Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Amazon Inspector et AWS Organizations
Amazon Inspector est un service automatisé de gestion des vulnérabilités qui analyse continuellement les charges de travail Amazon EC2 et de conteneur pour détecter les vulnérabilités logicielles et l'exposition involontaire au réseau.
À l'aide d'Amazon Inspector, vous pouvez gérer plusieurs comptes associés via AWS Organizations en déléguant simplement un compte administrateur pour Amazon Inspector. L'administrateur délégué gère Amazon Inspector pour l'organisation et dispose d'autorisations spéciales pour effectuer des tâches pour le compte de votre organisation, par exemple :
-
Activer ou désactiver les analyses pour les comptes membres
-
Afficher les données de résultats agrégées de l'ensemble de l'organisation
-
Créer et gérer les règles de suppression
Pour plus d’informations, consultez Gestion de plusieurs comptes avec AWS Organizations dans le Guide de l'utilisateur Amazon Inspector.
Utilisez les informations suivantes pour vous aider à intégrer Amazon Inspector à AWS Organizations.
Création de rôles liés à un service lors de l'activation de l'intégration
Le rôle lié à un service suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Amazon Inspector d'effectuer les opérations prises en charge dans les comptes de votre organisation.
Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Amazon Inspector et Organizations, ou si vous supprimez le compte membre de l'organisation.
-
AWSServiceRoleForAmazonInspector2
Pour plus d'informations, consultez Utilisation des rôles liés à un service avec Amazon Inspector dans le Guide de l'utilisateur Amazon Inspector.
Principaux de service utilisés par les rôles liés à un service
Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Amazon Inspector accordent l'accès aux principaux de service suivants :
-
inspector2.amazonaws.com
Pour activer l'accès approuvé avec Amazon Inspector
Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez Autorisations requises pour activer l'accès approuvé.
Amazon Inspector a besoin d'un accès approuvé à AWS Organizations avant que vous puissiez désigner un compte membre comme administrateur délégué de ce service pour votre organisation.
Lorsque vous désignez un administrateur délégué pour Amazon Inspector, il active automatiquement l'accès approuvé pour Amazon Inspector pour votre organisation.
Toutefois, si vous souhaitez configurer un compte administrateur délégué à l'aide de la CLI AWS ou de l'un des SDK AWS, vous devez appeler explicitement l'opération EnableAWSServiceAccess
et fournir en paramètre le principal de service. Vous pouvez ensuite appeler EnableDelegatedAdminAccount
pour déléguer le compte administrateur Inspector.
Vous pouvez activer l'accès approuvé en exécutant une commande de AWS CLI Organizations ou en appelant une opération d'API Organizations dans l'un des SDK AWS.
Note
Si vous utilisez l'API EnableAWSServiceAccess
, vous devez également appeler EnableDelegatedAdminAccount
pour déléguer le compte administrateur Inspector.
Pour désactiver l'accès approuvé avec Amazon Inspector
Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez Autorisations requises pour désactiver l'accès approuvé.
Seul un administrateur du compte de gestion AWS Organizations peut désactiver l'accès approuvé avec Amazon Inspector.
Vous pouvez désactiver l'accès approuvé en utilisant uniquement les outils d'Organizations.
Vous pouvez désactiver l'accès approuvé en exécutant une commande de AWS CLI Organizations ou en appelant une opération d'API Organizations dans l'un des SDK AWS.
Activation d'un compte administrateur délégué pour Amazon Inspector
Grâce à Amazon Inspector, vous pouvez gérer plusieurs comptes dans une organisation à l'aide d'un administrateur délégué avec le service AWS Organizations.
Le compte de gestion AWS Organizations désigne un compte de l'organisation comme compte administrateur délégué d'Amazon Inspector. L'administrateur délégué gère Amazon Inspector pour l'organisation et dispose d'autorisations spéciales pour effectuer des tâches pour le compte de votre organisation, par exemple : activer ou désactiver les analyses des comptes membres, afficher les données de résultats agrégées de l'ensemble de l'organisation, puis créer et gérer des règles de suppression
Pour plus d'informations sur la manière dont un administrateur délégué gère les comptes d'organisation, consultez Présentation de la relation entre les comptes administrateur et membres dans le Guide de l'utilisateur Amazon Inspector.
Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pour Amazon Inspector.
Vous pouvez spécifier un compte d'administrateur délégué à partir de l’API ou de la console Amazon Inspector ou en utilisant la CLI Organizations ou l'opération SDK.
Autorisations minimales
Seuls un utilisateur ou un rôle du compte de gestion d'Organizations peuvent configurer un compte membre en tant qu'administrateur délégué d'Amazon Inspector dans l'organisation.
Pour configurer un administrateur délégué à l'aide de la console Amazon Inspector, consultez Étape 1 : Activer Amazon Inspector - Environnement à plusieurs-comptes dans le Guide de l'utilisateur Amazon Inspector.
Note
Vous devez appeler inspector2:enableDelegatedAdminAccount
dans chaque région où vous utilisez Amazon Inspector.
Désactivation d'un administrateur délégué pour Amazon Inspector
Seul un administrateur du compte de gestion AWS Organizations peut supprimer un compte administrateur délégué de l’organisation.
Vous pouvez supprimer l'administrateur délégué à l'aide de l’API ou de la console Amazon Inspector, ou à l'aide de la CLI DeregisterDelegatedAdministrator
Organizations ou de l’opération SDK. Pour supprimer un administrateur délégué à l'aide de la console Amazon Inspector, consultez Suppression d’un administrateur délégué dans le Guide de l'utilisateur Amazon Inspector.