Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Politiques d'Amazon Inspector
Les politiques Amazon Inspector vous permettent d'activer et de gérer Amazon Inspector de manière centralisée pour tous les comptes de votre AWS organisation. Avec une politique Amazon Inspector, vous spécifiez les entités organisationnelles (root ou comptes) sur lesquelles Amazon Inspector est automatiquement activé et lié au compte d'administrateur délégué Amazon Inspector. OUs Vous pouvez utiliser les politiques d'Amazon Inspector pour simplifier l'intégration à l'échelle du service et garantir une activation cohérente d'Amazon Inspector dans tous les comptes existants et nouvellement créés.
Caractéristiques et avantages clés
Les politiques d'Amazon Inspector vous permettent de définir les types de scan qui doivent être activés pour votre organisation ou des sous-ensembles de celle-ci, afin de garantir une couverture cohérente et de réduire les efforts manuels. Une fois mis en œuvre, ils vous aident à intégrer automatiquement de nouveaux comptes et à maintenir votre base de référence en matière de numérisation à mesure que votre entreprise évolue.
Comment ça marche
Lorsque vous associez une politique Amazon Inspector à une entité organisationnelle, cette politique active automatiquement Amazon Inspector pour tous les comptes membres compris dans cette zone. De plus, si vous avez finalisé la configuration d'Amazon Inspector en enregistrant un administrateur délégué pour Amazon Inspector, ce compte bénéficiera d'une visibilité centralisée des vulnérabilités sur les comptes de l'organisation sur lesquels Amazon Inspector est activé.
Les politiques d'Amazon Inspector peuvent être appliquées à l'ensemble de l'organisation, à des unités organisationnelles spécifiques (OUs) ou à des comptes individuels. Les comptes qui rejoignent l'organisation, ou qui migrent vers une unité d'organisation associée à une politique Amazon Inspector, héritent automatiquement de la politique, et Amazon Inspector est activé et lié à l'administrateur délégué d'Amazon Inspector. Les politiques d'Amazon Inspector vous permettent d'activer le EC2 scan Amazon, le scan Amazon ECR ou Lambda Standard et le scan de code, ainsi que la sécurité du code. Les paramètres de configuration et les règles de suppression spécifiques peuvent être gérés via le compte d'administrateur délégué de l'organisation.
Lorsque vous associez une politique Amazon Inspector à votre organisation ou unité organisationnelle, AWS Organizations évalue automatiquement la politique et l'applique en fonction du champ d'application que vous définissez. Le processus d'application des politiques suit des règles spécifiques de résolution des conflits :
-
Lorsque des régions apparaissent à la fois dans les listes d'activation et de désactivation, la configuration de désactivation est prioritaire. Par exemple, si une région est répertoriée à la fois dans les configurations d'activation et de désactivation, Amazon Inspector sera désactivé dans cette région.
-
Lorsque l'activation
ALL_SUPPORTEDest spécifiée, Amazon Inspector est activé dans toutes les régions actuelles et futures, sauf s'il est explicitement désactivé. Cela vous permet de maintenir une couverture complète à mesure que vous vous AWS étendez dans de nouvelles régions. -
Les politiques relatives aux enfants peuvent modifier les paramètres des politiques parentales à l'aide d'opérateurs d'héritage, ce qui permet un contrôle granulaire à différents niveaux organisationnels. Cette approche hiérarchique garantit que les unités organisationnelles spécifiques peuvent personnaliser leurs paramètres de sécurité tout en maintenant les contrôles de base.
Terminologie
Cette rubrique utilise les termes suivants pour aborder les politiques d'Amazon Inspector.
| Durée | Définition |
|---|---|
| Stratégie effective | Politique finale qui s'applique à un compte après avoir combiné toutes les politiques héritées. |
| Héritage de politique | Processus par lequel les comptes héritent des politiques des unités organisationnelles parentes. |
| Administrateur délégué | Un compte désigné pour gérer les politiques d'Amazon Inspector au nom de l'organisation. |
| Rôle lié à un service | Rôle IAM qui permet à Amazon Inspector d'interagir avec d'autres AWS services. |
Cas d'utilisation des politiques d'Amazon Inspector
Organisations qui lancent des charges de travail à grande échelle sur plusieurs comptes peuvent utiliser cette politique pour garantir que tous les comptes activent immédiatement les types de scan appropriés et éviter les lacunes. Les environnements axés sur la réglementation ou la conformité peuvent utiliser des politiques secondaires pour annuler ou limiter les types de numérisation par unité d'organisation. Les environnements à croissance rapide peuvent automatiser l'activation des comptes nouvellement créés afin qu'ils soient toujours conformes aux normes de base.
Héritage et application des politiques
Comprendre comment les politiques sont héritées et appliquées est essentiel pour une gestion efficace de la sécurité au sein de votre entreprise. Le modèle d'héritage suit la hiérarchie AWS des Organisations, garantissant ainsi une application prévisible et cohérente des politiques.
-
Les politiques associées au niveau racine s'appliquent à tous les comptes
-
Les comptes héritent des politiques de leurs unités organisationnelles mères
-
Plusieurs politiques peuvent s'appliquer à un seul compte
-
Les politiques plus spécifiques (plus proches du compte dans la hiérarchie) ont priorité
Validation de politique
Lors de la création des politiques Amazon Inspector, les validations suivantes ont lieu :
-
Les noms de région doivent être des identifiants de AWS région valides
-
Les régions doivent être prises en charge par Amazon Inspector
-
La structure des politiques doit suivre les règles de syntaxe AWS des politiques des Organisations
-
Les deux
enable_in_regionsetdisable_in_regionsles listes doivent être présentes, bien qu'elles puissent être vides
Considérations régionales et régions prises en charge
Les politiques d'Amazon Inspector s'appliquent uniquement dans les régions où un accès sécurisé est disponible pour Amazon Inspector et AWS Organizations. Comprendre le comportement régional vous aide à mettre en œuvre des contrôles de sécurité efficaces sur l'ensemble du territoire mondial de votre entreprise.
-
L'application des politiques se fait indépendamment dans chaque région
-
Vous pouvez spécifier les régions à inclure ou à exclure dans vos politiques
-
Les nouvelles régions sont automatiquement incluses lorsque vous utilisez l'
ALL_SUPPORTEDoption -
Les politiques s'appliquent uniquement aux régions dans lesquelles Amazon Inspector est disponible
Comportement du détachement
Si vous supprimez une politique Amazon Inspector, Amazon Inspector reste activé sur les comptes précédemment couverts. Toutefois, les modifications futures de la structure organisationnelle (telles que l'ajout de nouveaux comptes ou le transfert de comptes existants dans l'unité d'organisation) n'activeront plus automatiquement Amazon Inspector. Toute activation supplémentaire doit être effectuée manuellement ou en rattachant une politique.
Détails supplémentaires
Administrateur délégué
Un seul administrateur délégué peut être enregistré pour Amazon Inspector dans une organisation. Vous devez le configurer dans la console Amazon Inspector ou via APIs avant de joindre les politiques Amazon Inspector.
Prérequis
Vous devez activer l'accès sécurisé pour les AWS Organizations, avoir un administrateur délégué enregistré pour Amazon Inspector et disposer de rôles liés à un service dans tous les comptes.
Régions prises en charge
Toutes les régions dans lesquelles Amazon Inspector est disponible.
