AWS políticas gerenciadas para o Amazon Inspector - Amazon Inspector
AmazonInspector2FullAccessAmazonInspector2ReadOnlyAccessAmazonInspector2ManagedCisPolicyAmazonInspector2ServiceRolePolicyAmazonInspector2AgentlessServiceRolePolicyAtualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para o Amazon Inspector

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da  específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova Serviço da AWS é lançada ou novas API operações são disponibilizadas para os serviços existentes.

Para obter mais informações, consulte as políticas AWS gerenciadas no Guia IAM do usuário.

AWS política gerenciada: AmazonInspector2FullAccess

Você pode anexar a AmazonInspector2FullAccess política às suas IAM identidades.

Essa política concede permissões administrativas ao Amazon Inspector.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • inspector2: oferece acesso total à funcionalidade do Amazon Inspector.

  • iam— Permite que o Amazon Inspector crie as funções vinculadas ao serviço e. AWSServiceRoleForAmazonInspector2 AWSServiceRoleForAmazonInspector2Agentless AWSServiceRoleForAmazonInspector2é necessário para que o Amazon Inspector realize operações como recuperar informações sobre suas instâncias da AmazonEC2, ECR repositórios da Amazon e imagens de contêineres. Também é necessário que o Amazon Inspector analise sua VPC rede e descreva contas associadas à sua organização. AWSServiceRoleForAmazonInspector2Agentlessé necessário para que o Amazon Inspector realize operações, como recuperar informações sobre suas instâncias da Amazon EC2 e snapshots da Amazon. EBS Também é necessário descriptografar os snapshots da EBS Amazon que são criptografados com chaves. AWS KMS Para obter mais informações, consulte Uso de funções vinculadas a serviço para o Amazon Inspector.

  • organizations: permite que os administradores usem o Amazon Inspector para uma organização no AWS Organizations. Quando você ativa o acesso confiável para o Amazon Inspector em AWS Organizations, os membros da conta de administrador delegado podem gerenciar configurações e visualizar descobertas em toda a organização.

  • codeguru-security— Permite que os administradores usem o Amazon Inspector para recuperar trechos de código de informações e alterar as configurações de criptografia do código que a Segurança armazena. CodeGuru Para obter mais informações, consulte Criptografia em repouso para código em suas descobertas. 

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllowFullAccessToInspectorApis",
			"Effect": "Allow",
			"Action": "inspector2:*",
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessToCodeGuruApis",
			"Effect": "Allow",
			"Action": [
				"codeguru-security:BatchGetFindings",
				"codeguru-security:GetAccountConfiguration"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessToCreateSlr",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": [
						"agentless.inspector2.amazonaws.com",
						"inspector2.amazonaws.com"
					]
				}
			}
		},
		{
			"Sid": "AllowAccessToOrganizationApis",
			"Effect": "Allow",
			"Action": [
				"organizations:EnableAWSServiceAccess",
				"organizations:RegisterDelegatedAdministrator",
				"organizations:ListDelegatedAdministrators",
				"organizations:ListAWSServiceAccessForOrganization",
				"organizations:DescribeOrganizationalUnit",
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization"
			],
			"Resource": "*"
		}
	]
}

AWS política gerenciada: AmazonInspector2ReadOnlyAccess

Você pode anexar a AmazonInspector2ReadOnlyAccess política às suas IAM identidades.

Essa política concede permissões de acesso somente leitura ao Amazon Inspector.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • inspector2: oferece acesso somente de leitura à funcionalidade do Amazon Inspector.

  • organizations— Permite que detalhes sobre a cobertura do Amazon Inspector para uma organização sejam AWS Organizations visualizados.

  • codeguru-security— Permite que trechos de código sejam recuperados da Segurança. CodeGuru Também permite que as configurações de criptografia do seu código armazenado em CodeGuru Segurança sejam visualizadas.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators",
				"organizations:ListAWSServiceAccessForOrganization",
				"organizations:DescribeOrganizationalUnit",
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization",
				"inspector2:BatchGet*",
				"inspector2:List*",
				"inspector2:Describe*",
				"inspector2:Get*",
				"inspector2:Search*",
				"codeguru-security:BatchGetFindings",
				"codeguru-security:GetAccountConfiguration"
			],
			"Resource": "*"
		}
	]
}

AWS política gerenciada: AmazonInspector2ManagedCisPolicy

Você pode anexar a AmazonInspector2ManagedCisPolicy política às suas IAM entidades. Essa política deve ser anexada a uma função que conceda permissões às suas EC2 instâncias da Amazon para executar CIS escaneamentos da instância. Você pode usar uma IAM função para gerenciar credenciais temporárias para aplicativos que estão sendo executados em uma EC2 instância e fazendo AWS CLI AWS API solicitações. Isso é preferível ao armazenamento de chaves de acesso na EC2 instância. Para atribuir uma AWS função a uma EC2 instância e disponibilizá-la para todos os aplicativos, você cria um perfil de instância anexado à instância. Um perfil de instância contém a função e permite que os programas em execução na EC2 instância recebam credenciais temporárias. Para obter mais informações, consulte Como usar uma IAM função para conceder permissões a aplicativos executados em EC2 instâncias da Amazon no Guia IAM do usuário.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • inspector2— Permite acesso às ações usadas para executar CIS escaneamentos.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "inspector2:StartCisSession", 
            "inspector2:StopCisSession", 
            "inspector2:SendCisSessionTelemetry", 
            "inspector2:SendCisSessionHealth"
            ],
            "Resource": "*",
        }
     ]
 }

AWS política gerenciada: AmazonInspector2ServiceRolePolicy

Você não pode vincular a AmazonInspector2ServiceRolePolicy política às suas IAM entidades. Essa política é anexada a uma função vinculada ao serviço que permite que o Amazon Inspector realize ações em seu nome. Para obter mais informações, consulte Uso de funções vinculadas a serviço para o Amazon Inspector.

AWS política gerenciada: AmazonInspector2AgentlessServiceRolePolicy

Você não pode vincular a AmazonInspector2AgentlessServiceRolePolicy política às suas IAM entidades. Essa política é anexada a uma função vinculada ao serviço que permite que o Amazon Inspector realize ações em seu nome. Para obter mais informações, consulte Uso de funções vinculadas a serviço para o Amazon Inspector.

Atualizações do Amazon Inspector para AWS políticas gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Inspector desde que esse serviço começou a rastrear essas alterações. Para alertas automáticos sobre alterações nesta página, assine o RSS feed na página de histórico de documentos do Amazon Inspector.

Alteração Descrição Data

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector retorne etiquetas de função. AWS Lambda

 31 de julho de 2024

AmazonInspector2 FullAccess — Atualizações em uma política existente

O Amazon Inspector adicionou permissões que permitem que o Amazon Inspector crie a AWSServiceRoleForAmazonInspector2Agentless função vinculada ao serviço. Isso permite que os usuários realizem escaneamento baseado em agente e escaneamento sem agente quando ativam o Amazon Inspector.

24 de abril de 2024

AmazonInspector2 ManagedCisPolicy — Nova política

O Amazon Inspector adicionou uma nova política gerenciada que você pode usar como parte de um perfil de instância para permitir CIS escaneamentos em uma instância.

 23 de janeiro de 2024

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector CIS inicie escaneamentos nas instâncias de destino.

 23 de janeiro de 2024

AmazonInspector2 AgentlessServiceRolePolicy — Nova política

O Amazon Inspector adicionou uma nova política de função vinculada ao serviço para permitir a verificação sem agente da instância. EC2

 27 de novembro de 2023

AmazonInspector2 ReadOnlyAccess — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que usuários somente de leitura recuperem detalhes de inteligência de vulnerabilidade para descobertas de vulnerabilidades de pacotes.

 22 de setembro de 2023

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector escaneie configurações de rede de instâncias da EC2 Amazon que fazem parte dos grupos-alvo do Elastic Load Balancing.

 31 de agosto de 2023

AmazonInspector2 ReadOnlyAccess — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que usuários somente para leitura exportem a lista de materiais de software (SBOM) para seus recursos.

 29 de junho de 2023

AmazonInspector2 ReadOnlyAccess — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que usuários somente de leitura recuperem detalhes das configurações de criptografia das descobertas da digitalização de código Lambda em suas contas.

 13 de junho de 2023

AmazonInspector2 FullAccess — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem aos usuários configurar uma KMS chave gerenciada pelo cliente para criptografar o código nas descobertas da digitalização de código Lambda.

 13 de junho de 2023

AmazonInspector2 ReadOnlyAccess — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que usuários somente de leitura recuperem detalhes do status e descobertas da verificação de código Lambda para sua conta.

 2 de maio de 2023

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector AWS CloudTrail crie canais vinculados a serviços em sua conta quando você ativa a digitalização Lambda. Isso permite que o Amazon Inspector monitore CloudTrail eventos em sua conta.

 30 de abril de 2023

AmazonInspector2 FullAccess — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que usuários recuperem detalhes de descobertas de vulnerabilidade de código da verificação de código Lambda.

 21 de abril de 2023

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector envie informações ao Amazon Systems EC2 Manager sobre os caminhos personalizados que um cliente definiu para a inspeção profunda da AmazonEC2.

 17 de abril de 2023

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector AWS CloudTrail crie canais vinculados a serviços em sua conta quando você ativa a digitalização Lambda. Isso permite que o Amazon Inspector monitore CloudTrail eventos em sua conta.

 30 de abril de 2023

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector solicite escaneamentos do código do desenvolvedor AWS Lambda em funções e receba dados de escaneamento da Amazon Security. CodeGuru Além disso, o Amazon Inspector adicionou permissões para revisar IAM políticas. O Amazon Inspector usa essas informações para verificar as vulnerabilidades do código nas funções do Lambda.

 28 de fevereiro de 2023

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou uma nova declaração que permite ao Amazon Inspector recuperar informações sobre quando AWS Lambda uma função foi invocada CloudWatch pela última vez. O Amazon Inspector usa essas informações para focar as varreduras nas funções do lambda em seu ambiente que estiveram ativas nos últimos 90 dias.

 20 de fevereiro de 2023

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou uma nova declaração que permite ao Amazon Inspector recuperar informações AWS Lambda sobre funções, incluindo cada versão de camada associada a cada função. O Amazon Inspector usa essas informações para verificar se há vulnerabilidades de segurança nas funções do Lambda.

 28 de novembro de 2022

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou uma nova ação para permitir que o Amazon Inspector descreva as execuções de SSM associações. Além disso, o Amazon Inspector adicionou um escopo adicional de recursos para permitir que o Amazon Inspector crie, atualize, exclua e SSM inicie associações com documentos de propriedade. AmazonInspector2 SSM

 31 de agosto de 2022

AmazonInspector2 ServiceRolePolicy Atualizações em uma política existente

O Amazon Inspector atualizou o escopo dos recursos da política para permitir que o Amazon Inspector colete inventário de software em outras partições. AWS

12 de agosto de 2022

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector reestruturou o escopo dos recursos das ações, permitindo que o Amazon Inspector crie, exclua e atualize associações. SSM

 10 de agosto de 2022

AmazonInspector2 ReadOnlyAccess — Nova política

O Amazon Inspector adicionou uma nova política para permitir acesso somente leitura à funcionalidade do Amazon Inspector.

 21 de janeiro de 2022

AmazonInspector2 FullAccess — Nova política

O Amazon Inspector adicionou uma nova política para permitir acesso total à funcionalidade do Amazon Inspector.

 29 de novembro de 2021

AmazonInspector2 ServiceRolePolicy — Nova política

O Amazon Inspector adicionou uma nova política para permitir que o Amazon Inspector execute ações em outros serviços em seu nome.

 29 de novembro de 2021

O Amazon Inspector passou a monitorar alterações

O Amazon Inspector começou a rastrear as alterações em suas políticas AWS gerenciadas.

 29 de novembro de 2021