [建立 Amazon Inspector 政策](orgs_manage_policies_inspector_syntax.md)。
1. [將 Amazon Inspector 政策連接到組織的根、OU 或帳戶](orgs_policies_attach.md)。
1. [檢視套用至 帳戶的合併有效 Amazon Inspector 政策](orgs_manage_policies_effective.md)。
## 建立 Amazon Inspector 政策
### 最低許可
若要建立 Amazon Inspector 政策,您需要下列許可:
+ `organizations:CreatePolicy`
### AWS 管理主控台
**建立 Amazon Inspector 政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 為在 Amazon Inspector 主控台中使用的服務設定委派管理員。
1. 為 Amazon Inspector 設定委派管理員後,請造訪 AWS 組織主控台以設定政策。在 AWS 組織主控台上,造訪 Amazon Inspector 政策頁面,選擇**建立政策**。
1. 在**建立新的 Amazon Inspector 政策**頁面上,輸入**政策名稱**和選用**的政策描述**。
1. (選用) 您可以透過選擇 **Add tag** (新增標籤),然後輸入一個鍵和一個選用值,來將一個或多個標籤新增至政策。將值留空會將其設定為空白字串;而不是 `null`。您可以在政策中連接最多 50 個標籤。如需詳細資訊,請參閱[標記 AWS Organizations 資源考量事項](orgs_tagging.md)。
1. 在 JSON 程式碼方塊中輸入或貼上政策文字。如需 Amazon Inspector 政策語法的相關資訊,以及您可以使用做為起點的範例政策,請參閱 [Amazon Inspector 政策語法和範例](orgs_manage_policies_inspector_syntax.md)。
1. 當政策編輯完成時,請在頁面的右下角選擇 **Create policy** (建立政策)。
# 使用 Amazon Inspector 政策的最佳實務
在整個組織中實作 Amazon Inspector 政策時,遵循已建立的最佳實務有助於確保成功的部署和維護。
## 簡單開始,小小改變
首先,在有限的組織單位 (例如「安全性試驗」) 啟用 Amazon Inspector 政策,以在推展到所有帳戶之前驗證預期的行為。這種增量方法可讓您在更廣泛的部署之前,識別和解決受控環境中的潛在問題。
## 建立檢閱程序
定期監控是否有新帳戶加入您的組織,並確認他們會自動繼承 Amazon Inspector 啟用。每季檢閱政策連接範圍,以確保您的安全涵蓋範圍與您的組織結構和安全需求保持一致。
## 使用 DescribeEffectivePolicy 驗證變更
連接或修改政策後,請`DescribeEffectivePolicy`針對代表性帳戶執行 ,以確保 Amazon Inspector 啟用正確反映。此驗證步驟可協助您確認政策變更在整個組織中具有預期效果。
## 通訊和訓練
教育帳戶擁有者 Amazon Inspector 將自動啟用,問題清單一旦連結至 Amazon Inspector 委派管理員,就會出現在其 Security Hub 或 Amazon Inspector Amazon Inspector 儀表板中。清晰的通訊有助於確保帳戶擁有者了解適當的安全監控,並可以適當地回應問題清單。
## 規劃您的委派管理員策略
將安全或合規帳戶指定為 Amazon Inspector 的委派管理員。從 Amazon Inspector 主控台或透過 AWS Organizations APIs設定委派管理員。這種方法可在整個組織中實現一致的安全監控和管理。
## 處理區域考量
在工作負載執行的區域中啟用 Amazon Inspector。在判斷哪些區域需要 Amazon Inspector 涵蓋範圍時,請考慮您的合規要求和營運需求。記錄您的區域特定需求,以在整個基礎設施中維持一致的安全監控。
# Amazon Inspector 政策語法和範例
Amazon Inspector 政策遵循標準化 JSON 語法,定義如何在您的組織中啟用和設定 Amazon Inspector。Amazon Inspector 政策是根據 AWS Organizations management-policy 語法建構的 JSON 文件。它定義哪些組織實體會自動啟用 Amazon Inspector。
## 基本政策結構
Amazon Inspector 政策使用此基本結構:
```
{
"inspector": {
"enablement": {
"ec2_scanning": {
"enable_in_regions": {
"@@assign": ["us-east-1", "us-west-2"]
},
"disable_in_regions": {
"@@assign": ["eu-west-1"]
}
}
}
}
}
```
## 政策元件
Amazon Inspector 政策包含下列重要元件:
`inspector`
Amazon Inspector 政策文件的最上層金鑰,所有 Amazon Inspector 政策都需要此金鑰。
`enablement`
定義如何在整個組織中啟用 Amazon Inspector,並包含掃描類型組態。
`Regions (Array of Strings)`
指定應自動啟用 Amazon Inspector 的區域。
## Amazon Inspector 政策範例
下列範例示範常見的 Amazon Inspector 政策組態。
### 範例 1 – 啟用整個組織的 Amazon Inspector
下列範例`us-west-2`會在 中為組織根目錄中的所有帳戶啟用 `us-east-1` 和 中的 Amazon Inspector。
建立檔案 `inspector-policy-enable.json`:
```
{
"inspector": {
"enablement": {
"lambda_standard_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"lambda_code_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
}
},
"ec2_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
},
"ecr_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
},
"code_repository_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
}
}
}
}
```
連接到根目錄時,組織中的所有帳戶會自動啟用 Amazon Inspector,Amazon Inspector 委派管理員可以使用其掃描調查結果。
建立並連接政策:
```
POLICY_ID=$(aws organizations create-policy \
--content file://inspector-policy-enable.json \
--name InspectorOrgPolicy \
--type INSPECTOR_POLICY \
--description "Inspector organization policy to enable all resources in IAD and PDX." \
--query 'Policy.PolicySummary.Id' \
--output text)
aws organizations attach-policy --policy-id $POLICY_ID --target-id
```
加入組織的任何新帳戶會自動繼承啟用。
如果分離,現有帳戶會保持啟用狀態,但未來帳戶不會自動啟用:
```
aws organizations detach-policy --policy-id $POLICY_ID --target-id
```
### 範例 2 – 針對特定 OU 啟用 Amazon Inspector
建立檔案 `inspector-policy-eu-west-1.json`:
```
{
"inspector": {
"enablement": {
"lambda_standard_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
},
"lambda_code_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
}
},
"ec2_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
},
"ecr_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
},
"code_repository_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
}
}
}
}
```
將此附加至 OU,以確保 中的所有生產帳戶`eu-west-1`都會啟用 Amazon Inspector 並連結至 Amazon Inspector 委派管理員:
```
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)"
aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
```
OU 以外的帳戶不受影響。