Amazon Inspector y AWS Organizations

Amazon Inspector es un servicio automatizado de administración de vulnerabilidades que analiza continuamente Amazon EC2 y las cargas de trabajo de contenedores en busca de vulnerabilidades de software y exposición no deseada de la red.

Con Amazon Inspector puede administrar varias cuentas asociadas a través de AWS Organizations simplemente al delegar una cuenta de administrador para Amazon Inspector. El administrador delegado administra Amazon Inspector para la organización y recibe permisos especiales para realizar tareas en nombre de su organización, tales como:

Para obtener más información, consulte Administración de varias cuentas con AWS Organizations en la Guía del usuario de Amazon Inspector.

Utilice la siguiente información para facilitar la integración de Amazon Inspector con AWS Organizations.

Roles vinculados al servicio creados al habilitar la integración

El siguiente rol vinculado al servicio se crea automáticamente en la cuenta de administración de su organización cuando habilita el acceso de confianza. Este rol permite a Amazon Inspector realizar operaciones soportadas en las cuentas de su organización.

Puede eliminar o modificar este rol sólo si desactiva el acceso de confianza entre Amazon Inspector y Organizations, o si elimina la cuenta de miembro de la organización.

Para obtener más información, consulte Uso de roles vinculados a servicios de Amazon Inspector en la Guía del usuario de Amazon Inspector.

Los principales de servicios utilizados por los roles vinculados a servicios

El rol vinculado al servicio de la sección anterior solo puede ser asumido por las entidades de servicio autorizadas por las relaciones de confianza definidas para el rol. Los roles vinculados al servicio utilizados por Amazon Inspector permiten el acceso a los siguientes entidades de servicio:

Para habilitar el acceso de confianza con Amazon Inspector

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

Amazon Inspector requiere acceso de confianza para AWS Organizations antes de que pueda designar una cuenta de miembro para que sea el administrador delegado de este servicio para su organización.

Al designar un administrador delegado para Amazon Inspector, Amazon Inspector habilita automáticamente el acceso de confianza a Amazon Inspector para su organización.

Sin embargo, si desea configurar una cuenta de administrador delegada mediante el AWS CLI o una de las AWS SDK, debe llamar de forma explícita a la operación EnableAWSServiceAccess y proporcionar la entidad principal de servicio como parámetro. A continuación, puede llamar a EnableDelegatedAdminAccount para delegar la cuenta de administrador del Inspector.

Puede habilitar el acceso de confianza ejecutando el comando de Organizations AWS CLI, o llamando a una operación API de Organizations en uno de los SDK de AWS.

AWS CLI, AWS API

Para habilitar el acceso de confianza mediante Organizations CLI/SDK

Puede utilizar los siguientes comandos de la AWS CLI o las operaciones de API para habilitar el acceso del servicio de confianza:

• AWS CLI: enable-aws-service-access

  Puede ejecutar el siguiente comando para habilitar Amazon Inspector como servicio de confianza con Organizations.

  $ aws organizations enable-aws-service-access \
      --service-principal inspector2.amazonaws.com

  Este comando no genera ninguna salida si se realiza correctamente.

• API de AWS: EnableAWSServiceAccess

Para desactivar el acceso de confianza con Amazon Inspector

Para obtener información acerca de los permisos necesarios para deshabilitar el acceso de confianza, consulte Permisos necesarios para deshabilitar el acceso de confianza.

Sólo un administrador de la cuenta de administración de AWS Organizations puede desactivar el acceso de confianza con Amazon Inspector.

Solo puede deshabilitar el acceso de confianza mediante las herramientas de Organizations.

Puede deshabilitar el acceso de confianza ejecutando un comando de Organizations AWS CLI, o bien llamando a una operación de API de Organizations en uno de los AWS SDK.

AWS CLI, AWS API

Para deshabilitar el acceso de confianza mediante Organizations CLI/SDK

Puede utilizar los siguientes comandos de la AWS CLI o las operaciones de API para deshabilitar el acceso del servicio de confianza:

• AWS CLI: disable-aws-service-access

  Puede ejecutar el siguiente comando para desactivar Amazon Inspector como servicio de confianza con Organizations.

  $ aws organizations disable-aws-service-access \
      --service-principal inspector2.amazonaws.com

  Este comando no genera ninguna salida si se realiza correctamente.

• API de AWS: DisableAWSServiceAccess

Habilitación de una cuenta de administrador delegado para Amazon Inspector

Con Amazon Inspector puede administrar varias cuentas de una organización mediante un administrador delegado con el servicio AWS Organizations.

La cuenta de AWS Organizations de administración designa una cuenta dentro de la organización como cuenta de administrador delegado de Amazon Inspector. El administrador delegado administra Amazon Inspector para la organización y se le conceden permisos especiales para realizar tareas en nombre de su organización, tales como: habilitar o desactivar los escaneos para las cuentas de los miembros, ver los datos de búsqueda agregados de toda la organización y crear y administrar las reglas de supresión

Para obtener información sobre cómo un administrador delegado administra las cuentas de la organización, consulte Descripción de la relación entre las cuentas de administrador y de miembro en la Guía del usuario de Amazon Inspector.

Sólo un administrador de la cuenta de administración de la organización puede configurar un administrador delegado para Amazon Inspector.

Puede especificar una cuenta de administrador delegada desde la consola o la API de Amazon Inspector, o utilizando la operación de la CLI o el SDK de Organizations.

Para configurar un administrador delegado mediante la consola de Amazon Inspector, consulte Paso 1: Habilitar Amazon Inspector - Entorno multicuenta en la Guía del usuario de Amazon Inspector.

AWS CLI, AWS API

Si desea configurar una cuenta de administrador delegada mediante el CLI AWS o uno de los SDK de AWS, puede usar los siguientes comandos:

• AWS CLI:

  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal inspector2.amazonaws.com

• AWS SDK: llame a la operación RegisterDelegatedAdministrator de Organizations y al número de ID de la cuenta de miembro e identifique la entidad principal del servicio de cuenta account.amazonaws.com como parámetros.

Desactivación de un administrador delegado para Amazon Inspector

Sólo un administrador de la cuenta de administración AWS Organizations puede eliminar una cuenta de administrador delegado de la organización.

Puede eliminar el administrador delegado mediante la consola o la API de Amazon Inspector, o bien mediante la operación del SDK o de la CLI DeregisterDelegatedAdministrator de las Organizations. Para quitar un administrador delegado mediante la consola de Amazon Inspector, consulte Eliminación de un administrador delegado en la Guía del usuario de Amazon Inspector.