本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Inspector 和 AWS Organizations
<a name="services-that-can-integrate-inspector2"></a>

Amazon Inspector 是一項自動化漏洞管理服務，可持續掃描 Amazon EC2 和容器工作負載，以尋找軟體漏洞和意外的網路暴露。

使用 Amazon Inspector，您只需委派 Amazon Inspector 的管理員帳戶 AWS Organizations ，即可管理透過 建立關聯的多個帳戶。委派管理員管理組織的 Amazon Inspector，並被授予代表組織執行任務所需的特殊許可，例如：
+ 啟用或停用成員帳戶掃描
+ 檢視整個組織的彙總問題清單資料
+ 建立和管理隱藏規則

如需詳細資訊，請參閱《Amazon Inspector 使用者指南》**中的[使用 AWS Organizations管理多個帳戶](https://docs.aws.amazon.com//inspector/latest/user/managing-multiple-accounts.html)。

使用以下資訊來協助您整合 Amazon Inspector 與 AWS Organizations。

## 當您啟用整合時，即會建立服務連結角色。
<a name="integrate-enable-slr-inspector2"></a>

當您啟用受信任存取時，會在您組織的管理帳戶中自動建立以下[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。此角色允許 Amazon Inspector 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Amazon Inspector 和 Organizations 之間的受信任存取，或者從組織中移除成員帳戶時，才能刪除或修改此角色。
+ `AWSServiceRoleForAmazonInspector2`

如需詳細資訊，請參閱《Amazon Inspector 使用者指南》**中的[將服務連結角色用於 Amazon Inspector](https://docs.aws.amazon.com//inspector/latest/user/using-service-linked-roles.html)。

## 服務連結角色所使用的服務委託人
<a name="integrate-enable-svcprin-inspector2"></a>

上一節中的服務連結角色，只能由依據角色定義的信任關係所授權的服務委託人來假設。Amazon Inspector 使用的服務連結角色會將存取權授予下列服務委託人：
+ `inspector2.amazonaws.com`

## 使用 Amazon Inspector 啟用受信任存取
<a name="integrate-enable-ta-inspector2"></a>

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

Amazon Inspector 需要 的受信任存取權 AWS Organizations ，才能將成員帳戶指定為組織的此服務委派管理員。

當您指定 Amazon Inspector 的委派管理員時，Amazon Inspector 會自動啟用組織中 Amazon Inspector 的受信任存取。

 不過，如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，則必須明確呼叫 `EnableAWSServiceAccess`操作，並提供 服務主體做為參數。然後，您可以呼叫 `EnableDelegatedAdminAccount` 以委派 Inspector 管理員帳戶。

您可以透過執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，讓 Amazon Inspector 成為 Organizations 的受信任服務。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal inspector2.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

**注意**  
如果您使用 `EnableAWSServiceAccess` API，您還需要呼叫 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_EnableDelegatedAdminAccount.html) 以委派 Inspector 管理員帳戶。

## 使用 Amazon Inspector 來停用受信任存取
<a name="integrate-disable-ta-inspector2"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

只有 AWS Organizations 管理帳戶中的管理員可以使用 Amazon Inspector 停用受信任存取。

您只能使用 Organizations 工具停用受信任存取。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 Amazon Inspector 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal inspector2.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## 啟用 Amazon Inspector 的委派管理員帳戶
<a name="integrate-enable-da-inspector2"></a>

透過 Amazon Inspector，您可以使用委派管理員 AWS Organizations 與服務來管理組織中的多個帳戶。

 AWS Organizations 管理帳戶會將組織內的帳戶指定為 Amazon Inspector 的委派管理員帳戶。委派管理員管理組織的 Amazon Inspector，並被授予代表組織執行任務所需的特殊許可，例如：啟用或停用成員帳戶掃描、檢視整個組織的彙總問題清單資料，以及建立和管理隱藏規則

 如需有關委派管理員如何管理組織帳戶的資訊，請參閱《Amazon Inspector 使用者指南》**中的[了解管理員和成員帳戶之間的關係](https://docs.aws.amazon.com//inspector/latest/user/admin-member-relationship.html)。

只有組織管理帳戶中的管理員可以設定 Amazon Inspector 的委派管理員。

您可以從 Amazon Inspector 主控台或 API，或使用 Organizations CLI 或 SDK 操作，指定委派管理員帳戶。

**最低許可**  
只有 Organizations 管理帳戶中的使用者或角色，才能將成員帳戶設定為組織中 Amazon Inspector 的委派管理員

若要使用 Amazon Inspector 主控台設定委派管理員，請參閱《Amazon Inspector 使用者指南》**中的[步驟 1：啟用 Amazon Inspector - 多帳戶環境](https://docs.aws.amazon.com//inspector/latest/user/getting_started_tutorial.html#tutorial_enable_scans)。

**注意**  
您必須在您使用 Amazon Inspector 的每個區域中呼叫 `inspector2:enableDelegatedAdminAccount`。

------
#### [ AWS CLI, AWS API ]

如果您想要使用 AWS CLI 或其中一個 AWS SDKs 設定委派管理員帳戶，您可以使用下列命令：
+ AWS CLI: 

  ```
  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal inspector2.amazonaws.com
  ```
+ AWS SDK：呼叫 Organizations `RegisterDelegatedAdministrator`操作和成員帳戶的 ID 號碼，並將帳戶服務主體識別`account.amazonaws.com`為參數。

------

## 停用 Amazon Inspector 的委派管理員
<a name="integrate-disable-da-inspector2"></a>

只有 AWS Organizations 管理帳戶中的管理員可以從組織中移除委派的管理員帳戶。

您可以使用 Amazon Inspector 主控台或 API，或使用 Organizations `DeregisterDelegatedAdministrator` CLI 或 SDK 操作，移除委派管理員。若要使用 Amazon Inspector 主控台移除委派管理員，請參閱《Amazon Inspector 使用者指南》**中的[移除委派管理員](https://docs.aws.amazon.com//inspector/latest/user/remove-delegated-admin.html)。