Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas de Amazon Inspector
Las políticas de Amazon Inspector le permiten activar y gestionar Amazon Inspector de forma centralizada en todas las cuentas de su AWS organización. Con una política de Amazon Inspector, especificas qué entidades organizativas (raíz o cuentas) tienen Amazon Inspector activado y vinculado automáticamente a la cuenta de administrador delegado de Amazon Inspector. OUs Puede utilizar las políticas de Amazon Inspector para simplificar la incorporación en todo el servicio y garantizar la activación coherente de Amazon Inspector en todas las cuentas existentes y recién creadas.
Características y ventajas principales
Las políticas de Amazon Inspector le permiten definir qué tipos de escaneo deben habilitarse para su organización o subconjuntos de la misma, lo que garantiza una cobertura uniforme y reduce el esfuerzo manual. Cuando se implementan, le ayudan a incorporar nuevas cuentas automáticamente y a mantener su línea base de digitalización a medida que su organización crece.
Funcionamiento
Cuando adjuntas una política de Amazon Inspector a una entidad organizativa, la política habilita automáticamente Amazon Inspector para todas las cuentas de los miembros incluidas en ese ámbito. Además, si ha finalizado la configuración de Amazon Inspector mediante el registro de un administrador delegado en Amazon Inspector, esa cuenta tendrá una visibilidad centralizada de las vulnerabilidades en las cuentas de la organización que tengan Amazon Inspector activado.
Las políticas de Amazon Inspector se pueden aplicar a toda la organización, a unidades organizativas específicas (OUs) o a cuentas individuales. Las cuentas que se unen a la organización (o se trasladan a una OU con una política de Amazon Inspector adjunta) heredan automáticamente la política y tienen Amazon Inspector activado y vinculado al administrador delegado de Amazon Inspector. Las políticas de Amazon Inspector le permiten habilitar el EC2 escaneo de Amazon, el escaneo de Amazon ECR o el escaneo Lambda Standard y de códigos, así como Code Security. Los ajustes de configuración específicos y las reglas de supresión se pueden gestionar a través de la cuenta de administrador delegado de la organización.
Cuando adjuntas una política de Amazon Inspector a tu organización o unidad organizativa, AWS Organizations evalúa automáticamente la política y la aplica en función del ámbito que definas. El proceso de aplicación de la política sigue reglas específicas de resolución de conflictos:
-
Cuando las regiones aparecen en las listas de habilitación y deshabilitación, prevalece la configuración de deshabilitación. Por ejemplo, si una región aparece en las configuraciones de activación e inhabilitación, Amazon Inspector se desactivará en esa región.
-
Cuando
ALL_SUPPORTEDse especifica la activación, Amazon Inspector se habilita en todas las regiones actuales y futuras, a menos que se desactive explícitamente. Esto le permite mantener una cobertura integral a medida que AWS se expande a nuevas regiones. -
Las políticas secundarias pueden modificar la configuración de las políticas principales mediante operadores de herencia, de modo que permite un control detallado en los diferentes niveles organizativos. Este enfoque jerárquico garantiza que las unidades organizativas específicas puedan personalizar las configuraciones de seguridad, sin dejar de mantener los controles básicos.
Terminología
En este tema se utilizan los siguientes términos al tratar las políticas de Amazon Inspector.
| Plazo | Definición |
|---|---|
| Política en vigor | Política final que se aplica a una cuenta luego de combinar todas las políticas heredadas. |
| Herencia de políticas | Proceso mediante el cual las cuentas heredan las políticas de las unidades organizativas principales. |
| Administrador delegado | Una cuenta designada para gestionar las políticas de Amazon Inspector en nombre de la organización. |
| Rol vinculado a servicios | Un rol de IAM que permite a Amazon Inspector interactuar con otros AWS servicios. |
Casos de uso de las políticas de Amazon Inspector
Las organizaciones que lanzan cargas de trabajo a gran escala en varias cuentas pueden utilizar esta política para garantizar que todas las cuentas habiliten inmediatamente los tipos de escaneo correctos y eviten brechas. Los entornos normativos o regidos por el cumplimiento normativo pueden utilizar políticas secundarias para anular o limitar los tipos de escaneos por unidad organizativa. Los entornos de rápido crecimiento pueden automatizar la habilitación de las cuentas recién creadas para que siempre cumplan con los requisitos básicos.
Herencia y aplicación de políticas
Es fundamental entender cómo las políticas se heredan y se aplican para conseguir una administración eficaz de la seguridad en la organización. El modelo de herencia sigue la jerarquía de AWS las Organizaciones, lo que garantiza una aplicación de políticas predecible y coherente.
-
Las políticas asociadas en el nivel raíz se aplican a todas las cuentas
-
Las cuentas heredan las políticas de sus unidades organizativas principales
-
Se pueden aplicar varias políticas a una sola cuenta
-
Las políticas más específicas (más próximas a la cuenta en la jerarquía) tienen prioridad
Validación de políticas
Al crear las políticas de Amazon Inspector, se producen las siguientes validaciones:
-
Los nombres de las regiones deben ser identificadores de región válidos AWS
-
Amazon Inspector debe admitir las regiones
-
La estructura de políticas debe seguir AWS las reglas de sintaxis de las políticas de Organizations
-
Las listas
enable_in_regionsydisable_in_regionsdeben estar presentes, aunque pueden estar vacías
Consideraciones regionales y regiones compatibles
Las políticas de Amazon Inspector se aplican únicamente en las regiones en las que esté disponible el acceso de confianza de Amazon Inspector y AWS Organizations. Comprender el comportamiento regional permite implementar controles de seguridad efectivos en la presencia global de su organización.
-
La aplicación de políticas se produce en cada región de forma independiente
-
Puede especificar las regiones a incluir o excluir en sus políticas
-
Las nuevas regiones se incluyen automáticamente al usar la opción
ALL_SUPPORTED -
Las políticas solo se aplican a las regiones en las que Amazon Inspector está disponible
Comportamiento de distanciamiento
Si desvinculas una política de Amazon Inspector, Amazon Inspector permanece activado en las cuentas anteriormente cubiertas. Sin embargo, los cambios futuros en la estructura organizativa (como la incorporación de nuevas cuentas o el traslado de cuentas existentes a la OU) ya no habilitarán Amazon Inspector automáticamente. Cualquier otra activación debe realizarse de forma manual o mediante la reincorporación de una política.
Detalles adicionales
Administrador delegado
Solo se puede registrar un administrador delegado en Amazon Inspector en una organización. Debe configurarlo en la consola de Amazon Inspector o APIs antes de adjuntar las políticas de Amazon Inspector.
Requisitos previos
Debe habilitar el acceso de confianza para AWS Organizations, tener registrado un administrador delegado para Amazon Inspector y tener funciones vinculadas a servicios disponibles en todas las cuentas.
Regiones admitidas
Todas las regiones en las que Amazon Inspector está disponible.
