本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Amazon Inspector 的 受管政策
AWS 受管政策是由 AWS AWS .managed 政策建立和管理的獨立政策旨在為許多常見使用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受管政策中 AWS 定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。 AWS 最有可能在 AWS 服務 啟動新的 或現有 服務可用的新API操作時更新受 AWS 管政策。
如需詳細資訊,請參閱 IAM 使用者指南 中的 AWS 受管政策。
AWS 受管政策:AmazonInspector2FullAccess
您可以將AmazonInspector2FullAccess政策連接至身分IAM。
此政策會授予允許完整存取 Amazon Inspector 的管理許可。
許可詳細資訊
此政策包含以下許可。
-
inspector2– 允許完整存取 Amazon Inspector 功能。 -
iam– 允許 Amazon Inspector 建立服務連結角色,AWSServiceRoleForAmazonInspector2而AWSServiceRoleForAmazonInspector2Agentless。AWSServiceRoleForAmazonInspector2Amazon Inspector 需要 來執行操作,例如擷取 Amazon EC2執行個體、Amazon ECR儲存庫和容器映像的相關資訊。Amazon Inspector 也需要分析您的VPC網路並描述與您組織相關聯的帳戶。Amazon InspectorAWSServiceRoleForAmazonInspector2Agentless需要 來執行操作,例如擷取有關 Amazon EC2執行個體和 Amazon EBS快照的資訊。也需要解密使用 AWS KMS 金鑰加密的 Amazon EBS快照。如需詳細資訊,請參閱使用 Amazon Inspector 的服務連結角色。 -
organizations– 允許管理員在 中將 Amazon Inspector 用於組織 AWS Organizations。當您在 中啟用 Amazon Inspector 的受信任存取時 AWS Organizations,委派管理員帳戶的成員可以管理設定並檢視整個組織的調查結果。 -
codeguru-security– 允許管理員使用 Amazon Inspector 擷取資訊程式碼片段,並變更 CodeGuru 安全存放程式碼的加密設定。如需詳細資訊,請參閱靜態加密調查結果中的程式碼。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowFullAccessToInspectorApis", "Effect": "Allow", "Action": "inspector2:*", "Resource": "*" }, { "Sid": "AllowAccessToCodeGuruApis", "Effect": "Allow", "Action": [ "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration" ], "Resource": "*" }, { "Sid": "AllowAccessToCreateSlr", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "agentless.inspector2.amazonaws.com", "inspector2.amazonaws.com" ] } } }, { "Sid": "AllowAccessToOrganizationApis", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" } ] }
AWS 受管政策:AmazonInspector2ReadOnlyAccess
您可以將AmazonInspector2ReadOnlyAccess政策連接至身分IAM。
此政策會授予許可,允許對 Amazon Inspector 進行唯讀存取。
許可詳細資訊
此政策包含以下許可。
-
inspector2– 允許唯讀存取 Amazon Inspector 功能。 -
organizations– 允許 AWS Organizations 檢視 中組織 Amazon Inspector 涵蓋範圍的詳細資訊。 -
codeguru-security– 允許從 CodeGuru Security 擷取程式碼片段。也允許檢視存放在 CodeGuru Security 中程式碼的加密設定。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "inspector2:BatchGet*", "inspector2:List*", "inspector2:Describe*", "inspector2:Get*", "inspector2:Search*", "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration" ], "Resource": "*" } ] }
AWS 受管政策:AmazonInspector2ManagedCisPolicy
您可以將AmazonInspector2ManagedCisPolicy政策連接至您的IAM實體。此政策應附加至授予 Amazon EC2執行個體執行執行個體CIS掃描許可的角色。您可以使用 IAM角色來管理在EC2執行個體上執行之應用程式的臨時憑證,以及提出 AWS CLI 或 AWS API請求。最好將存取金鑰存放在EC2執行個體中。若要將 AWS 角色指派給EC2執行個體並將其提供給其所有應用程式,您可以建立連接至執行個體的執行個體設定檔。執行個體設定檔包含 角色,並啟用在EC2執行個體上執行的程式,以取得臨時憑證。如需詳細資訊,請參閱 IAM 使用者指南 中的使用 IAM角色將許可授予在 Amazon EC2執行個體上執行的應用程式。
許可詳細資訊
此政策包含以下許可。
-
inspector2– 允許存取用於執行CIS掃描的動作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector2:StartCisSession", "inspector2:StopCisSession", "inspector2:SendCisSessionTelemetry", "inspector2:SendCisSessionHealth" ], "Resource": "*", } ] }
AWS 受管政策:AmazonInspector2ServiceRolePolicy
您無法將AmazonInspector2ServiceRolePolicy政策連接至IAM實體。此政策會連接至服務連結角色,讓 Amazon Inspector 代表您執行動作。如需詳細資訊,請參閱使用 Amazon Inspector 的服務連結角色。
AWS 受管政策:AmazonInspector2AgentlessServiceRolePolicy
您無法將AmazonInspector2AgentlessServiceRolePolicy政策連接至IAM實體。此政策會連接至服務連結角色,讓 Amazon Inspector 代表您執行動作。如需詳細資訊,請參閱使用 Amazon Inspector 的服務連結角色。
Amazon Inspector 對 AWS 受管政策的更新
檢視自此服務開始追蹤這些變更以來,Amazon Inspector 受 AWS 管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 Amazon Inspector 文件歷史記錄頁面上的RSS摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
AmazonInspector2ServiceRolePolicy – 現有政策的更新 |
Amazon Inspector 已新增允許 Amazon Inspector 在 中傳回函數標籤的新許可 AWS Lambda。 |
2024 年 7 月 31 日 |
|
AmazonInspector2FullAccess – 現有政策的更新 |
Amazon Inspector 已新增許可,允許 Amazon Inspector 建立服務連結角色 |
2024 年 4 月 24 日 |
|
Amazon Inspector 已新增新的受管政策,您可以將其作為執行個體設定檔的一部分,以允許對執行個體進行CIS掃描。 |
2024 年 1 月 23 日 | |
|
AmazonInspector2ServiceRolePolicy – 現有政策的更新 |
Amazon Inspector 已新增允許 Amazon Inspector 開始CIS掃描目標執行個體的新許可。 |
2024 年 1 月 23 日 |
|
Amazon Inspector 已新增服務連結角色政策,以允許無代理程式掃描EC2執行個體。 |
2023 年 11 月 27 日 | |
|
AmazonInspector2ReadOnlyAccess – 現有政策的更新 |
Amazon Inspector 已新增新的許可,允許唯讀使用者擷取套件漏洞調查結果的漏洞情報詳細資訊。 |
2023 年 9 月 22 日 |
|
AmazonInspector2ServiceRolePolicy – 現有政策的更新 |
Amazon Inspector 已新增新的許可,允許 Amazon Inspector 掃描屬於 Elastic Load Balancing 目標群組的 Amazon EC2執行個體的網路組態。 |
2023 年 8 月 31 日 |
|
AmazonInspector2ReadOnlyAccess – 現有政策的更新 |
Amazon Inspector 已新增新的許可,允許唯讀使用者匯出資源的軟體物料清單 (SBOM)。 |
2023 年 6 月 29 日 |
|
AmazonInspector2ReadOnlyAccess – 現有政策的更新 |
Amazon Inspector 已新增新的許可,允許唯讀使用者擷取其帳戶的 Lambda 程式碼掃描調查結果加密設定的詳細資訊。 |
2023 年 6 月 13 日 |
|
AmazonInspector2FullAccess – 現有政策的更新 |
Amazon Inspector 已新增新的許可,允許使用者設定客戶受管KMS金鑰,以加密 Lambda 程式碼掃描調查結果中的程式碼。 |
2023 年 6 月 13 日 |
|
AmazonInspector2ReadOnlyAccess – 現有政策的更新 |
Amazon Inspector 已新增新的許可,允許唯讀使用者擷取其帳戶的 Lambda 程式碼掃描狀態和調查結果的詳細資訊。 |
2023 年 5 月 2 日 |
|
AmazonInspector2ServiceRolePolicy – 現有政策的更新 |
Amazon Inspector 已新增新的許可,允許 Amazon Inspector 在您啟用 Lambda 掃描時,在帳戶中建立 AWS CloudTrail 服務連結頻道。這可讓 Amazon Inspector 監控您帳戶中 CloudTrail 的事件。 |
2023 年 4 月 30 日 |
|
AmazonInspector2FullAccess – 現有政策的更新 |
Amazon Inspector 已新增新的許可,允許使用者從 Lambda 程式碼掃描擷取程式碼漏洞調查結果的詳細資訊。 |
2023 年 4 月 21 日 |
|
AmazonInspector2ServiceRolePolicy – 現有政策的更新 |
Amazon Inspector 已新增新的許可,允許 Amazon Inspector 將客戶為 Amazon EC2深層檢查定義的自訂路徑的相關資訊傳送給 Amazon EC2 Systems Manager。 |
2023 年 4 月 17 日 |
|
AmazonInspector2ServiceRolePolicy – 現有政策的更新 |
Amazon Inspector 已新增新的許可,允許 Amazon Inspector 在您啟用 Lambda 掃描時,在帳戶中建立 AWS CloudTrail 服務連結頻道。這可讓 Amazon Inspector 監控您帳戶中 CloudTrail 的事件。 |
2023 年 4 月 30 日 |
|
AmazonInspector2ServiceRolePolicy – 現有政策的更新 |
Amazon Inspector 已新增新的許可,允許 Amazon Inspector 請求掃描 AWS Lambda 函數中的開發人員程式碼,並從 Amazon CodeGuru Security 接收掃描資料。此外,Amazon Inspector 已新增檢閱IAM政策的許可。Amazon Inspector 會使用此資訊掃描 Lambda 函數是否有程式碼漏洞。 |
2023 年 2 月 28 日 |
|
AmazonInspector2ServiceRolePolicy – 現有政策的更新 |
Amazon Inspector 已新增聲明,允許 Amazon Inspector 從上次調用 AWS Lambda 函數 CloudWatch 的時間擷取相關資訊。Amazon Inspector 會使用此資訊,將掃描重點放在您環境中在過去 90 天內處於作用中狀態的 Lambda 函數。 |
2023 年 2 月 20 日 |
|
AmazonInspector2ServiceRolePolicy – 現有政策的更新 |
Amazon Inspector 已新增聲明,允許 Amazon Inspector 擷取有關 AWS Lambda 函數的資訊,包括與每個函數相關聯的每個層版本。Amazon Inspector 會使用此資訊來掃描 Lambda 函數是否有安全漏洞。 |
2022 年 11 月 28 日 |
|
AmazonInspector2ServiceRolePolicy – 現有政策的更新 |
Amazon Inspector 已新增新動作,以允許 Amazon Inspector 描述SSM關聯執行。此外,Amazon Inspector 已新增其他資源範圍界定,以允許 Amazon Inspector 建立、更新、刪除和啟動與 |
2022 年 8 月 31 日 |
|
Amazon Inspector 已更新政策的資源範圍,以允許 Amazon Inspector 在其他 AWS 分割區中收集軟體庫存。 |
2022 年 8 月 12 日 | |
|
AmazonInspector2ServiceRolePolicy – 現有政策的更新 |
Amazon Inspector 已重組允許 Amazon Inspector 建立、刪除和更新SSM關聯之動作的資源範圍。 |
2022 年 8 月 10 日 |
|
Amazon Inspector 新增了一項新政策,以允許唯讀存取 Amazon Inspector 功能。 |
2022 年 1 月 21 日 | |
|
Amazon Inspector 新增了新的政策,以允許完整存取 Amazon Inspector 功能。 |
2021 年 11 月 29 日 | |
|
Amazon Inspector 新增了一項新政策,以允許 Amazon Inspector 代表您在其他 服務中執行動作。 |
2021 年 11 月 29 日 | |
|
Amazon Inspector 已開始追蹤變更 |
Amazon Inspector 開始追蹤其 AWS 受管政策的變更。 |
2021 年 11 月 29 日 |
