本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 入门教程:激活 Amazon Inspector 本主题介绍了如何为独立账户环境(成员账户)以及多账户环境(委派管理员账户)激活 Amazon Inspector。激活 Amazon Inspector 后,它会自动开始发现工作负载并扫描其中是否存在软件漏洞和意外网络暴露。 ------ #### [ Standalone account environment ] 以下步骤介绍了如何在控制台中为成员账户激活 Amazon Inspector。要以编程方式激活 Amazon Inspector,inspec [tor2-](https://github.com/aws-samples/inspector2-enablement-with-cli)。enablement-with-cli 1. 使用您的凭证登录,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 中打开 Amazon Inspector 控制台。 1. 选择**开始使用**。 1. 选择**激活 Amazon Inspector**。 为独立账户激活 Amazon Inspector 时,默认情况下会激活[所有扫描类型](https://docs.aws.amazon.com/inspector/latest/user/scanning-resources.html)。有关成员账户的信息,请参阅[了解 Amazon Inspector 中的委派管理员账户和成员账户](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html)。 ------ #### [ Multi-account (with AWS Organizations policy) ] AWS Organizations 策略为在整个组织中启用 Amazon Inspector 提供了集中管理。当您使用组织策略时,系统会自动管理该政策涵盖的所有账户的 Amazon Inspector 启用,并且成员账户无法使用 Amazon Inspector API 修改策略管理的扫描。 **先决条件** + 您的账户必须是 AWS Organizations 组织的一部分。 + 您必须拥有在中创建和管理组织策略的权限 AWS Organizations。 + 必须在中启用 Amazon Inspector 的可信访问权限 AWS Organizations。有关说明,请参阅*AWS Organizations 用户指南*中的[为 Amazon Inspector 启用可信访问](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-inspector2.html#integrate-enable-ta-inspector2)。 + Amazon Inspector 服务相关角色应存在于管理账户中。要创建它们,请在管理账户中启用 Amazon Inspector,或者从管理账户运行以下命令: + `aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com` + `aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com` + 应指定 Amazon Inspector 的委托管理员。 **注意** 如果没有管理账户和委托管理员等服务相关的 Amazon Inspector 角色,组织政策将强制启用 Amazon Inspector,但成员账户将无法与 Amazon Inspector 组织关联以进行集中调查和账户管理。 **使用 AWS Organizations 策略启用 Amazon Inspector** 1. 在创建组织策略之前,请为 Amazon Inspector 指定一名委托管理员,以确保成员账户与 Amazon Inspector 组织关联,以便集中查看调查结果。登录 AWS Organizations 管理账户,在 [https://console.aws.amazon.com/inspector/v2/hom](https://console.aws.amazon.com/inspector/v2/home) e 上打开 Amazon Inspector 控制台,然后按照中的步骤进行操作。[为您的 AWS 组织指定委派管理员](designating-admin.md#delegated-admin-proc) **注意** 我们强烈建议您的 AWS Organizations Amazon Inspector 委托管理员账户 ID 和 Amazon Inspector 指定的委托管理员账户 ID 保持不变。如果 AWS Organizations 委托管理员账户 ID 与 Amazon Inspector 委托管理员账户 ID 不同,则 Amazon Inspector 会优先使用检查员指定的账户 ID。当未设置 Amazon Inspector 委托管理员但已设置 AWS Organizations 委托管理员且管理账户具有亚马逊检查员服务相关角色时,Amazon Inspector 会自动将 AWS Organizations 委托管理员账户 ID 分配为亚马逊检查员委托的管理员。 1. 在 Amazon Inspector 控制台中,从管理账户导航到**常规设置**。在 “**委托策略**” 下,选择 “**附加声明**”。在 “**附加策略声明**” 对话框中,查看策略,选择 “**我确认我已查看策略并了解其授予的权限**”,然后选择 Attach stat **ement**。 **重要** 管理账户必须具有以下权限才能附加委托政策声明: 来自 [AmazonInspector2 FullAccess \$1v2](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2FullAccessV2) 托管策略的 Amazon Inspector 权限 AWS Organizations `organizations:PutResourcePolicy`来自[AWSOrganizationsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html)托管策略的权限 如果缺少`organizations:PutResourcePolicy`权限,则操作将失败并显示错误:`Failed to attach statement to the delegation policy`。 1. 接下来,创建 Amazon Inspector AWS Organizations 政策。从导航窗格中选择 “**管理**”,然后选择 “**配置**”。 1. 配置漏洞管理策略。提供**详细信息**以及策略的名称和描述(可选)。 1. 在 “配置 Inspector” 页面的 “**详细信息**” 部分,输入策略的名称和描述。在 “**能力选择**” 中,执行以下任一操作: + 选择**配置并启用所有功能(推荐)**。这将启用所有 Inspector 功能,包括 EC2、ECR、Lambda 标准、Lambda 代码扫描和代码安全。 + 选择**选择权能子集**。选择任何应开启的扫描类型功能。 1. 在 “**账户选择**” 部分,选择以下选项之一: + 如果要将配置应用于**所有组织单位和帐户**,请选择 “所有组织单位和帐户”。 + 如果要将配置应用于**特定的组织单位和帐户**,请选择 “特定组织单位和帐户”。如果您选择此选项,请使用搜索栏或组织结构树来指定将应用该策略的组织单元和账户。 + 如果您**不想将配置应用于任何组织单位或帐户**,请选择 “无组织单位或帐户”。 1. 在 “**区域**” 部分,选择 “**启用所有区域**”、“**禁用所有区域****” 或 “指定区域”**。 + 如果您选择**启用所有区域**,则可以决定是否自动启用新区域。 + 如果您选择**禁用所有区域**,则可以决定是否自动禁用新区域。 + 如果选择**指定区域**,则必须选择要启用和禁用的区域。 (可选)有关**高级设置**,请参阅中的指南 AWS Organizations。 (可选)对于**资源标签**,将标签添加为键值对,以帮助您轻松识别配置。 1. 选择 “**下一步**”,查看您的更改,然后选择 “**应用**”。您的目标账户是根据策略进行配置的。策略的配置状态显示在 “策略” 页面的顶部。每项功能都提供有关其是否已配置或部署失败的状态。对于任何故障,请选择失败消息的链接以查看更多详细信息。要查看账户级别的有效策略,您可以查看配置页面上的组织选项卡,可以在其中选择一个账户。 当通过组织策略启用 Amazon Inspector 时,该政策所涵盖的账户无法通过 Amazon Inspector API 或控制台禁用策略管理的扫描类型。有关委托管理员和成员账户在组织政策下可以做什么和不能做什么的详细信息,请参阅[使用 Amazon Inspector 管理多个账户 AWS Organizations](managing-multiple-accounts.md)。 ------ #### [ Multi-account (without AWS Organizations policy) ] **注意** 您必须使用 AWS Organizations 管理账户才能完成此过程。只有 AWS Organizations 管理账号才能指定委派管理员。可能需要权限才能指定委派管理员。有关更多信息,请参阅 [指定委托管理员所需的权限](designating-admin.md#delegated-admin-permissions)。 当您首次激活 Amazon Inspector 时,Amazon Inspector 会为账户创建服务相关角色 `AWSServiceRoleForAmazonInspector`。有关 Amazon Inspector 如何使用服务相关角色的信息,请参阅[对 Amazon Inspector 使用服务相关角色](using-service-linked-roles.md)。 **指定 Amazon Inspector 委托管理员** 1. 登录 AWS Organizations 管理账户,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 上打开 Amazon Inspector 控制台。 1. 选择**开始**。 1. 在 “**委托管理员**” 下,输入 AWS 账户 要指定为委派管理员的 12 位 ID。 1. 选择**委派**,然后再次选择**委派**。 1. (可选)如果您想为 AWS Organizations 管理账户激活 Amazon Inspector,请在 “**服务权限” 下选择 “**激活亚马逊检查器**”**。 当您指定委派管理员时,默认情况下会为该账户激活[所有扫描类型](https://docs.aws.amazon.com/inspector/latest/user/scanning-resources.html)。有关委派管理员账户的信息,请参阅[了解 Amazon Inspector 中的委派管理员账户和成员账户](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html)。 ------