Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Amazon Inspector e AWS Organizations
Amazon Inspector è un servizio di gestione delle vulnerabilità automatizzato che scansiona continuamente i carichi di lavoro Amazon EC2 e di container alla ricerca di vulnerabilità software e esposizione alla rete non intenzionale.
Grazie ad Amazon Inspector è possibile gestire più account associati tramite AWS Organizations semplicemente delegando un account amministratore per Amazon Inspector. L'amministratore delegato gestisce Amazon Inspector per l'organizzazione e vengono concesse autorizzazioni speciali per eseguire attività per conto dell'organizzazione come:
-
Abilitazione o disabilitazione delle scansioni per gli account membri
-
Visualizzazione dei dati di ricerca aggregati dall'intera organizzazione
-
Creazione e gestione di regole di soppressione
Per ulteriori informazioni, consultare Gestione di più account con AWS Organizations nella Guida per l'utente di Amazon Inspector.
Utilizza le seguenti informazioni per facilitare l'integrazione di Amazon Inspector con AWS Organizations.
Ruoli collegati ai servizi creato quando è stata abilitata l'integrazione
Il seguente ruolo collegato ai servizi viene creato automaticamente nell'account di gestione dell'organizzazione quando abiliti l'accesso attendibile. Tale ruolo consente a Amazon Inspector di eseguire le operazioni supportate all'interno degli account dell'organizzazione.
È possibile eliminare o modificare questo ruolo solo se si disabilita l'accesso attendibile tra Amazon Inspector e Organizations o se si rimuove l'account membro dall'organizzazione.
-
AWSServiceRoleForAmazonInspector2
Per ulteriori informazioni, consultare Utilizzo di ruoli collegati ai servizi con Amazon Inspector nella Guida per l'utente di Amazon Inspector.
Principali del servizio utilizzati dai ruoli collegati ai servizi
Il ruolo collegato ai servizi nella sezione precedente può essere assunto solo dai principali del servizio autorizzati dalle relazioni di attendibilità definite per il ruolo. I ruoli collegati ai servizi utilizzati da Amazon Inspector concedono l'accesso ai seguenti principali del servizio:
-
inspector2.amazonaws.com
Abilitazione dell'accesso attendibile con Amazon Inspector
Per informazioni sulle autorizzazioni necessarie per abilitare l'accesso attendibile, consulta Autorizzazioni necessarie per abilitare l'accesso sicuro.
Amazon Inspector richiede l'accesso attendibile a AWS Organizations prima di designare un account membro come amministratore delegato per questo servizio per l'organizzazione.
Quando si designa un amministratore delegato per Amazon Inspector, Amazon Inspector abilita automaticamente l'accesso attendibile per Amazon Inspector per l'organizzazione.
Tuttavia, se si desidera configurare un account da amministratore delegato utilizzando AWS CLI o uno degli SDK AWS, è necessario chiamare esplicitamente l'operazione EnableAWSServiceAccess
e fornire il principale del servizio come parametro. Quindi è possibile chiamare EnableDelegatedAdminAccount
per delegare l'account amministratore di Inspector.
Puoi abilitare l'accesso attendibile eseguendo il comando AWS CLI di Organizations oppure chiamando un'operazione API di Organizations in un SDK AWS.
Nota
Se si sta utilizzando l'API EnableAWSServiceAccess
, è necessario chiamare anche EnableDelegatedAdminAccount
per delegare l'account amministratore di Inspector.
Disabilitazione dell'accesso attendibile con Amazon Inspector
Per informazioni sulle autorizzazioni necessarie per disabilitare l'accesso attendibile, consulta Autorizzazioni necessarie per disabilitare l'accesso sicuro.
Solo un amministratore nell'account di gestione di AWS Organizations può disabilitare l'accesso attendibile con Amazon Inspector.
Puoi disabilitare l'accesso attendibile utilizzando solo gli strumenti di Organizations.
Puoi disabilitare l'accesso attendibile eseguendo il comando AWS CLI di Organizations oppure chiamando un'operazione API di Organizations in un SDK AWS.
Abilitazione di un account amministratore delegato per Amazon Inspector
Con Amazon Inspector è possibile gestire più account in un'organizzazione utilizzando un amministratore delegato con il servizio AWS Organizations.
L'account di gestione AWS Organizations designa un account all'interno dell'organizzazione come account amministratore delegato per Amazon Inspector. L'amministratore delegato gestisce Amazon Inspector per l'organizzazione e vengono concesse autorizzazioni speciali per eseguire attività per conto dell'organizzazione, ad esempio: abilitazione o disabilitazione delle scansioni per gli account membri, visualizzazione dei dati di ricerca aggregati dall'intera organizzazione e creazione e gestione delle regole di soppressione
Per informazioni su come un amministratore delegato gestisce gli account dell'organizzazione, consultare Comprendere la relazione tra account amministratore e account membro nella Guida per l'utente di Amazon Inspector.
Solo un amministratore nell'account di gestione dell'organizzazione può configurare un amministratore delegato per Amazon Inspector.
È possibile specificare un account dell'amministratore delegato dalla console Amazon Inspector o con l'API oppure tramite la CLI o l'operazione SDK di Organizations.
Autorizzazioni minime
Solo un utente o un ruolo nell'account di gestione di Organizations può configurare un account membro come amministratore delegato per Amazon Inspector nell'organizzazione
Per configurare un amministratore delegato utilizzando la console Amazon Inspector, consultare Fase 1: Abilitazione di Amazon Inspector - Ambiente multi-account nella Guida per l'utente di Amazon Inspector.
Nota
Devi chiamare inspector2:enableDelegatedAdminAccount
in ogni regione in cui utilizzi Amazon Inspector.
Disabilitazione di un amministratore delegato per Amazon Inspector
Solo un amministratore nell'account di gestione di AWS Organizations può rimuovere un account dell'amministratore delegato dall'organizzazione.
È possibile rimuovere l'amministratore delegato utilizzando la console Amazon Inspector o l'API oppure utilizzando DeregisterDelegatedAdministrator
CLI o l'operazione SDK di Organizations. Per rimuovere un amministratore delegato utilizzando la console Amazon Inspector, consultare Rimozione di un amministratore delegato nella Guida per l'utente di Amazon Inspector.