Amazon Inspector e AWS Organizations
O Amazon Inspector é um serviço automatizado de gerenciamento de vulnerabilidades que verifica continuamente workloads do Amazon EC2 e do contêiner em busca de vulnerabilidades de software e exposição não intencional da rede.
Usando o Amazon Inspector, você pode gerenciar várias contas associadas por meio de AWS Organizationssimplesmente delegando uma conta de administrador para o Amazon Inspector. O administrador delegado gerencia o Amazon Inspector para a organização e recebe permissões especiais para executar tarefas em nome de sua organização, como:
-
Habilitar ou desabilitar verificações para contas-membro
-
Vsualizar dados de descoberta agregados de toda a organização
-
Criar e gerenciar regras de supressão
Para obter mais informações, consulte Gerenciar várias contas com o AWS Organizations no Guia do usuário do Amazon Inspector.
Use as informações a seguir para integrar o Amazon Inspector ao AWS Organizations.
Funções vinculadas ao serviço, criadas quando você habilitou a integração
A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite que o Amazon Inspector realize as operações suportadas nas contas da sua organização.
Você poderá excluir ou modificar essa função somente se desabilitar o acesso confiável entre o Amazon Inspector e o Organizations, ou se remover a conta-membro da organização.
-
AWSServiceRoleForAmazonInspector2
Para obter mais informações, consulte Usar funções vinculadas ao serviço com o Amazon Inspector no Guia do usuário do Amazon Inspector.
Entidades de serviço primárias usadas pelas funções vinculadas ao serviço
A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo Amazon Inspector concedem acesso às seguintes entidades de serviço principais:
-
inspector2.amazonaws.com
Para habilitar o acesso confiável com o Amazon Inspector
Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.
O Amazon Inspector requer acesso confiável ao AWS Organizations para que você possa designar uma conta-membro como administrador delegado desse serviço na sua organização.
Quando você designa um administrador delegado para o Amazon Inspector, ele habilita automaticamente o acesso confiável para o Amazon Inspector na sua organização.
No entanto, se você deseja configurar uma conta de administrador delegado usando a AWS CLI ou um dos AWS SDKs, chame explicitamente a operação EnableAWSServiceAccesse forneça a entidade de serviço principal como um parâmetro. Você então poderá chamar EnableDelegatedAdminAccount para delegar a conta de administrador do Inspector.
Você pode habilitar o acesso confiável executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.
nota
Se estiver usando a API EnableAWSServiceAccess, você também precisará chamar EnableDelegatedAdminAccount para delegar a conta de administrador do Inspector.
Para desabilitar o acesso confiável com o Amazon Inspector
Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.
Apenas um administrador na conta de gerenciamento do AWS Organizations pode desabilitar acesso confiável com o Amazon Inspector.
Você pode desabilitar o acesso confiável usando apenas as ferramentas do Organizations.
Você pode desabilitar o acesso confiável executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.
Habilitar uma conta de administrador delegado do Amazon Inspector
Com o Amazon Inspector, você pode gerenciar várias contas em uma organização usando um administrador delegado com o serviço AWS Organizations.
A conta de gerenciamento AWS Organizations designa uma conta na organização como conta do administrador delegado do Amazon Inspector. O administrador delegado gerencia o Amazon Inspector para a organização e recebe permissões especiais para executar tarefas em nome de sua organização, como: habilitar ou desabilitar verificações de contas-membro, exibir dados de localização agregados de toda a organização e criar e gerenciar regras de supressão
Para obter informações sobre como um administrador delegado gerencia contas da organização, consulte Compreender o relacionamento entre contas de administrador e membro no Guia do usuário do Amazon Inspector.
Somente um administrador na conta de gerenciamento da organização pode configurar um administrador delegado para o Amazon Inspector.
É possível especificar uma conta de administrador delegado via console ou API do Amazon Inspector ou usando a operação da CLI ou do SDK do Organizations.
Permissões mínimas
Somente um usuário ou perfil na conta de gerenciamento do Organizations pode configurar uma conta-membro como administrador delegado do Amazon Inspector na organização
Para configurar um administrador delegado usando o console do Amazon Inspector, consulte Etapa 1: Habilitar o Amazon Inspector - Ambiente de várias contas no Guia do usuário do Amazon Inspector.
nota
Você deve ligar para inspector2:enableDelegatedAdminAccount em cada região em que você usa o Amazon Inspector.
Desabilitar um administrador delegado do Amazon Inspector
Somente um administrador na conta de gerenciamento da AWS Organizations pode remover uma conta de administrador delegado da organização.
É possível remover a conta de administrador delegado via console ou API do Amazon Inspector ou usando a operação DeregisterDelegatedAdministrator da CLI ou o SDK do Organizations. Para remover um administrador delegado usando o console do Amazon Inspector, consulte Remover um administrador delegado no Guia do usuário do Amazon Inspector.
