本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Amazon Inspector 的受管政策
受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。
請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新API作業可供現有服務使 AWS 服務 用時,最有可能更新 AWS 受管理的策略。
如需詳細資訊,請參閱IAM使用指南中的AWS 受管理策略。
AWS 受管理策略:AmazonInspector2FullAccess
您可以將AmazonInspector2FullAccess原則附加至您的IAM身分識別。
此政策授予允許完整存取 Amazon Inspector 的管理許可。
許可詳細資訊
此政策包含以下許可。
-
inspector2— 允許完全訪問 Amazon Inspector 功能. -
iam— 允許 Amazon Inspector 創建服務鏈接角色AWSServiceRoleForAmazonInspector2和AWSServiceRoleForAmazonInspector2Agentless.AWSServiceRoleForAmazonInspector2需要 Amazon Inspector 才能執行諸如擷取有關 Amazon 執行EC2個體、Amazon ECR 儲存庫和容器映像的資訊等操作。Amazon Inspector 也需要分析您的VPC網路並描述與組織相關聯的帳戶。AWSServiceRoleForAmazonInspector2Agentless需要 Amazon Inspector 才能執行操作,例如擷取有關您的 Amazon 執行EC2個體和 Amazon EBS 快照的資訊。還需要解密使用 AWS KMS 金鑰加密的 Amazon EBS 快照。如需詳細資訊,請參閱使用 Amazon Inspector 的服務連結角色。 -
organizations— 允許管理員在中為組織使用 Amazon Inspector AWS Organizations。當您在中啟用 Amazon Inspector 的受信任存取權限時 AWS Organizations,委派管理員帳戶的成員可以管理其組織中的設定和檢視發現項目。 -
codeguru-security— 可讓管理員使用 Amazon Inspector 擷取資訊程式碼片段,並變更 CodeGuru 安全性存放之程式碼的加密設定。如需詳細資訊,請參閱靜態加密發現項目中的程式碼。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowFullAccessToInspectorApis", "Effect": "Allow", "Action": "inspector2:*", "Resource": "*" }, { "Sid": "AllowAccessToCodeGuruApis", "Effect": "Allow", "Action": [ "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration" ], "Resource": "*" }, { "Sid": "AllowAccessToCreateSlr", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "agentless.inspector2.amazonaws.com", "inspector2.amazonaws.com" ] } } }, { "Sid": "AllowAccessToOrganizationApis", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" } ] }
AWS 受管理策略:AmazonInspector2ReadOnlyAccess
您可以將AmazonInspector2ReadOnlyAccess原則附加至您的IAM身分識別。
此政策授予允許對 Amazon Inspector 進行唯讀存取的許可。
許可詳細資訊
此政策包含以下許可。
-
inspector2— 允許只讀訪問 Amazon Inspector 功能。 -
organizations— 允許檢視中組織的 Amazon Inspector 涵蓋範圍 AWS Organizations 的詳細資訊。 -
codeguru-security— 允許從 CodeGuru 安全性擷取程式碼片段。也允許檢視儲存在 [ CodeGuru 安全性] 中之程式碼的加密設定。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "inspector2:BatchGet*", "inspector2:List*", "inspector2:Describe*", "inspector2:Get*", "inspector2:Search*", "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration" ], "Resource": "*" } ] }
AWS 受管理策略:AmazonInspector2ManagedCisPolicy
您可以將AmazonInspector2ManagedCisPolicy原則附加至您的IAM實體。此政策應附加至授予 Amazon EC2 執行個體許可的角色,以執行執行個體CIS掃描。您可以使用IAM角色來管理在執行個體上EC2執行的應用程式以及發出 AWS CLI 或 AWS API要求的臨時登入資料。這比在EC2實例中存儲訪問密鑰更好。若要將 AWS 角色指派給EC2執行個體並讓其所有應用程式都能使用,請建立附加至執行個體的執行個體設定檔。執行個體設定檔包含角色,可讓執行個體上EC2執行的程式取得臨時登入資料。如需詳細資訊,請參閱使用者指南中的使用IAM角色將許可授與在 Amazon EC2 執行個體上執行的應IAM用程式。
許可詳細資訊
此政策包含以下許可。
-
inspector2— 允許存取用於執行CIS掃描的動作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector2:StartCisSession", "inspector2:StopCisSession", "inspector2:SendCisSessionTelemetry", "inspector2:SendCisSessionHealth" ], "Resource": "*", } ] }
AWS 受管理策略:AmazonInspector2ServiceRolePolicy
您無法將AmazonInspector2ServiceRolePolicy原則附加至您的IAM實體。此政策附加至服務連結角色,可讓 Amazon Inspector 代表您執行動作。如需詳細資訊,請參閱使用 Amazon Inspector 的服務連結角色。
AWS 受管理策略:AmazonInspector2AgentlessServiceRolePolicy
您無法將AmazonInspector2AgentlessServiceRolePolicy原則附加至您的IAM實體。此政策附加至服務連結角色,可讓 Amazon Inspector 代表您執行動作。如需詳細資訊,請參閱使用 Amazon Inspector 的服務連結角色。
Amazon Inspector 更新受 AWS 管政策
檢視有關 Amazon Inspector AWS 受管政策更新的詳細資訊,因為此服務開始追蹤這些變更。如需有關此頁面變更的自動警示,請訂閱 Amazon Inspector 文件歷史記錄頁面上的動RSS態消息。
| 變更 | 描述 | 日期 |
|---|---|---|
|
AmazonInspector2 ServiceRolePolicy — 現有政策的更新 |
Amazon Inspector 已經添加了新的許可,允許 Amazon Inspector 返回功能標籤 AWS Lambda。 |
2024年7月31 日 |
|
AmazonInspector2 FullAccess — 現有政策的更新 |
Amazon Inspector 已新增許可,允許 Amazon Inspector 建立服務連結角色。 |
2024年4月24日 |
|
Amazon Inspector 新增了一個新的受管政策,您可以將其用作執行個體設定檔的一部分,以便對執行個體進行CIS掃描。 |
2024 年 1 月 23 日 | |
|
AmazonInspector2 ServiceRolePolicy — 現有政策的更新 |
亞馬遜 Inspector 新增了新的許可,允許 Amazon Inspector 在目標執行個體上開始CIS掃描。 |
2024 年 1 月 23 日 |
|
Amazon Inspector 已新增服務連結角色政策,允許執行個體的無代理程式掃描。EC2 |
2023 年 11 月 27 日 | |
|
AmazonInspector2 ReadOnlyAccess — 現有政策的更新 |
Amazon Inspector 新增了新的許可,可讓唯讀使用者擷取漏洞情報詳細資訊,以便發現套件漏洞。 |
2023 年 9 月 22 日 |
|
AmazonInspector2 ServiceRolePolicy — 現有政策的更新 |
Amazon Inspector 新增了新的許可,可讓 Amazon Inspector 掃描屬於 Elastic Load Balancing 目標群組一部分之 Amazon EC2 執行個體的網路組態。 |
2023 年 8 月 31 日 |
|
AmazonInspector2 ReadOnlyAccess — 現有政策的更新 |
Amazon Inspector 新增了新的許可,允許唯讀使用者匯出其資源的軟體材料清單 (SBOM)。 |
2023 年 6 月 29 日 |
|
AmazonInspector2 ReadOnlyAccess — 現有政策的更新 |
Amazon Inspector 新增了新的許可,可讓唯讀使用者擷取其帳戶之 Lambda 程式碼掃描發現項目的加密設定詳細資料。 |
2023 年 6 月 13 日 |
|
AmazonInspector2 FullAccess — 現有政策的更新 |
Amazon Inspector 新增了新許可,可讓使用者設定客戶受管KMS金鑰,以加密 Lambda 程式碼掃描發現項目中的程式碼。 |
2023 年 6 月 13 日 |
|
AmazonInspector2 ReadOnlyAccess — 現有政策的更新 |
Amazon Inspector 新增了新的許可,可讓唯讀使用者擷取其帳戶的 Lambda 程式碼掃描狀態和發現項目的詳細資訊。 |
2023 年 5 月 2 日 |
|
AmazonInspector2 ServiceRolePolicy — 現有政策的更新 |
Amazon Inspector 已新增許可,讓 Amazon Inspector 在您啟用 Lambda 掃描時,在您的帳戶中建立 AWS CloudTrail 服務連結通道。這使 Amazon Inspector 器可以監控您帳戶中的 CloudTrail 事件。 |
2023年4月30日 |
|
AmazonInspector2 FullAccess — 現有政策的更新 |
Amazon Inspector 新增了新的許可,可讓使用者從 Lambda 程式碼掃描擷取程式碼漏洞發現的詳細資訊。 |
2023 年 4 月 21 日 |
|
AmazonInspector2 ServiceRolePolicy — 現有政策的更新 |
Amazon Inspector 新增了新的許可,允許 Amazon Inspector 將有關客戶為 Amazon EC2 深度檢查定義的自訂路徑的資訊傳送給 Amazon EC2 Systems Manager 器。 |
2023 年 4 月 17 日 |
|
AmazonInspector2 ServiceRolePolicy — 現有政策的更新 |
Amazon Inspector 已新增許可,讓 Amazon Inspector 在您啟用 Lambda 掃描時,在您的帳戶中建立 AWS CloudTrail 服務連結通道。這使 Amazon Inspector 器可以監控您帳戶中的 CloudTrail 事件。 |
2023年4月30日 |
|
AmazonInspector2 ServiceRolePolicy — 現有政策的更新 |
Amazon Inspector 新增了新的許可,允許 Amazon Inspector 請求掃描 AWS Lambda 功能中的開發人員代碼,並從 Amazon CodeGuru 安全接收掃描數據。此外,Amazon Inspector 已新增審查IAM政策的許可。Amazon Inspector 使用此資訊掃描 Lambda 函數是否存在程式碼漏洞 |
2023 年 2 月 28 日 |
|
AmazonInspector2 ServiceRolePolicy — 現有政策的更新 |
Amazon Inspector 添加了一個新的語句,允許 Amazon Inspector 從有 CloudWatch 關 AWS Lambda 函數的最後一次調用時檢索信息。Amazon Inspector 會使用此資訊,將掃描重點放在您環境中過去 90 天內處於作用中狀態的 Lambda 函數。 |
2023 年 2 月 20 日 |
|
AmazonInspector2 ServiceRolePolicy — 現有政策的更新 |
Amazon Inspector 添加了一個新的語句,允許 Amazon Inspector 檢索有關 AWS Lambda 功能的信息,包括與每個功能關聯的每個層版本。Amazon Inspector 使用此資訊掃描 Lambda 函數是否存在安全漏洞。 |
2022 年 11 月 28 日 |
|
AmazonInspector2 ServiceRolePolicy — 現有政策的更新 |
Amazon Inspector 已經添加了一個新的動作,以允許 Amazon Inspector 描述SSM關聯執行。此外,Amazon Inspector 也新增了額外的資源範圍,讓 Amazon Inspector 能夠建立、更新、刪除和啟動與 |
2022 年 8 月 31 日 |
|
AmazonInspector2 現有政策的ServiceRolePolicy更新 |
Amazon Inspector 已更新政策的資源範圍設定,以允許 Amazon Inspector 收集其他 AWS 分割區中的軟體庫存。 |
2022 年 8 月 12 日 |
|
AmazonInspector2 ServiceRolePolicy — 現有政策的更新 |
Amazon Inspector 已重新架構動作的資源範圍,讓 Amazon Inspector 能夠建立、刪除和更新關聯。SSM |
2022 年 8 月 10 日 |
|
Amazon Inspector 添加了一個新的政策,以允許對 Amazon Inspector 功能的只讀 |
2022 年 1 月 21 日 | |
|
Amazon Inspector 添加了一項新政策,以允許完全訪問 Amazon Inspector 功能。 |
2021 年 11 月 29 日 | |
|
亞馬遜 Inspector 添加了一項新政策,允許 Amazon Inspector 代表您在其他服務中執行操作。 |
2021 年 11 月 29 日 | |
|
Amazon Inspector 開始跟踪更改 |
Amazon Inspector 開始追蹤其 AWS 受管政策的變更。 |
2021 年 11 月 29 日 |
