Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour Amazon Inspector
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle AWS service est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.
Pour plus d'informations, consultez les politiques AWS gérées dans le Guide de IAM l'utilisateur.
AWS politique gérée : AmazonInspector2FullAccess
Vous pouvez associer la AmazonInspector2FullAccess politique à votre IAM identité.
Cette politique accorde des autorisations administratives qui permettent un accès complet à Amazon Inspector.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
inspector2— Permet un accès complet aux fonctionnalités d'Amazon Inspector. -
iam— Permet à Amazon Inspector de créer les rôlesAWSServiceRoleForAmazonInspector2liés aux services et.AWSServiceRoleForAmazonInspector2AgentlessAWSServiceRoleForAmazonInspector2est nécessaire pour qu'Amazon Inspector puisse effectuer des opérations telles que la récupération d'informations sur vos EC2 instances Amazon, vos ECR référentiels Amazon et les images de conteneurs. Amazon Inspector doit également analyser votre VPC réseau et décrire les comptes associés à votre organisation.AWSServiceRoleForAmazonInspector2Agentlessest nécessaire pour qu'Amazon Inspector puisse effectuer des opérations, telles que la récupération d'informations sur vos EC2 instances Amazon et vos EBS instantanés Amazon. Il est également nécessaire de déchiffrer les EBS instantanés Amazon chiffrés à l'aide AWS KMS de clés. Pour plus d’informations, consultez Utilisation de rôles liés à un service pour Amazon Inspector. -
organizations— Permet aux administrateurs d'utiliser Amazon Inspector pour une organisation dans AWS Organizations. Lorsque vous activez l'accès sécurisé pour Amazon Inspector dans AWS Organizations, les membres du compte d'administrateur délégué peuvent gérer les paramètres et consulter les résultats au sein de leur organisation. -
codeguru-security— Permet aux administrateurs d'utiliser Amazon Inspector pour récupérer des extraits de code d'informations et modifier les paramètres de chiffrement du code stocké par CodeGuru Security. Pour plus d’informations, consultez Chiffrement inexistant pour le code contenu dans vos résultats.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowFullAccessToInspectorApis", "Effect": "Allow", "Action": "inspector2:*", "Resource": "*" }, { "Sid": "AllowAccessToCodeGuruApis", "Effect": "Allow", "Action": [ "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration" ], "Resource": "*" }, { "Sid": "AllowAccessToCreateSlr", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "agentless.inspector2.amazonaws.com", "inspector2.amazonaws.com" ] } } }, { "Sid": "AllowAccessToOrganizationApis", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" } ] }
AWS politique gérée : AmazonInspector2ReadOnlyAccess
Vous pouvez associer la AmazonInspector2ReadOnlyAccess politique à votre IAM identité.
Cette politique accorde des autorisations permettant un accès en lecture seule à Amazon Inspector.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
inspector2— Permet un accès en lecture seule aux fonctionnalités d'Amazon Inspector. -
organizations— Permet de consulter les informations relatives à la couverture d'Amazon Inspector AWS Organizations pour une organisation. -
codeguru-security— Permet de récupérer des extraits de code depuis CodeGuru Security. Permet également de consulter les paramètres de chiffrement de votre code stocké dans CodeGuru Security.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "inspector2:BatchGet*", "inspector2:List*", "inspector2:Describe*", "inspector2:Get*", "inspector2:Search*", "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration" ], "Resource": "*" } ] }
AWS politique gérée : AmazonInspector2ManagedCisPolicy
Vous pouvez associer la AmazonInspector2ManagedCisPolicy politique à vos IAM entités. Cette politique doit être associée à un rôle qui autorise vos EC2 instances Amazon à exécuter des CIS scans de l'instance. Vous pouvez utiliser un IAM rôle pour gérer les informations d'identification temporaires pour les applications qui s'exécutent sur une EC2 instance et qui AWS CLI émettent des AWS API demandes. Cela est préférable au stockage des clés d'accès dans l'EC2instance. Pour attribuer un AWS rôle à une EC2 instance et le rendre disponible pour toutes ses applications, vous devez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes exécutés sur l'EC2instance d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez la section Utilisation d'un IAM rôle pour accorder des autorisations aux applications exécutées sur des EC2 instances Amazon dans le Guide de IAM l'utilisateur.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
inspector2— Permet d'accéder aux actions utilisées pour exécuter des CIS scans.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector2:StartCisSession", "inspector2:StopCisSession", "inspector2:SendCisSessionTelemetry", "inspector2:SendCisSessionHealth" ], "Resource": "*", } ] }
AWS politique gérée : AmazonInspector2ServiceRolePolicy
Vous ne pouvez pas associer la AmazonInspector2ServiceRolePolicy politique à vos IAM entités. Cette politique est associée à un rôle lié à un service qui permet à Amazon Inspector d'effectuer des actions en votre nom. Pour plus d’informations, consultez Utilisation de rôles liés à un service pour Amazon Inspector.
AWS politique gérée : AmazonInspector2AgentlessServiceRolePolicy
Vous ne pouvez pas associer la AmazonInspector2AgentlessServiceRolePolicy politique à vos IAM entités. Cette politique est associée à un rôle lié à un service qui permet à Amazon Inspector d'effectuer des actions en votre nom. Pour plus d’informations, consultez Utilisation de rôles liés à un service pour Amazon Inspector.
Amazon Inspector met à jour les politiques AWS gérées
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon Inspector depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS flux sur la page d'historique des documents Amazon Inspector.
| Modification | Description | Date |
|---|---|---|
|
AmazonInspector2 ServiceRolePolicy — Mises à jour d'une politique existante |
Amazon Inspector a ajouté de nouvelles autorisations qui permettent à Amazon Inspector de renvoyer des balises de fonction AWS Lambda. |
31 juillet 2024 |
|
AmazonInspector2 FullAccess — Mises à jour d'une politique existante |
Amazon Inspector a ajouté des autorisations qui permettent à Amazon Inspector de créer le rôle lié à un service. |
24 avril 2024 |
|
AmazonInspector2 ManagedCisPolicy — Nouvelle politique |
Amazon Inspector a ajouté une nouvelle politique gérée que vous pouvez utiliser dans le cadre d'un profil d'instance pour autoriser les CIS scans sur une instance. |
23 janvier 2024 |
|
AmazonInspector2 ServiceRolePolicy — Mises à jour d'une politique existante |
Amazon Inspector a ajouté de nouvelles autorisations qui permettent à Amazon Inspector de lancer des CIS scans sur des instances cibles. |
23 janvier 2024 |
|
AmazonInspector2 AgentlessServiceRolePolicy — Nouvelle politique |
Amazon Inspector a ajouté une nouvelle politique de rôle liée au service afin de permettre l'analyse des instances sans agent. EC2 |
27 novembre 2023 |
|
AmazonInspector2 ReadOnlyAccess — Mises à jour d'une politique existante |
Amazon Inspector a ajouté de nouvelles autorisations qui permettent aux utilisateurs en lecture seule de récupérer des informations sur les vulnérabilités pour détecter les vulnérabilités des packages. |
22 septembre 2023 |
|
AmazonInspector2 ServiceRolePolicy — Mises à jour d'une politique existante |
Amazon Inspector a ajouté de nouvelles autorisations qui permettent à Amazon Inspector de scanner les configurations réseau des EC2 instances Amazon faisant partie des groupes cibles d'Elastic Load Balancing. |
31 août 2023 |
|
AmazonInspector2 ReadOnlyAccess — Mises à jour d'une politique existante |
Amazon Inspector a ajouté de nouvelles autorisations qui permettent aux utilisateurs en lecture seule d'exporter une nomenclature logicielle (SBOM) pour leurs ressources. |
29 juin 2023 |
|
AmazonInspector2 ReadOnlyAccess — Mises à jour d'une politique existante |
Amazon Inspector a ajouté de nouvelles autorisations qui permettent aux utilisateurs en lecture seule de récupérer les détails des paramètres de chiffrement pour les résultats de l'analyse du code Lambda pour leur compte. |
13 juin 2023 |
|
AmazonInspector2 FullAccess — Mises à jour d'une politique existante |
Amazon Inspector a ajouté de nouvelles autorisations qui permettent aux utilisateurs de configurer une KMS clé gérée par le client pour chiffrer le code à partir des résultats du scan du code Lambda. |
13 juin 2023 |
|
AmazonInspector2 ReadOnlyAccess — Mises à jour d'une politique existante |
Amazon Inspector a ajouté de nouvelles autorisations qui permettent aux utilisateurs en lecture seule de récupérer les informations relatives à l'état de numérisation du code Lambda et aux résultats de leur compte. |
2 mai 2023 |
|
AmazonInspector2 ServiceRolePolicy — Mises à jour d'une politique existante |
Amazon Inspector a ajouté de nouvelles autorisations qui permettent à Amazon Inspector de créer des canaux AWS CloudTrail liés à un service dans votre compte lorsque vous activez le scan Lambda. Cela permet à Amazon Inspector de surveiller CloudTrail les événements de votre compte. |
30 avril 2023 |
|
AmazonInspector2 FullAccess — Mises à jour d'une politique existante |
Amazon Inspector a ajouté de nouvelles autorisations qui permettent aux utilisateurs de récupérer des informations sur les vulnérabilités détectées dans le code Lambda lors de l'analyse du code Lambda. |
21 avril 2023 |
|
AmazonInspector2 ServiceRolePolicy — Mises à jour d'une politique existante |
Amazon Inspector a ajouté de nouvelles autorisations qui permettent à Amazon Inspector d'envoyer des informations à Amazon EC2 Systems Manager concernant les chemins personnalisés définis par un client pour l'inspection EC2 approfondie d'Amazon. |
17 avril 2023 |
|
AmazonInspector2 ServiceRolePolicy — Mises à jour d'une politique existante |
Amazon Inspector a ajouté de nouvelles autorisations qui permettent à Amazon Inspector de créer des canaux AWS CloudTrail liés à un service dans votre compte lorsque vous activez le scan Lambda. Cela permet à Amazon Inspector de surveiller CloudTrail les événements de votre compte. |
30 avril 2023 |
|
AmazonInspector2 ServiceRolePolicy — Mises à jour d'une politique existante |
Amazon Inspector a ajouté de nouvelles autorisations qui permettent à Amazon Inspector de demander des scans du code du développeur dans AWS Lambda les fonctions et de recevoir des données de scan d'Amazon CodeGuru Security. En outre, Amazon Inspector a ajouté des autorisations permettant de consulter IAM les politiques. Amazon Inspector utilise ces informations pour analyser les fonctions Lambda afin de détecter les vulnérabilités du code. |
28 février 2023 |
|
AmazonInspector2 ServiceRolePolicy — Mises à jour d'une politique existante |
Amazon Inspector a ajouté une nouvelle déclaration qui permet à Amazon Inspector de récupérer des informations CloudWatch concernant la date à laquelle une AWS Lambda fonction a été invoquée pour la dernière fois. Amazon Inspector utilise ces informations pour concentrer les analyses sur les fonctions Lambda actives au cours des 90 derniers jours dans votre environnement. |
20 février 2023 |
|
AmazonInspector2 ServiceRolePolicy — Mises à jour d'une politique existante |
Amazon Inspector a ajouté une nouvelle déclaration qui permet à Amazon Inspector de récupérer des informations sur AWS Lambda les fonctions, y compris chaque version de couche associée à chaque fonction. Amazon Inspector utilise ces informations pour analyser les fonctions Lambda afin de détecter les failles de sécurité. |
28 novembre 2022 |
|
AmazonInspector2 ServiceRolePolicy — Mises à jour d'une politique existante |
Amazon Inspector a ajouté une nouvelle action permettant à Amazon Inspector de décrire les exécutions d'SSMassociations. En outre, Amazon Inspector a ajouté un périmètre de ressources supplémentaire pour permettre à Amazon Inspector de créer, de mettre à jour, de supprimer et de créer SSM des associations avec des SSM documents |
31 août 2022 |
|
AmazonInspector2 ServiceRolePolicy Mises à jour d'une politique existante |
Amazon Inspector a mis à jour le périmètre des ressources de la politique afin de permettre à Amazon Inspector de collecter l'inventaire des logiciels dans d'autres AWS partitions. |
12 août 2022 |
|
AmazonInspector2 ServiceRolePolicy — Mises à jour d'une politique existante |
Amazon Inspector a restructuré le périmètre des ressources des actions, permettant à Amazon Inspector de créer, de supprimer et de mettre à jour SSM des associations. |
10 août 2022 |
|
AmazonInspector2 ReadOnlyAccess — Nouvelle politique |
Amazon Inspector a ajouté une nouvelle politique pour autoriser l'accès en lecture seule aux fonctionnalités d'Amazon Inspector. |
21 janvier 2022 |
|
AmazonInspector2 FullAccess — Nouvelle politique |
Amazon Inspector a ajouté une nouvelle politique permettant un accès complet aux fonctionnalités d'Amazon Inspector. |
29 novembre 2021 |
|
AmazonInspector2 ServiceRolePolicy — Nouvelle politique |
Amazon Inspector a ajouté une nouvelle politique permettant à Amazon Inspector d'effectuer des actions dans d'autres services en votre nom. |
29 novembre 2021 |
|
Amazon Inspector a commencé à suivre les modifications |
Amazon Inspector a commencé à suivre les modifications apportées AWS à ses politiques gérées. |
29 novembre 2021 |
