Amazon Inspector et AWS Organizations - AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon Inspector et AWS Organizations

Amazon Inspector est un service automatisé de gestion des vulnérabilités qui analyse continuellement les charges de travail Amazon EC2 et de conteneur pour détecter les vulnérabilités logicielles et l'exposition involontaire au réseau.

À l'aide d'Amazon Inspector, vous pouvez gérer plusieurs comptes associés via AWS Organizations en déléguant simplement un compte administrateur pour Amazon Inspector. L'administrateur délégué gère Amazon Inspector pour l'organisation et dispose d'autorisations spéciales pour effectuer des tâches pour le compte de votre organisation, par exemple :

  • Activer ou désactiver les analyses pour les comptes membres

  • Afficher les données de résultats agrégées de l'ensemble de l'organisation

  • Créer et gérer les règles de suppression

Pour plus d’informations, consultez Gestion de plusieurs comptes avec AWS Organizations dans le Guide de l'utilisateur Amazon Inspector.

Utilisez les informations suivantes pour vous aider à intégrer Amazon Inspector à AWS Organizations.

Création de rôles liés à un service lors de l'activation de l'intégration

Le rôle lié à un service suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Amazon Inspector d'effectuer les opérations prises en charge dans les comptes de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Amazon Inspector et Organizations, ou si vous supprimez le compte membre de l'organisation.

  • AWSServiceRoleForAmazonInspector2

Pour plus d'informations, consultez Utilisation des rôles liés à un service avec Amazon Inspector dans le Guide de l'utilisateur Amazon Inspector.

Principaux de service utilisés par les rôles liés à un service

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Amazon Inspector accordent l'accès aux principaux de service suivants :

  • inspector2.amazonaws.com

Pour activer l'accès approuvé avec Amazon Inspector

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez Autorisations requises pour activer l'accès approuvé.

Amazon Inspector a besoin d'un accès approuvé à AWS Organizations avant que vous puissiez désigner un compte membre comme administrateur délégué de ce service pour votre organisation.

Lorsque vous désignez un administrateur délégué pour Amazon Inspector, il active automatiquement l'accès approuvé pour Amazon Inspector pour votre organisation.

Toutefois, si vous souhaitez configurer un compte administrateur délégué à l'aide de la CLI AWS ou de l'un des SDK AWS, vous devez appeler explicitement l'opération EnableAWSServiceAccess et fournir en paramètre le principal de service. Vous pouvez ensuite appeler EnableDelegatedAdminAccount pour déléguer le compte administrateur Inspector.

Vous pouvez activer l'accès approuvé en exécutant une commande de AWS CLI Organizations ou en appelant une opération d'API Organizations dans l'un des SDK AWS.

AWS CLI, AWS API
Pour activer l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations

Vous pouvez utiliser les commandes de AWS CLI ou les opérations d'API suivantes pour activer l'accès approuvé aux services :

  • AWS CLI : enable-aws-service-access

    Vous pouvez exécuter la commande suivante pour activer Amazon Inspector en tant que service approuvé avec Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal inspector2.amazonaws.com

    Cette commande ne produit aucune sortie lorsqu'elle réussit.

  • API AWS : EnableAWSServiceAccess

Note

Si vous utilisez l'API EnableAWSServiceAccess, vous devez également appeler EnableDelegatedAdminAccount pour déléguer le compte administrateur Inspector.

Pour désactiver l'accès approuvé avec Amazon Inspector

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez Autorisations requises pour désactiver l'accès approuvé.

Seul un administrateur du compte de gestion AWS Organizations peut désactiver l'accès approuvé avec Amazon Inspector.

Vous pouvez désactiver l'accès approuvé en utilisant uniquement les outils d'Organizations.

Vous pouvez désactiver l'accès approuvé en exécutant une commande de AWS CLI Organizations ou en appelant une opération d'API Organizations dans l'un des SDK AWS.

AWS CLI, AWS API
Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations

Vous pouvez utiliser les commandes de AWS CLI ou les opérations d'API suivantes pour désactiver l'accès aux services approuvés :

  • AWS CLI : disable-aws-service-access

    Vous pouvez exécuter la commande suivante pour désactiver Amazon Inspector en tant que service approuvé avec Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal inspector2.amazonaws.com

    Cette commande ne produit aucune sortie lorsqu'elle réussit.

  • API AWS : DisableAWSServiceAccess

Activation d'un compte administrateur délégué pour Amazon Inspector

Grâce à Amazon Inspector, vous pouvez gérer plusieurs comptes dans une organisation à l'aide d'un administrateur délégué avec le service AWS Organizations.

Le compte de gestion AWS Organizations désigne un compte de l'organisation comme compte administrateur délégué d'Amazon Inspector. L'administrateur délégué gère Amazon Inspector pour l'organisation et dispose d'autorisations spéciales pour effectuer des tâches pour le compte de votre organisation, par exemple : activer ou désactiver les analyses des comptes membres, afficher les données de résultats agrégées de l'ensemble de l'organisation, puis créer et gérer des règles de suppression

Pour plus d'informations sur la manière dont un administrateur délégué gère les comptes d'organisation, consultez Présentation de la relation entre les comptes administrateur et membres dans le Guide de l'utilisateur Amazon Inspector.

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour Amazon Inspector.

Vous pouvez spécifier un compte d'administrateur délégué à partir de l’API ou de la console Amazon Inspector ou en utilisant la CLI Organizations ou l'opération SDK.

Autorisations minimales

Seuls un utilisateur ou un rôle du compte de gestion d'Organizations peuvent configurer un compte membre en tant qu'administrateur délégué d'Amazon Inspector dans l'organisation.

Pour configurer un administrateur délégué à l'aide de la console Amazon Inspector, consultez Étape 1 : Activer Amazon Inspector - Environnement à plusieurs-comptes dans le Guide de l'utilisateur Amazon Inspector.

Note

Vous devez appeler inspector2:enableDelegatedAdminAccount dans chaque région où vous utilisez Amazon Inspector.

AWS CLI, AWS API

Si vous souhaitez configurer un compte administrateur délégué à l'aide de la CLI d'AWS ou de l'un des SDK AWS, vous pouvez utiliser les commandes suivantes :

  • AWS CLI:

    $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal inspector2.amazonaws.com
  • SDK AWS : appelez l'opération Organizations RegisterDelegatedAdministrator et le numéro d'identification du compte membre et identifiez le principal du service de compte account.amazonaws.com en tant que paramètres.

Désactivation d'un administrateur délégué pour Amazon Inspector

Seul un administrateur du compte de gestion AWS Organizations peut supprimer un compte administrateur délégué de l’organisation.

Vous pouvez supprimer l'administrateur délégué à l'aide de l’API ou de la console Amazon Inspector, ou à l'aide de la CLI DeregisterDelegatedAdministrator Organizations ou de l’opération SDK. Pour supprimer un administrateur délégué à l'aide de la console Amazon Inspector, consultez Suppression d’un administrateur délégué dans le Guide de l'utilisateur Amazon Inspector.