這是 Amazon Inspector 經典的用戶指南。如需有關新 Amazon Inspector 查器的資訊,請參閱 Amazon Inspector 使用者指南。若要存取 Amazon Inspector 經典主控台,請在 https://console.aws.amazon.com/inspector/
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
亞馬遜檢查器經典版如何使用 IAM
在您使用 IAM 管理 Amazon 檢查器的存取權限之前,請先了解哪些 IAM 功能可與 Amazon Inspector 搭配使用。
若要深入瞭解 Amazon Inspector 和其他 AWS 服務如何搭配大多數 IAM 功能使用,請參閱 IAM 使用者指南中的可與 IAM 搭配使用的AWS 服務。
Amazon Inspector 基於身份的政策
|
支援身分型政策 |
是 |
身分型政策是可以連接到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。若要了解如何建立身分類型政策,請參閱《IAM 使用者指南》中的建立 IAM 政策。
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。您無法在身分型政策中指定主體,因為這會套用至連接的使用者或角色。如要了解您在 JSON 政策中使用的所有元素,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素參考。
Amazon Inspector 基於身份的政策示例
若要檢視 Amazon Inspector 以身分識別為基礎的政策範例,請參閱。Amazon Inspector 經典版的基於身份的政策示例
Amazon Inspector 內的資源型政策
|
支援以資源基礎的政策 |
否 |
資源型政策是附加到資源的 JSON 政策文件。資源型政策的最常見範例是 IAM 角色信任政策和 Amazon S3 儲存貯體政策。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。對於附加政策的資源,政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中指定主體。主參與者可以包括帳戶、使用者、角色、同盟使用者或。 AWS 服務
如需啟用跨帳戶存取權,您可以指定在其他帳戶內的所有帳戶或 IAM 實體,作為資源型政策的主體。新增跨帳戶主體至資源型政策,只是建立信任關係的一半。當主體和資源位於不同時 AWS 帳戶,受信任帳戶中的 IAM 管理員也必須授與主體實體 (使用者或角色) 權限,才能存取資源。其透過將身分型政策連接到實體來授與許可。不過,如果資源型政策會為相同帳戶中的主體授予存取,這時就不需要額外的身分型政策。如需詳細資訊,請參閱 IAM 使用者指南中的 IAM 中的跨帳戶資源存取。
Amazon Inspector 的政策行動
|
支援政策動作 |
是 |
管理員可以使用 AWS JSON 政策來指定誰可以存取哪些內容。也就是說,哪個主體在什麼条件下可以對什麼資源執行哪些動作。
JSON 政策的 Action 元素描述您可以用來允許或拒絕政策中存取的動作。原則動作通常與關聯的 AWS API 作業具有相同的名稱。有一些例外狀況,例如沒有相符的 API 操作的僅限許可動作。也有一些作業需要政策中的多個動作。這些額外的動作稱為相依動作。
政策會使用動作來授予執行相關聯動作的許可。
若要查看 Amazon 檢查器動作清單,請參閱服務授權參考中由 Amazon Inspector 經典版定義的動作。
Amazon Inspector 中的政策動作會在動作之前使用下列前置詞:
inspector
若要在單一陳述式中指定多個動作,請用逗號分隔。
"Action": [ "inspector:action1", "inspector:action2" ]
下列許可政策授權使用者執行開頭為 Describe 和 List 的所有操作。這些作業會顯示 Amazon Inspector 資源的相關資訊,例如評估目標或發現項目。元素中的萬用字Resource元 (*) 表示該帳戶擁有的所有 Amazon Inspector 資源都允許進行操作:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ "inspector:Describe*", "inspector:List*" ], "Resource":"*" } ] }
