Políticas gerenciadas da AWS para o Amazon Inspector - Amazon Inspector
AmazonInspector2FullAccessAmazonInspector2ReadOnlyAccessAmazonInspector2ManagedCisPolicyAmazonInspector2ServiceRolePolicyAmazonInspector2AgentlessServiceRolePolicyAtualizações da política

Políticas gerenciadas da AWS para o Amazon Inspector

Uma política gerenciada pela AWS é uma política independente criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns a fim de que você possa começar a atribuir permissões a usuários, grupos e perfis.

Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para seus casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da  específicas para seus casos de uso.

Você não pode alterar as permissões definidas em políticas gerenciadas AWS. Se AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.

Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

Política gerenciada da AWS: AmazonInspector2FullAccess

É possível anexar a política AmazonInspector2FullAccess a suas identidades do IAM.

Essa política concede permissões administrativas ao Amazon Inspector.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • inspector2: oferece acesso total à funcionalidade do Amazon Inspector.

  • iam: permite que o Amazon Inspector crie os perfis vinculados ao serviço AWSServiceRoleForAmazonInspector2 e AWSServiceRoleForAmazonInspector2Agentless. AWSServiceRoleForAmazonInspector2 é necessário para que o Amazon Inspector realize operações como recuperar informações sobre as instâncias do Amazon EC2, repositórios do Amazon ECR e imagens de contêiner. Também é necessário para que o Amazon Inspector analise sua rede de VPC e descreva contas associadas à sua organização. AWSServiceRoleForAmazonInspector2Agentless é necessário para que o Amazon Inspector realize operações como recuperar informações sobre as instâncias do Amazon EC2 e snapshots do Amazon EBS. Também é necessário para descriptografar snapshots do Amazon EBS que são criptografados com chaves do AWS KMS. Para ter mais informações, consulte Uso de funções vinculadas a serviço para o Amazon Inspector.

  • organizations: permite que os administradores usem o Amazon Inspector para uma organização no AWS Organizations. Quando você ativa o acesso confiável para o Amazon Inspector no AWS Organizations, os membros da conta de administrador delegado poderão gerenciar configurações e visualizar descobertas em toda a organização.

  • codeguru-security: permite que os administradores usem o Amazon Inspector para recuperar trechos de código de informações e alterar as configurações de criptografia de código armazenadas pelo CodeGuru Security. Para ter mais informações, consulte Criptografia em repouso para código em suas descobertas. 

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllowFullAccessToInspectorApis",
			"Effect": "Allow",
			"Action": "inspector2:*",
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessToCodeGuruApis",
			"Effect": "Allow",
			"Action": [
				"codeguru-security:BatchGetFindings",
				"codeguru-security:GetAccountConfiguration"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessToCreateSlr",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": [
						"agentless.inspector2.amazonaws.com",
						"inspector2.amazonaws.com"
					]
				}
			}
		},
		{
			"Sid": "AllowAccessToOrganizationApis",
			"Effect": "Allow",
			"Action": [
				"organizations:EnableAWSServiceAccess",
				"organizations:RegisterDelegatedAdministrator",
				"organizations:ListDelegatedAdministrators",
				"organizations:ListAWSServiceAccessForOrganization",
				"organizations:DescribeOrganizationalUnit",
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization"
			],
			"Resource": "*"
		}
	]
}

Política gerenciada da AWS: AmazonInspector2ReadOnlyAccess

É possível anexar a política AmazonInspector2ReadOnlyAccess a suas identidades do IAM.

Essa política concede permissões de acesso somente leitura ao Amazon Inspector.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • inspector2: oferece acesso somente de leitura à funcionalidade do Amazon Inspector.

  • organizations: permite que detalhes sobre a cobertura do Amazon Inspector para uma organização sejam visualizados pelo AWS Organizations.

  • codeguru-security: permite que trechos de código sejam recuperados do CodeGuru Security. Também permite que as configurações de criptografia do código armazenado no CodeGuru Security sejam visualizadas.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators",
				"organizations:ListAWSServiceAccessForOrganization",
				"organizations:DescribeOrganizationalUnit",
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization",
				"inspector2:BatchGet*",
				"inspector2:List*",
				"inspector2:Describe*",
				"inspector2:Get*",
				"inspector2:Search*",
				"codeguru-security:BatchGetFindings",
				"codeguru-security:GetAccountConfiguration"
			],
			"Resource": "*"
		}
	]
}

Política gerenciada AWS: AmazonInspector2ManagedCisPolicy

Também é possível anexar a política AmazonInspector2ManagedCisPolicy às suas entidades do IAM. Essa política deve ser anexada a um perfil que conceda permissões às suas instâncias do Amazon EC2 para executar verificações do CIS para a instância. Você pode usar um perfil do IAM com o objetivo de gerenciar credenciais temporárias para aplicações em execução em uma instância do EC2 e fazer solicitações da AWS CLI ou da API da AWS. É preferível fazer isso a armazenar chaves de acesso na instância do EC2. Para atribuir um perfil da AWS a uma instância do EC2 e disponibilizá-la para todas as suas aplicações, crie um perfil de instância que esteja anexado a ela. Um perfil de instância contém o perfil e permite que os programas em execução na instância do EC2 obtenham credenciais temporárias. Para mais informações, consulte Utilizar um perfil do IAM para conceder permissões a aplicações em execução nas instâncias do Amazon EC2 no Guia do usuário do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • inspector2: permite acesso às ações usadas para executar verificações do CIS.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "inspector2:StartCisSession", 
            "inspector2:StopCisSession", 
            "inspector2:SendCisSessionTelemetry", 
            "inspector2:SendCisSessionHealth"
            ],
            "Resource": "*",
        }
     ]
 }

Política gerenciada da AWS: AmazonInspector2ServiceRolePolicy

Não é possível anexar a política AmazonInspector2ServiceRolePolicy às suas entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Amazon Inspector realize ações em seu nome. Para ter mais informações, consulte Uso de funções vinculadas a serviço para o Amazon Inspector.

Política gerenciada da AWS: AmazonInspector2AgentlessServiceRolePolicy

Não é possível anexar a política AmazonInspector2AgentlessServiceRolePolicy às suas entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Amazon Inspector realize ações em seu nome. Para ter mais informações, consulte Uso de funções vinculadas a serviço para o Amazon Inspector.

Atualizações do Amazon Inspector para políticas gerenciadas pela AWS

Visualize detalhes sobre atualizações em políticas gerenciadas pela AWS para o Amazon Inspector desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre mudanças nesta página, assine o feed RSS na página Histórico de documentos do Amazon Inspector.

Alteração Descrição Data

AmazonInspector2ServiceRolePolicy: atualizações de uma política existente

O Amazon Inspector adicionou novas permissões para que o Amazon Inspector retorne etiquetas de funções no AWS Lambda.

31 de julho de 2024

AmazonInspector2FullAccess: atualizações de uma política existente

O Amazon Inspector adicionou permissões para que o Amazon Inspector crie o perfil vinculado ao serviço AWSServiceRoleForAmazonInspector2Agentless. Isso permite que os usuários realizem verificações baseadas em agente e verificações sem agente quando habilitam o Amazon Inspector.

24 de abril de 2024

AmazonInspector2ManagedCisPolicy: nova política

O Amazon Inspector adicionou uma nova política gerenciada que você pode usar como parte de um perfil de instância para permitir verificações do CIS em uma instância.

 23 de janeiro de 2024

AmazonInspector2ServiceRolePolicy: atualizações de uma política existente

O Amazon Inspector adicionou novas permissões para que o Amazon Inspector inicie verificações do CIS em instâncias de destino.

 23 de janeiro de 2024

AmazonInspector2AgentlessServiceRolePolicy — Nova política

O Amazon Inspector adicionou uma nova política de função vinculada ao serviço para permitir a verificação sem agente da instância do EC2.

 27 de novembro de 2023

AmazonInspector2ReadOnlyAccess: atualizações de uma política existente

O Amazon Inspector adicionou novas permissões que permitem que usuários somente de leitura recuperem detalhes de inteligência de vulnerabilidade para descobertas de vulnerabilidades de pacotes.

 22 de setembro de 2023

AmazonInspector2ServiceRolePolicy: atualizações de uma política existente

O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector verifique as configurações de rede das instâncias do Amazon EC2 que fazem parte dos grupos-alvo do Elastic Load Balancing.

 31 de agosto de 2023

AmazonInspector2ReadOnlyAccess: atualizações de uma política existente

O Amazon Inspector adicionou novas permissões que permitem que usuários somente para leitura exportem a SBOM (Lista de Materiais de Software) para seus recursos.

 29 de junho de 2023

AmazonInspector2ReadOnlyAccess: atualizações de uma política existente

O Amazon Inspector adicionou novas permissões que permitem que usuários somente de leitura recuperem detalhes das configurações de criptografia das descobertas da digitalização de código Lambda em suas contas.

 13 de junho de 2023

AmazonInspector2FullAccess: atualizações de uma política existente

O Amazon Inspector adicionou novas permissões que permitem aos usuários configurar uma chave KMS gerenciada pelo cliente para criptografar o código nas descobertas da digitalização de código Lambda.

 13 de junho de 2023

AmazonInspector2ReadOnlyAccess: atualizações de uma política existente

O Amazon Inspector adicionou novas permissões que permitem que usuários somente de leitura recuperem detalhes do status e descobertas da verificação de código Lambda para sua conta.

 2 de maio de 2023

AmazonInspector2ServiceRolePolicy: atualizações de uma política existente

O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector crie canais associados a serviços do AWS CloudTrail em sua conta ao ativar a verificação do Lambda. Isso permite que o Amazon Inspector monitore eventos do CloudTrail em sua conta.

 30 de abril de 2023

AmazonInspector2FullAccess: atualizações de uma política existente

O Amazon Inspector adicionou novas permissões que permitem que usuários recuperem detalhes de descobertas de vulnerabilidade de código da verificação de código Lambda.

 21 de abril de 2023

AmazonInspector2ServiceRolePolicy: atualizações de uma política existente

O Amazon Inspector adicionou novas permissões para que o Amazon Inspector envie informações ao Amazon EC2 Systems Manager sobre os caminhos personalizados que um cliente definiu para a inspeção profunda do Amazon EC2.

 17 de abril de 2023

AmazonInspector2ServiceRolePolicy: atualizações de uma política existente

O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector crie canais associados a serviços do AWS CloudTrail em sua conta ao ativar a verificação do Lambda. Isso permite que o Amazon Inspector monitore eventos do CloudTrail em sua conta.

 30 de abril de 2023

AmazonInspector2ServiceRolePolicy: atualizações de uma política existente

O Amazon Inspector adicionou novas permissões que permitem ao Amazon Inspector solicitar verificações do código do desenvolvedor em funções do AWS Lambda e receber dados de verificação do Amazon CodeGuru Security. Além disso, o Amazon Inspector adicionou permissões para examinar as políticas do IAM. O Amazon Inspector usa essas informações para verificar as vulnerabilidades do código nas funções do Lambda.

 28 de fevereiro de 2023

AmazonInspector2ServiceRolePolicy: atualizações de uma política existente

O Amazon Inspector adicionou uma nova declaração que permite ao Amazon Inspector recuperar informações do CloudWatch sobre quando uma função do AWS Lambda foi invocada pela última vez. O Amazon Inspector usa essas informações para focar as varreduras nas funções do lambda em seu ambiente que estiveram ativas nos últimos 90 dias.

 20 de fevereiro de 2023

AmazonInspector2ServiceRolePolicy: atualizações de uma política existente

O Amazon Inspector adicionou uma nova declaração que permite ao Amazon Inspector recuperar informações sobre funções do AWS Lambda, incluindo cada versão de camada associada a cada função. O Amazon Inspector usa essas informações para verificar se há vulnerabilidades de segurança nas funções do Lambda.

 28 de novembro de 2022

AmazonInspector2ServiceRolePolicy: atualizações de uma política existente

O Amazon Inspector adicionou uma nova ação para permitir que o Amazon Inspector descreva execuções de associação do SSM. Além disso, o Amazon Inspector também adicionou um escopo adicional de recursos para permitir que o Amazon Inspector crie, atualize, exclua e inicie associações do SSM com documentos do SSM de propriedade do AmazonInspector2.

 31 de agosto de 2022

AmazonInspector2ServiceRolePolicy: atualizações de uma política existente

O Amazon Inspector atualizou o escopo dos recursos da política do para permitir que o Amazon Inspector colete inventário de software em outras partições da AWS.

 12 de agosto de 2022

AmazonInspector2ServiceRolePolicy: atualizações de uma política existente

O Amazon Inspector estruturou novamente o escopo dos recursos das ações, permitindo que o Amazon Inspector crie, exclua e atualize associações de SSM.

 10 de agosto de 2022

AmazonInspector2ReadOnlyAccess: nova política

O Amazon Inspector adicionou uma nova política para permitir acesso somente leitura à funcionalidade do Amazon Inspector.

 21 de janeiro de 2022

AmazonInspector2FullAccess: nova política

O Amazon Inspector adicionou uma nova política para permitir acesso total à funcionalidade do Amazon Inspector.

 29 de novembro de 2021

AmazonInspector2ServiceRolePolicy: nova política

O Amazon Inspector adicionou uma nova política para permitir que o Amazon Inspector execute ações em outros serviços em seu nome.

 29 de novembro de 2021

O Amazon Inspector passou a monitorar alterações

O Amazon Inspector passou a controlar as alterações para as políticas gerenciadas pela AWS.

 29 de novembro de 2021