本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Amazon Inspector 的托管政策
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 当新服务启动或现有服务 AWS 服务 有新API操作可用时,最有可能更新 AWS 托管策略。
有关更多信息,请参阅《IAM用户指南》中的AWS 托管策略。
AWS 托管策略:AmazonInspector2FullAccess
您可以将该AmazonInspector2FullAccess策略附加到您的IAM身份。
此策略授予允许完全访问 Amazon Inspector 的权限。
权限详细信息
该策略包含以下权限。
-
inspector2– 允许完全访问 Amazon Inspector 功能。 -
iam— 允许 Amazon Inspector 创建与服务相关的角色AWSServiceRoleForAmazonInspector2和。AWSServiceRoleForAmazonInspector2AgentlessAWSServiceRoleForAmazonInspector2是 Amazon Inspector 执行诸如检索有关您的亚马逊EC2实例、亚马逊ECR存储库和容器映像的信息之类的操作所必需的。Amazon Inspector 还需要分析您的VPC网络并描述与您的组织关联的账户。AWSServiceRoleForAmazonInspector2Agentless是 Amazon Inspector 执行操作所必需的,例如检索有关您的亚马逊EC2实例和亚马逊EBS快照的信息。还需要解密使用密钥加密的 Amazon EBS 快照。 AWS KMS 有关更多信息,请参阅 对 Amazon Inspector 使用服务相关角色。 -
organizations— 允许管理员将 Amazon Inspector 用于 AWS Organizations中的组织。当您在中激活 Amazon Inspector 的可信访问权限时 AWS Organizations,委托管理员账户的成员可以管理其组织中的设置并查看调查结果。 -
codeguru-security— 允许管理员使用 Amazon Inspector 检索信息代码片段并更改 CodeGuru 安全部门存储的代码的加密设置。有关更多信息,请参阅 对调查发现中的代码进行静态加密。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowFullAccessToInspectorApis", "Effect": "Allow", "Action": "inspector2:*", "Resource": "*" }, { "Sid": "AllowAccessToCodeGuruApis", "Effect": "Allow", "Action": [ "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration" ], "Resource": "*" }, { "Sid": "AllowAccessToCreateSlr", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "agentless.inspector2.amazonaws.com", "inspector2.amazonaws.com" ] } } }, { "Sid": "AllowAccessToOrganizationApis", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" } ] }
AWS 托管策略:AmazonInspector2ReadOnlyAccess
您可以将该AmazonInspector2ReadOnlyAccess策略附加到您的IAM身份。
此策略授予允许对 Amazon Inspector 进行只读访问的权限。
权限详细信息
该策略包含以下权限。
-
inspector2– 允许以只读方式访问 Amazon Inspector 功能。 -
organizations— 允许查看有关组织的 Amazon Inspector 覆盖范围 AWS Organizations 的详细信息。 -
codeguru-security— 允许从 “ CodeGuru 安全” 中检索代码片段。还允许查看存储在 “ CodeGuru 安全” 中的代码的加密设置。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "inspector2:BatchGet*", "inspector2:List*", "inspector2:Describe*", "inspector2:Get*", "inspector2:Search*", "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration" ], "Resource": "*" } ] }
AWS 托管策略:AmazonInspector2ManagedCisPolicy
您可以将该AmazonInspector2ManagedCisPolicy策略附加到您的IAM实体。此策略应附加到一个角色,该角色授予您的 Amazon EC2 实例运行实例CIS扫描的权限。您可以使用IAM角色管理在EC2实例上运行并发出 AWS CLI 或 AWS API请求的应用程序的临时证书。这比在EC2实例中存储访问密钥更可取。要为EC2实例分配 AWS 角色并使其可供其所有应用程序使用,您需要创建一个附加到该实例的实例配置文件。实例配置文件包含角色并允许在EC2实例上运行的程序获得临时证书。有关更多信息,请参阅IAM用户指南中的使用IAM角色向在 Amazon EC2 实例上运行的应用程序授予权限。
权限详细信息
该策略包含以下权限。
-
inspector2— 允许访问用于运行CIS扫描的操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector2:StartCisSession", "inspector2:StopCisSession", "inspector2:SendCisSessionTelemetry", "inspector2:SendCisSessionHealth" ], "Resource": "*", } ] }
AWS 托管策略:AmazonInspector2ServiceRolePolicy
您不能将该AmazonInspector2ServiceRolePolicy策略附加到您的IAM实体。将此策略附加到允许 Amazon Inspector 代表您执行操作的服务相关角色。有关更多信息,请参阅 对 Amazon Inspector 使用服务相关角色。
AWS 托管策略:AmazonInspector2AgentlessServiceRolePolicy
您不能将该AmazonInspector2AgentlessServiceRolePolicy策略附加到您的IAM实体。将此策略附加到允许 Amazon Inspector 代表您执行操作的服务相关角色。有关更多信息,请参阅 对 Amazon Inspector 使用服务相关角色。
Amazon Inspector 更新 AWS 了托管政策
查看自该服务开始跟踪这些更改以来对 Amazon Inspector AWS 托管政策的更新的详细信息。要获取有关此页面变更的自动提醒,请在 Amazon Inspector 文档历史记录页面上订阅 RSS Feed。
| 更改 | 描述 | 日期 |
|---|---|---|
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了新的权限,允许亚马逊 Inspector 返回函数标签 AWS Lambda。 |
2024年7月31日 |
|
AmazonInspector2 FullAccess — 对现有政策的更新 |
Amazon Inspector 增加了允许 Amazon Inspector 创建服务相关角色的权限。 |
2024 年 4 月 24 日 |
|
Amazon Inspector 添加了一个新的托管策略,您可以将其用作实例配置文件的一部分,以允许对实例CIS进行扫描。 |
2024 年 1 月 23 日 | |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了新的权限,允许亚马逊 Inspector 开始对目标实例CIS进行扫描。 |
2024 年 1 月 23 日 |
|
Amazon Inspector 添加了一项新的服务相关角色策略,允许对实例进行无代理扫描。EC2 |
2023 年 11 月 27 日 | |
|
AmazonInspector2 ReadOnlyAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许只读用户检索程序包脆弱性调查发现的脆弱性情报详细信息。 |
2023 年 9 月 22 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许亚马逊 Inspector 扫描属于 Elastic Load Balancing 目标群组的亚马逊EC2实例的网络配置。 |
2023 年 8 月 31 日 |
|
AmazonInspector2 ReadOnlyAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许只读用户为其资源导出软件物料清单 (SBOM)。 |
2023 年 6 月 29 日 |
|
AmazonInspector2 ReadOnlyAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许只读用户检索其账户的 Lambda 代码扫描结果的加密设置详情。 |
2023 年 6 月 13 日 |
|
AmazonInspector2 FullAccess — 对现有政策的更新 |
Amazon Inspector 添加了新的权限,允许用户配置客户托管KMS密钥来加密 Lambda 代码扫描结果中的代码。 |
2023 年 6 月 13 日 |
|
AmazonInspector2 ReadOnlyAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许只读用户检索其账户的 Lambda 代码扫描状态和结果的详细信息。 |
2023 年 5 月 2 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了新的权限,允许亚马逊检查员在您激活 Lambda 扫描时在您的账户中创建 AWS CloudTrail 与服务相关的渠道。这样,Amazon Inspector 就可以监控您账户中的 CloudTrail 事件。 |
2023 年 4 月 30 日 |
|
AmazonInspector2 FullAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许用户检索 Lambda 代码扫描脆弱性调查发现的详细信息。 |
2023 年 4 月 21 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许亚马逊 Inspector 向亚马逊EC2系统管理器发送有关客户为亚马逊EC2深度检查定义的自定义路径的信息。 |
2023 年 4 月 17 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了新的权限,允许亚马逊检查员在您激活 Lambda 扫描时在您的账户中创建 AWS CloudTrail 与服务相关的渠道。这样,Amazon Inspector 就可以监控您账户中的 CloudTrail 事件。 |
2023 年 4 月 30 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许亚马逊 Inspector 请求扫描 AWS Lambda 函数中的开发者代码,并从亚马逊 CodeGuru 安全部门接收扫描数据。此外,Amazon Inspector 还增加了审查IAM政策的权限。Amazon Inspector 使用这些信息扫描 Lambda 函数中是否存在代码脆弱性。 |
2023 年 2 月 28 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了一条新语句,允许 Amazon Inspector 检索 CloudWatch 有关上次调用 AWS Lambda 函数的时间的信息。Amazon Inspector 使用这些信息将扫描重点放在您环境中过去 90 天内处于活动状态的 Lambda 函数上。 |
2023 年 2 月 20 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了一个新声明,允许亚马逊 Inspector 检索有关 AWS Lambda 函数的信息,包括与每个函数关联的每个层版本。Amazon Inspector 使用这些信息扫描 Lambda 函数中是否存在安全脆弱性。 |
2022 年 11 月 28 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了一项新操作,允许亚马逊 Inspector 描述SSM关联执行情况。此外,Amazon Inspector 还添加了额外的资源范围界定,以允许 Amazon Inspector 创建、更新、删除和启动与 |
2022 年 8 月 31 日 |
|
AmazonInspector2 对现有政策的ServiceRolePolicy更新 |
Amazon Inspector 更新了政策的资源范围,允许亚马逊 Inspector 收集其他 AWS 分区中的软件库存。 |
2022 年 8 月 12 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 重组了操作的资源范围,允许 Amazon Inspector 创建、删除和更新SSM关联。 |
2022 年 8 月 10 日 |
|
Amazon Inspector 增加了一项新策略,允许以只读方式访问 Amazon Inspector 功能。 |
2022 年 1 月 21 日 | |
|
Amazon Inspector 增加了一项新策略,允许完全访问 Amazon Inspector 功能。 |
2021 年 11 月 29 日 | |
|
Amazon Inspector 增加了一项新策略,允许 Amazon Inspector 代表您在其他服务中执行操作。 |
2021 年 11 月 29 日 | |
|
Amazon Inspector 开始跟踪更改 |
Amazon Inspector 开始跟踪其 AWS 托管政策的变更。 |
2021 年 11 月 29 日 |
