As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Tutorial de conceitos básicos: ativar o Amazon Inspector Este tópico descreve como ativar o Amazon Inspector para um ambiente de conta independente (conta de membro) e para um ambiente de várias contas (conta de administrador delegado). Ao ativar o Amazon Inspector, ele automaticamente começa a descobrir workloads e verificá-las em busca de vulnerabilidades de software e exposição não intencional da rede. ------ #### [ Standalone account environment ] O procedimento a seguir descreve como ativar o Amazon Inspector no console para uma conta de membro. Para ativar programaticamente o Amazon Inspector[,](https://github.com/aws-samples/inspector2-enablement-with-cli) inspector2-. enablement-with-cli 1. [Faça login usando suas credenciais e, em seguida, abra o console https://console.aws.amazon.com/inspector/ do Amazon Inspector em v2/home.](https://console.aws.amazon.com/inspector/v2/home) 1. Selecione a opção **Conceitos básicos**. 1. Escolha **Ativar o Amazon Inspector**. Ao ativar o Amazon Inspector em uma conta independente, [todos os tipos de verificação](https://docs.aws.amazon.com/inspector/latest/user/scanning-resources.html) são ativados por padrão. Consulte informações sobre as contas de membro em [Conceitos básicos da conta de administrador delegado e das contas de membro no Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html). ------ #### [ Multi-account (with AWS Organizations policy) ] AWS Organizations as políticas fornecem governança centralizada para habilitar o Amazon Inspector em toda a sua organização. Quando você usa uma política da organização, a ativação do Amazon Inspector é gerenciada automaticamente para todas as contas cobertas pela política, e as contas membros não podem modificar a verificação gerenciada por políticas usando a API do Amazon Inspector. **Pré-requisitos** + Sua conta deve fazer parte de uma AWS Organizations organização. + Você deve ter permissões para criar e gerenciar as políticas da organização no AWS Organizations. + O acesso confiável para o Amazon Inspector deve estar habilitado. AWS Organizations Para obter instruções, consulte [Habilitar o acesso confiável para o Amazon Inspector](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-inspector2.html#integrate-enable-ta-inspector2) no Guia do *AWS Organizations Usuário*. + As funções vinculadas ao serviço Amazon Inspector devem existir na conta de gerenciamento. Para criá-los, habilite o Amazon Inspector na conta de gerenciamento ou execute os seguintes comandos na conta de gerenciamento: + `aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com` + `aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com` + Um administrador delegado do Amazon Inspector deve ser designado. **nota** Sem as funções vinculadas ao serviço de conta de gerenciamento e administrador delegado do Amazon Inspector, as políticas da organização reforçarão a habilitação do Amazon Inspector, mas as contas dos membros não serão associadas à organização do Amazon Inspector para descobertas centralizadas e gerenciamento de contas. **Para habilitar o Amazon Inspector usando políticas AWS Organizations** 1. Designe um administrador delegado para o Amazon Inspector antes de criar políticas organizacionais para garantir que as contas dos membros sejam associadas à organização do Amazon Inspector para visibilidade centralizada das descobertas. Faça login na conta AWS Organizations de gerenciamento, abra o console do Amazon Inspector em [https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) e siga as etapas. [Designar um administrador delegado para sua organização AWS](designating-admin.md#delegated-admin-proc) **nota** É altamente recomendável manter o ID da conta de administrador delegado do AWS Organizations Amazon Inspector e o ID da conta de administrador delegado designado do Amazon Inspector iguais. Se a ID da conta do administrador AWS Organizations delegado for diferente da ID da conta do administrador delegado do Amazon Inspector, o Amazon Inspector priorizará a ID da conta designada pelo Inspector. Quando o administrador delegado do Amazon Inspector não está definido, mas o administrador AWS Organizations delegado está definido e a conta de gerenciamento tem as funções vinculadas ao serviço Amazon Inspector, o Amazon Inspector atribui automaticamente o ID da conta do administrador delegado como administrador AWS Organizations delegado do Amazon Inspector. 1. No console do Amazon Inspector, navegue até **Configurações gerais na conta** de gerenciamento. Em **Política de delegação**, escolha **Anexar declaração**. Na caixa de diálogo **Anexar declaração de política**, revise a política, selecione **Reconheço que revisei a política e compreendo as permissões que ela concede** e, em seguida, escolha **Anexar declaração**. **Importante** A conta de gerenciamento deve ter as seguintes permissões para anexar a declaração de política de delegação: Permissões do Amazon Inspector da política gerenciada [AmazonInspector2 FullAccess \$1v2](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2FullAccessV2) AWS Organizations `organizations:PutResourcePolicy`permissão da política [AWSOrganizationsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html)gerenciada Se a `organizations:PutResourcePolicy` permissão estiver ausente, a operação falhará com o erro:`Failed to attach statement to the delegation policy`. 1. Em seguida, crie uma política do Amazon Inspector AWS Organizations . No painel de navegação, escolha **Gerenciamento** e, em seguida, selecione **Configurações**. 1. Configure a política de gerenciamento de vulnerabilidades. Forneça **detalhes** com nome e descrição (opcional) para a política. 1. Na página Configurar Inspector, na seção **Detalhes**, insira um nome e uma descrição para a política. Na **Seleção de capacidade**, faça o seguinte: + Escolha **Configurar e habilite todos os recursos (recomendado)**. Isso ativa todos os recursos do Inspector, incluindo EC2, ECR, padrão Lambda, escaneamento de código Lambda e Segurança de Código. + Escolha **Selecionar subconjunto de recursos.** Selecione qualquer recurso do tipo de escaneamento que deva ser ativado. 1. Na seção **Seleção de conta**, selecione uma das seguintes opções: + Escolha **Todas as unidades organizacionais e contas** se quiser aplicar a configuração a todas as unidades organizacionais e contas. + Escolha **Unidades organizacionais e contas específicas** se quiser aplicar a configuração a contas e unidades organizacionais específicas. Se você escolher essa opção, use a barra de pesquisa ou a árvore da estrutura organizacional para especificar as unidades organizacionais e as contas nas quais a política será aplicada. + Escolha **Nenhuma unidade organizacional ou conta** se não quiser aplicar a configuração a nenhuma unidade organizacional ou conta. 1. Na seção **Regiões**, escolha **Ativar todas as regiões**, **Desativar todas as regiões** ou **Especificar regiões**. + Se você escolher **Habilitar todas as regiões**, poderá determinar se deseja habilitar automaticamente novas regiões. + Se você escolher **Desabilitar todas as regiões**, poderá determinar se deseja desabilitar automaticamente novas regiões. + Se você escolher **Especificar regiões**, deverá escolher quais regiões deseja habilitar e desabilitar. (Opcional) Para **configurações avançadas**, consulte as orientações do AWS Organizations. (Opcional) Para **tags de recursos**, adicione tags como pares de valores-chave para ajudá-lo a identificar facilmente a configuração. 1. Escolha **Avançar**, revise suas alterações e escolha **Aplicar**. Suas contas de destino são configuradas com base na política. O status da configuração da sua política é exibido na parte superior da página Políticas. Cada recurso fornece um status sobre se ele foi configurado ou onde há falhas de implantação. Para qualquer falha, escolha o link da mensagem de falha para ver mais detalhes. Para ver a política efetiva em nível da conta, é possível analisar a guia Organização na página Configurações, onde é possível escolher uma conta. Quando o Amazon Inspector é ativado por meio das políticas da organização, as contas cobertas pela política não podem desativar os tipos de escaneamento gerenciados pela política por meio da API ou do console do Amazon Inspector. Para obter informações detalhadas sobre o que administradores delegados e contas de membros podem ou não fazer de acordo com as políticas da organização, consulte. [Gerenciando várias contas no Amazon Inspector com AWS Organizations](managing-multiple-accounts.md) ------ #### [ Multi-account (without AWS Organizations policy) ] **nota** Você deve usar a conta AWS Organizations de gerenciamento para concluir esse procedimento. Somente a conta AWS Organizations de gerenciamento pode designar um administrador delegado. Podem ser necessárias permissões para designar um administrador delegado. Para obter mais informações, consulte [Permissões necessárias para designar um administrador delegado](designating-admin.md#delegated-admin-permissions). Ao ativar o Amazon Inspector pela primeira vez, ele cria o perfil vinculado ao serviço `AWSServiceRoleForAmazonInspector` para a conta. Consulte informações sobre como o Amazon Inspector usa perfis vinculados ao serviço em [Uso de funções vinculadas a serviço para o Amazon Inspector](using-service-linked-roles.md). **Designar um administrador delegado do Amazon Inspector** 1. [Faça login na conta AWS Organizations de gerenciamento e abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/ v2/home.](https://console.aws.amazon.com/inspector/v2/home) 1. Escolha **Começar**. 1. Em **Administrador delegado**, insira a ID de 12 dígitos do Conta da AWS que você deseja designar como administrador delegado. 1. Escolha **Delegar** e **Delegar** novamente. 1. **(Opcional) Se você quiser ativar o Amazon Inspector para a conta de AWS Organizations gerenciamento, escolha **Ativar Amazon Inspector** em Permissões de serviço.** Ao designar um administrador delegado, [todos os tipos de verificação](https://docs.aws.amazon.com/inspector/latest/user/scanning-resources.html) são ativados para a conta por padrão. Consulte informações sobre a conta de administrador delegado em [Conceitos básicos da conta de administrador delegado e contas de membro no Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html). ------