Amazon Inspector und AWS Organizations - AWS Organizations

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Inspector und AWS Organizations

Amazon Inspector ist ein automatisierter Schwachstellen-Management-Service, der Amazon EC2 und Container-Workloads kontinuierlich auf Softwareschwachstellen und unbeabsichtigte Netzwerkfreigabe durchsucht.

Mit Amazon Inspector können Sie mehrere Konten verwalten, die über AWS Organizations verknüpft sind, indem Sie einfach ein Administratorkonto für Amazon Inspector delegieren. Der delegierte Administrator verwaltet Amazon Inspector für die Organisation und erhält spezielle Berechtigungen zur Ausführung von Aufgaben im Auftrag Ihrer Organisation wie:

  • Aktivieren oder Deaktivieren von Scans nach Mitgliedskonten

  • Anzeigen aggregierter Suchdaten aus der gesamten Organisation

  • Unterdrückungsregeln erstellen und verwalten

Weitere Informationen finden Sie unter Verwalten mehrerer Konten mit AWS Organizations im Amazon-Inspector-Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, um Amazon Inspector mit AWS Organizations zu integrieren.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgende serviceverknüpfte Rolle wird automatisch im Verwaltungskonto Ihrer Organisation erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren. Mit dieser Rolle kann Amazon Inspector unterstützte Vorgänge innerhalb der Konten Ihrer Organisation in Ihrer Organisation ausführen.

Sie können diese Rolle nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen Amazon Inspector und Organizations deaktivieren oder das Mitgliedskonto aus der Organisation entfernen.

  • AWSServiceRoleForAmazonInspector2

Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon Inspector im Benutzerhandbuch für Amazon Inspector.

Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden

Die serviceverknüpfte Rolle im vorherigen Abschnitt kann nur von den Serviceprinzipalen übernommen werden, die durch die für die Rolle definierten Vertrauensstellungen autorisiert sind. Die von Amazon Inspector verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Serviceprinzipale:

  • inspector2.amazonaws.com

So aktivieren Sie den vertrauenswürdigen Zugriff mit Amazon Inspector

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Amazon Inspector erfordert vertrauenswürdigen Zugriff auf AWS Organizations, bevor Sie ein Mitgliedskonto als delegierten Administrator für diesen Service für Ihre Organisation festlegen können.

Wenn Sie einen delegierten Administrator für Amazon Inspector festlegen, aktiviert Amazon Inspector automatisch den vertrauenswürdigen Zugriff für Amazon Inspector in Ihrer Organisation.

Wenn Sie jedoch ein delegiertes Administratorkonto mit AWS-CLI oder einem der AWS-SDKs konfigurieren möchten, müssen Sie die Operation EnableAWSServiceAccess explizit aufrufen und den Serviceprinzipal als Parameter angeben. Dann kannst du EnableDelegatedAdminAccount anrufen, um das Inspector-Administratorkonto zu delegieren.

Sie können den vertrauenswürdigen Zugriff aktivieren, indem Sie einen Organizations-AWS CLI-Befehl ausführen oder einen Organizations-API-Vorgang in einem der AWS-SDKs aufrufen.

AWS CLI, AWS API
So aktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Mit den folgenden AWS CLI-Befehlen oder API-Operationen können Sie den vertrauenswürdigen Servicezugriff aktivieren:

  • AWS CLI: enable-aws-service-access

    Sie können den folgenden Befehl ausführen, um Amazon Inspector als vertrauenswürdigen Service für Organizations zu aktivieren.

    $ aws organizations enable-aws-service-access \ --service-principal inspector2.amazonaws.com

    Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

  • AWS-API: EnableAWSServiceAccess

Anmerkung

Wenn Sie das EnableAWSServiceAccess-API verwenden, müssen Sie auch EnableDelegatedAdminAccount anrufen, um das Inspector-Administratorkonto zu delegieren.

So deaktivieren Sie den vertrauenswürdigen Zugriff mit Amazon Inspector

Informationen zu den Berechtigungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs.

Nur ein Administrator im AWS Organizations-Verwaltungskonto kann den vertrauenswürdigen Zugriff mit Amazon Inspector deaktivieren.

Sie können den vertrauenswürdigen Zugriff nur über die Tools von Organizations deaktivieren.

Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie einen Organizations-AWS CLI-Befehl ausführen oder einen Organizations-API-Vorgang in einem der AWS-SDKs aufrufen.

AWS CLI, AWS API
So deaktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Mit den folgenden AWS CLI-Befehlen oder API-Operationen können Sie den vertrauenswürdigen Servicezugriff deaktivieren:

  • AWS CLI: disable-aws-service-access

    Sie können den folgenden Befehl ausführen, um Amazon Inspector als vertrauenswürdigen Service für Organizations zu deaktivieren.

    $ aws organizations disable-aws-service-access \ --service-principal inspector2.amazonaws.com

    Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

  • AWS-API: DisableAWSServiceAccess

Aktivieren eines delegierten Administratorkontos für Amazon Inspector

Mit Amazon Inspector können Sie mehrere Konten in einer Organisation mit einem delegierten Administrator mit AWS Organizations-Service verwalten.

Das AWS Organizations-Verwaltungskonto bezeichnet ein Konto innerhalb der Organisation als delegiertes Administratorkonto für Amazon Inspector. Der delegierte Administrator verwaltet Amazon Inspector für die Organisation und erhält spezielle Berechtigungen zum Ausführen von Aufgaben im Auftrag Ihrer Organisation, z. B.: Aktivieren oder Deaktivieren von Scans für Mitgliedskonten, Anzeigen aggregierter Suchdaten aus der gesamten Organisation sowie Erstellen und Verwalten von Unterdrückungsregeln

Informationen darüber, wie ein delegierter Administrator Organisationskonten verwaltet, finden Sie unter Die Beziehung zwischen Administrator- und Mitgliedskonten verstehen im Amazon-Inspector-Benutzerhandbuch.

Nur ein Administrator im Organisationsverwaltungskonto kann einen delegierten Administrator für Amazon Inspector konfigurieren.

Sie können ein delegiertes Administratorkonto über die Amazon-Inspector-Konsole oder API oder mithilfe der Organizations-CLI- oder SDK-Operation angeben.

Mindestberechtigungen

Nur ein Benutzer oder eine Rolle im Organizations-Verwaltungskonto kann ein Mitgliedskonto als delegierter Administrator für Amazon Inspector in der Organisation konfigurieren.

Informationen zum Konfigurieren eines delegierten Administrators über die Amazon-Inspector-Konsole finden Sie unter Schritt 1: Amazon Inspector aktivieren – Umgebung für mehrere Konten im Amazon-Inspector-Benutzerhandbuch.

Anmerkung

Sie müssen in jeder Region, in der Sie Amazon Inspector verwenden, inspector2:enableDelegatedAdminAccount anrufen.

AWS CLI, AWS API

Wenn Sie ein delegiertes Administratorkonto mit der AWS CLI oder einem der AWS SDKs konfigurieren möchten, können Sie die folgenden Befehle verwenden:

  • AWS CLI:

    $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal inspector2.amazonaws.com
  • AWS SDK: Rufen Sie die Organizations-Operation RegisterDelegatedAdministrator und die ID-Nummer des Mitgliedskontos auf und identifizieren Sie den Kontoservice-Prinzipal account.amazonaws.com als Parameter.

Deaktivieren eines delegierten Administrators für Amazon Inspector

Nur ein Administrator im AWS Organizations-Verwaltungskonto kann ein delegiertes Administratorkonto aus der Organisation entfernen.

Sie können ein delegiertes Administratorkonto entweder über die Amazon-Inspector-Konsole oder API oder mithilfe der Organizations-DeregisterDelegatedAdministratorCLI- oder SDK-Operation entfernen. Informationen zum Entfernen eines delegierten Administrators über die Amazon-Inspector-Konsole finden Sie unter So entfernen Sie einen delegierten Administrator im Amazon-Inspector-Benutzerhandbuch.