Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Politiche di Amazon Inspector
Le politiche di Amazon Inspector ti consentono di abilitare e gestire Amazon Inspector in modo centralizzato su tutti gli account della tua organizzazione. AWS Con una policy di Amazon Inspector, puoi specificare per quali entità organizzative (root o account) Amazon Inspector è abilitato e collegato automaticamente all'account amministratore delegato di Amazon Inspector. OUs Puoi utilizzare le politiche di Amazon Inspector per semplificare l'onboarding a livello di servizio e garantire l'attivazione coerente di Amazon Inspector in tutti gli account esistenti e di nuova creazione.
Caratteristiche e vantaggi principali
Le policy di Amazon Inspector ti consentono di definire quali tipi di scansione devono essere abilitati per la tua organizzazione o sottoinsiemi di essa, garantendo una copertura uniforme e riducendo il lavoro manuale. Una volta implementate, ti aiutano a registrare automaticamente nuovi account e a mantenere la linea di base di scansione man mano che l'organizzazione cresce.
Come funziona
Quando alleghi una policy di Amazon Inspector a un'entità organizzativa, la policy abilita automaticamente Amazon Inspector per tutti gli account membri che rientrano in tale ambito. Inoltre, se hai completato la configurazione di Amazon Inspector registrando un amministratore delegato per Amazon Inspector, quell'account avrà una visibilità centralizzata delle vulnerabilità sugli account dell'organizzazione che hanno abilitato Amazon Inspector.
Le politiche di Amazon Inspector possono essere applicate all'intera organizzazione, a unità organizzative specifiche (OUs) o a singoli account. Gli account che entrano a far parte dell'organizzazione o si trasferiscono in un'unità organizzativa con una politica Amazon Inspector allegata ereditano automaticamente la politica e dispongono di Amazon Inspector abilitato e collegato all'amministratore delegato di Amazon Inspector. Le politiche di Amazon Inspector consentono di abilitare EC2 la scansione Amazon, la scansione Amazon ECR o la scansione Lambda Standard e del codice, oltre a Code Security. Le impostazioni di configurazione e le regole di soppressione specifiche possono essere gestite tramite l'account amministratore delegato dell'organizzazione.
Quando alleghi una policy di Amazon Inspector alla tua organizzazione o unità organizzativa, AWS Organizations valuta automaticamente la policy e la applica in base all'ambito definito. Il processo di applicazione delle politiche segue regole specifiche per la risoluzione dei conflitti:
-
Quando le regioni compaiono sia negli elenchi di attivazione che in quelli di disabilitazione, la configurazione di disabilitazione ha la precedenza. Ad esempio, se una regione è elencata sia nelle configurazioni di attivazione che di disabilitazione, Amazon Inspector sarà disabilitato in quella regione.
-
Quando
ALL_SUPPORTEDviene specificata l'abilitazione, Amazon Inspector è abilitato in tutte le regioni attuali e future, a meno che non sia esplicitamente disabilitato. Ciò consente di mantenere una copertura completa man mano che AWS si espande in nuove regioni. -
Le politiche per i figli possono modificare le impostazioni delle politiche dei genitori utilizzando operatori di ereditarietà, consentendo un controllo granulare a diversi livelli organizzativi. Questo approccio gerarchico garantisce che unità organizzative specifiche possano personalizzare le proprie impostazioni di sicurezza mantenendo i controlli di base.
Terminologia
Questo argomento utilizza i seguenti termini per discutere delle politiche di Amazon Inspector.
| Termine | Definizione |
|---|---|
| Policy operativa | La politica finale che si applica a un account dopo aver combinato tutte le politiche ereditate. |
| Ereditarietà delle policy | Processo mediante il quale gli account ereditano le politiche dalle unità organizzative principali. |
| Amministratore delegato | Un account designato per gestire le politiche di Amazon Inspector per conto dell'organizzazione. |
| Ruolo collegato al servizio | Un ruolo IAM che consente ad Amazon Inspector di interagire con altri AWS servizi. |
Casi d'uso per le politiche di Amazon Inspector
Organizations che lanciano carichi di lavoro su larga scala su più account possono utilizzare questa policy per garantire che tutti gli account abilitino immediatamente i tipi di scansione corretti ed evitare lacune. Gli ambienti normativi o orientati alla conformità possono utilizzare policy secondarie per ignorare o limitare i tipi di scansione in base all'unità organizzativa. Gli ambienti in rapida crescita possono automatizzare l'abilitazione degli account appena creati in modo che siano sempre conformi alla linea di base.
Ereditarietà e applicazione delle politiche
Comprendere come le politiche vengono ereditate e applicate è fondamentale per una gestione efficace della sicurezza in tutta l'organizzazione. Il modello di ereditarietà segue la gerarchia AWS Organizations, garantendo un'applicazione delle policy prevedibile e coerente.
-
Le politiche allegate a livello principale si applicano a tutti gli account
-
Gli account ereditano le politiche dalle unità organizzative principali
-
È possibile applicare più politiche a un singolo account
-
Le politiche più specifiche (più vicine all'account nella gerarchia) hanno la precedenza
Convalida di policy
Durante la creazione delle politiche di Amazon Inspector, si verificano le seguenti convalide:
-
I nomi delle regioni devono essere identificatori di regione validi AWS
-
Le regioni devono essere supportate da Amazon Inspector
-
La struttura delle politiche deve seguire le regole di sintassi AWS delle policy di Organizations
-
Entrambi
enable_in_regionsglidisable_in_regionselenchi devono essere presenti, sebbene possano essere vuoti
Considerazioni regionali e regioni supportate
Le politiche di Amazon Inspector si applicano solo nelle regioni in cui è disponibile l'accesso affidabile di Amazon Inspector AWS e Organizations. Comprendere il comportamento regionale ti aiuta a implementare controlli di sicurezza efficaci in tutta la presenza globale della tua organizzazione.
-
L'applicazione delle politiche avviene in ogni regione in modo indipendente
-
Puoi specificare quali regioni includere o escludere nelle tue politiche
-
Le nuove regioni vengono incluse automaticamente quando si utilizza l'
ALL_SUPPORTEDopzione -
Le politiche si applicano solo alle regioni in cui è disponibile Amazon Inspector
Comportamento di distacco
Se scolleghi una policy di Amazon Inspector, Amazon Inspector rimane abilitato negli account precedentemente coperti. Tuttavia, le future modifiche alla struttura organizzativa (ad esempio l'aggiunta di nuovi account o il trasferimento di account esistenti nell'unità organizzativa) non abiliteranno più automaticamente Amazon Inspector. Qualsiasi ulteriore abilitazione deve essere eseguita manualmente o ricollegando una policy.
Dettagli aggiuntivi
Amministratore delegato
È possibile registrare un solo amministratore delegato per Amazon Inspector in un'organizzazione. È necessario configurarlo nella console Amazon Inspector o tramite APIs prima di allegare le politiche di Amazon Inspector.
Prerequisiti
Devi abilitare l'accesso affidabile per AWS Organizations, avere un amministratore delegato registrato per Amazon Inspector e avere ruoli collegati ai servizi disponibili in tutti gli account.
Regioni supportate
Tutte le regioni in cui è disponibile Amazon Inspector.
