Amazon Inspector 與 AWS Organizations - AWS Organizations
服務連結角色服務委託人啟用受信任存取停用受信任存取啟用 Amazon Inspector 的委派管理員帳戶停用 Amazon Inspector 的委派管理員

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Inspector 與 AWS Organizations

Amazon Inspector 是一項自動化漏洞管理服務,可持續掃描 Amazon EC2 和容器工作負載,以尋找軟體漏洞和意外的網路暴露。

使用 Amazon Inspector,您只需為 Amazon Inspector 委派管理員帳戶,即可管理透過 AWS Organizations 關聯的多個帳戶。委派管理員管理組織的 Amazon Inspector,並被授予代表組織執行任務所需的特殊許可,例如:

  • 啟用或停用成員帳戶掃描

  • 檢視整個組織的彙總問題清單資料

  • 建立和管理隱藏規則

如需詳細資訊,請參閱《Amazon Inspector 使用者指南》中的使用 AWS Organizations 管理多個帳戶

使用以下資訊可協助您整合 Amazon Inspector 與 AWS Organizations。

當您啟用整合時,即會建立服務連結角色。

當您啟用受信任存取時,會在您組織的管理帳戶中自動建立以下服務連結角色。此角色允許 Amazon Inspector 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Amazon Inspector 和 Organizations 之間的受信任存取,或者從組織中移除成員帳戶時,才能刪除或修改此角色。

  • AWSServiceRoleForAmazonInspector2

如需詳細資訊,請參閱《Amazon Inspector 使用者指南》中的將服務連結角色用於 Amazon Inspector

服務連結角色所使用的服務委託人

上一節中的服務連結角色,只能由依據角色定義的信任關係所授權的服務委託人來假設。Amazon Inspector 使用的服務連結角色會將存取權授予下列服務委託人:

  • inspector2.amazonaws.com

使用 Amazon Inspector 啟用受信任存取

如需啟用受信任存取所需許可的資訊,請參閱啟用信任的存取所需的許可

Amazon Inspector 需要對 AWS Organizations 的受信任存取,才能為組織指定成員帳戶作為此服務的委派管理員。

當您指定 Amazon Inspector 的委派管理員時,Amazon Inspector 會自動啟用組織中 Amazon Inspector 的受信任存取。

不過,如果您想要使用 AWS CLI 或其中一個 AWS SDK 來設定委派管理員帳戶,則必須明確地呼叫 EnableAWSServiceAccess 操作,並提供服務委託人作為參數。然後,您可以呼叫 EnableDelegatedAdminAccount 以委派 Inspector 管理員帳戶。

您可以執行 Organizations AWS CLI 命令,或呼叫其中一個 AWS SDK 中的 Organizations API 操作,來啟用受信任存取。

AWS CLI, AWS API
使用 Organizations CLI/SDK 來啟用受信任服務存取

您可以使用以下 AWS CLI 命令或 API 操作,以啟用受信任的服務存取:

  • AWS CLI: enable-aws-service-access

    您可以執行下列命令來啟用 Amazon Inspector 作為 Organizations 受信任的服務。

    $ aws organizations enable-aws-service-access \
    --service-principal inspector2.amazonaws.com

    此命令成功後就不會產生輸出。

  • AWS API: EnableAWSServiceAccess
注意

如果您使用 EnableAWSServiceAccess API,您還需要呼叫 EnableDelegatedAdminAccount 以委派 Inspector 管理員帳戶。

使用 Amazon Inspector 來停用受信任存取

如需啟用受信任的存取所需許可的資訊,請參閱停用信任的存取所需的許可

只有 AWS Organizations 管理帳戶中的管理員才能使用 Amazon Inspector 停用受信任存取。

您只能使用 Organizations 工具來停用受信任的存取。

您可以執行 Organizations AWS CLI 命令,或呼叫其中一個 AWS SDK 中的 Organizations API 操作,來停用受信任存取。

AWS CLI, AWS API
使用 Organizations CLI/SDK 來停用受信任服務存取

您可以使用以下 AWS CLI 命令或 API 操作,以停用信任的服務存取:

  • AWS CLI: disable-aws-service-access

    您可以執行下列命令來停用 Amazon Inspector 作為 Organizations 受信任的服務。

    $ aws organizations disable-aws-service-access \
    --service-principal inspector2.amazonaws.com

    此命令成功後就不會產生輸出。

  • AWS API:DisableAWSServiceAccess

啟用 Amazon Inspector 的委派管理員帳戶

透過 Amazon Inspector,您可以使用 AWS Organizations 服務搭配委派管理員來管理組織中的多個帳戶。

此 AWS Organizations 管理帳戶將組織內的帳戶指定為 Amazon Inspector 的委派管理員帳戶。委派管理員管理組織的 Amazon Inspector,並被授予代表組織執行任務所需的特殊許可,例如:啟用或停用成員帳戶掃描、檢視整個組織的彙總問題清單資料,以及建立和管理隱藏規則

如需有關委派管理員如何管理組織帳戶的資訊,請參閱《Amazon Inspector 使用者指南》中的了解管理員和成員帳戶之間的關係

只有組織管理帳戶中的管理員可以設定 Amazon Inspector 的委派管理員。

您可以從 Amazon Inspector 主控台或 API,或使用 Organizations CLI 或 SDK 操作,指定委派管理員帳戶。

最低許可

只有 Organizations 管理帳戶中的使用者或角色,才能將成員帳戶設定為組織中 Amazon Inspector 的委派管理員

若要使用 Amazon Inspector 主控台設定委派管理員,請參閱《Amazon Inspector 使用者指南》中的步驟 1:啟用 Amazon Inspector - 多帳戶環境

注意

您必須在您使用 Amazon Inspector 的每個區域中呼叫 inspector2:enableDelegatedAdminAccount

AWS CLI, AWS API

如果您想要使用 AWS CLI 或其中一個 AWS SDK,可以使用下列命令︰

  • AWS CLI: 

    $ aws organizations register-delegated-administrator \
    --account-id 123456789012 \
    --service-principal inspector2.amazonaws.com

  • AWS SDK:呼叫 Organizations RegisterDelegatedAdministrator 操作和成員帳戶的 ID 號碼,並識別帳戶服務主體 account.amazonaws.com 作為參數。

停用 Amazon Inspector 的委派管理員

只有 AWS Organizations 管理帳戶中的管理員可以移除組織中的委派管理員帳戶。

您可以使用 Amazon Inspector 主控台或 API,或使用 Organizations DeregisterDelegatedAdministrator CLI 或 SDK 操作,移除委派管理員。若要使用 Amazon Inspector 主控台移除委派管理員,請參閱《Amazon Inspector 使用者指南》中的移除委派管理員