Amazon Inspector의 AWS 관리형 정책
AWS 관리형 정책은 AWS에 의해 생성되고 관리되는 독립 실행형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에서 정의한 권한은 변경할 수 없습니다. 만약 AWS가 AWS 관리형 정책에 정의된 권한을 업데이트할 경우 정책이 연결되어 있는 모든 보안 주체 엔터티(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다. 새로운 AWS 서비스를 시작하거나 새로운 API 작업을 기존 서비스에 이용하는 경우 AWS가 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하세요.
AWS 관리형 정책: AmazonInspector2FullAccess
AmazonInspector2FullAccess
정책을 IAM 보안 인증에 연결할 수 있습니다.
이 정책은 Amazon Inspector에 대한 전체 액세스를 허용하는 관리 권한을 부여합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
inspector2
- Amazon Inspector 기능에 대한 전체 액세스를 허용합니다. -
iam
- Amazon Inspector가 서비스 연결 역할인AWSServiceRoleForAmazonInspector2
및AWSServiceRoleForAmazonInspector2Agentless
을 생성할 수 있도록 허용합니다. Amazon Inspector에서 Amazon EC2 인스턴스, Amazon ECR 리포지토리 및 컨테이너 이미지에 대한 정보를 검색하는 등의 작업을 수행하려면AWSServiceRoleForAmazonInspector2
가 필요합니다. 또한 Amazon Inspector가 VPC 네트워크를 분석하고 조직과 연결된 계정을 설명하는 데도 필요합니다. Amazon Inspector에서 Amazon EC2 인스턴스 및 Amazon EBS 스냅샷에 대한 정보를 검색하는 등의 작업을 수행하려면AWSServiceRoleForAmazonInspector2Agentless
가 필요합니다. 또한 AWS KMS 키로 암호화된 Amazon EBS 스냅샷을 복호화하는 데도 필요합니다. 자세한 내용은 Amazon Inspector에 서비스 연결 역할 사용 단원을 참조하세요. -
organizations
- 관리자가 Amazon Inspector를 AWS Organizations의 조직에 사용할 수 있도록 허용합니다. AWS Organizations에서 Amazon Inspector에 대한 신뢰할 수 있는 액세스를 활성화하면 위임된 관리자 계정의 멤버가 조직 전체의 설정을 관리하고 조사 결과를 볼 수 있습니다. -
codeguru-security
- 관리자가 Amazon Inspector를 사용하여 정보 코드 스니펫을 검색하고 CodeGuru Security에서 저장한 코드의 암호화 설정을 변경할 수 있도록 허용합니다. 자세한 내용은 결과 코드에 대한 저장 중 암호화 단원을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowFullAccessToInspectorApis", "Effect": "Allow", "Action": "inspector2:*", "Resource": "*" }, { "Sid": "AllowAccessToCodeGuruApis", "Effect": "Allow", "Action": [ "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration" ], "Resource": "*" }, { "Sid": "AllowAccessToCreateSlr", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "agentless.inspector2.amazonaws.com", "inspector2.amazonaws.com" ] } } }, { "Sid": "AllowAccessToOrganizationApis", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" } ] }
AWS 관리형 정책: AmazonInspector2ReadOnlyAccess
AmazonInspector2ReadOnlyAccess
정책을 IAM 보안 인증에 연결할 수 있습니다.
이 정책은 Amazon Inspector에 대한 읽기 전용 액세스를 허용하는 권한을 부여합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
inspector2
– Amazon Inspector 기능에 대한 읽기 전용 액세스를 허용합니다. -
organizations
- AWS Organizations 내 조직의 Amazon Inspector 적용 범위에 대한 세부 정보를 볼 수 있습니다. -
codeguru-security
- CodeGuru Security에서 코드 스니펫을 검색할 수 있습니다. 또한 CodeGuru Security에 저장된 코드의 암호화 설정을 볼 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "inspector2:BatchGet*", "inspector2:List*", "inspector2:Describe*", "inspector2:Get*", "inspector2:Search*", "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration" ], "Resource": "*" } ] }
AWS 관리형 정책: AmazonInspector2ManagedCisPolicy
AmazonInspector2ManagedCisPolicy
정책을 IAM 엔터티에 연결할 수 있습니다. 이 정책은 인스턴스의 CIS 스캔을 실행할 수 있도록 Amazon EC2 인스턴스에 권한을 부여하는 역할에 연결해야 합니다. IAM 역할을 사용하여 EC2 인스턴스에서 실행되고 AWS CLI 또는 AWS API 요청을 수행하는 애플리케이션의 임시 자격 증명을 관리할 수 있습니다. 이는 EC2 인스턴스 내에 액세스 키를 저장할 때 권장되는 방법입니다. EC2 인스턴스에 AWS역할을 할당하고 해당 역할을 모든 애플리케이션에서 사용할 수 있도록 하려면 인스턴스에 연결된 인스턴스 프로파일을 생성합니다. 인스턴스 프로파일에는 역할이 포함되어 있으며 EC2 인스턴스에서 실행되는 프로그램이 임시 보안 인증을 얻을 수 있습니다. 자세한 정보는 IAM 사용 설명서의 IAM 역할을 사용하여 Amazon EC2 인스턴스에서 실행되는 애플리케이션에 권한 부여를 참조하세요.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
inspector2
- CIS 스캔을 실행하는 데 사용되는 작업에 대한 액세스를 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector2:StartCisSession", "inspector2:StopCisSession", "inspector2:SendCisSessionTelemetry", "inspector2:SendCisSessionHealth" ], "Resource": "*", } ] }
AWS 관리형 정책: AmazonInspector2ServiceRolePolicy
AmazonInspector2ServiceRolePolicy
정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책을 서비스 연결 역할에 연결하면 Amazon Inspector가 사용자를 대신하여 작업을 수행할 수 있습니다. 자세한 내용은 Amazon Inspector에 서비스 연결 역할 사용 단원을 참조하세요.
AWS 관리형 정책: AmazonInspector2AgentlessServiceRolePolicy
AmazonInspector2AgentlessServiceRolePolicy
정책을 IAM 엔터티에 연결할 수 없습니다. 이 정책을 서비스 연결 역할에 연결하면 Amazon Inspector가 사용자를 대신하여 작업을 수행할 수 있습니다. 자세한 내용은 Amazon Inspector에 서비스 연결 역할 사용 단원을 참조하세요.
AWS 관리형 정책에 대한Amazon Inspector 업데이트
이 서비스가 이러한 변경 내용을 추적하기 시작한 이후 Amazon Inspector의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 Amazon Inspector 문서 기록 페이지에서 RSS 피드를 구독하세요.
변경 사항 | 설명 | 날짜 |
---|---|---|
AmazonInspector2ServiceRolePolicy – 기존 정책에 대한 업데이트 |
Amazon Inspector가 AWS Lambda에서 함수 태그를 반환할 수 있는 새로운 권한이 추가되었습니다. |
2024년 7월 31일 |
AmazonInspector2FullAccess – 기존 정책에 대한 업데이트 |
Amazon Inspector에서 서비스 연결 역할 |
2024년 4월 24일 |
Amazon Inspector에는 인스턴스 프로파일의 일부로 사용하여 인스턴스에 대한 CIS 스캔을 허용할 수 있는 새로운 관리형 정책이 추가되었습니다. |
2024년 1월 23일 | |
AmazonInspector2ServiceRolePolicy – 기존 정책에 대한 업데이트 |
Amazon Inspector에서 대상 인스턴스에 대한 CIS 스캔을 시작할 수 있는 새로운 권한이 추가되었습니다. |
2024년 1월 23일 |
에이전트 없는 EC2 인스턴스 스캔을 허용하도록 Amazon Inspector에 새 서비스 연결 역할 정책을 추가했습니다. |
2023년 11월 27일 | |
AmazonInspector2ReadOnlyAccess – 기존 정책에 대한 업데이트 |
Amazon Inspector에서 읽기 전용 사용자가 패키지 취약성 결과에 대한 취약성 인텔리전스 세부 정보를 검색할 수 있는 새로운 권한을 추가했습니다. |
2023년 9월 22일 |
AmazonInspector2ServiceRolePolicy – 기존 정책에 대한 업데이트 |
Amazon Inspector에서 Elastic Load Balancing 대상 그룹에 속하는 Amazon EC2 인스턴스의 네트워크 구성을 스캔할 수 있는 새로운 권한이 추가되었습니다. |
2023년 8월 31일 |
AmazonInspector2ReadOnlyAccess – 기존 정책에 대한 업데이트 |
Amazon Inspector에서 읽기 전용 사용자가 리소스에 대한 Software Bill of Materials(SBOM)를 내보낼 수 있는 새로운 권한을 추가했습니다. |
2023년 6월 29일 |
AmazonInspector2ReadOnlyAccess – 기존 정책에 대한 업데이트 |
Amazon Inspector에서 읽기 전용 사용자가 자신의 계정에 대한 Lambda 코드 스캔 결과의 암호화 설정 세부 정보를 검색할 수 있는 새로운 권한을 추가했습니다. |
2023년 6월 13일 |
AmazonInspector2FullAccess – 기존 정책에 대한 업데이트 |
Amazon Inspector에서 사용자가 Lambda 코드 스캔 결과의 코드를 암호화하도록 고객 관리형 KMS 키를 구성할 수 있는 새로운 권한을 추가했습니다. |
2023년 6월 13일 |
AmazonInspector2ReadOnlyAccess – 기존 정책에 대한 업데이트 |
Amazon Inspector에서 읽기 전용 사용자가 자신의 계정에 대한 Lambda 코드 스캔 상태 및 결과에 대한 세부 정보를 검색할 수 있는 새로운 권한을 추가했습니다. |
2023년 5월 2일 |
AmazonInspector2ServiceRolePolicy – 기존 정책에 대한 업데이트 |
Lambda 스캔을 활성화할 때 Amazon Inspector에서 사용자 계정에 AWS CloudTrail 서비스 연결 채널을 생성할 수 있는 새로운 권한이 추가되었습니다. 이를 통해 Amazon Inspector는 사용자 계정의 CloudTrail 이벤트를 모니터링할 수 있습니다. |
2023년 4월 30일 |
AmazonInspector2FullAccess – 기존 정책에 대한 업데이트 |
Amazon Inspector에서 사용자가 Lambda 코드 스캔의 코드 취약성 결과에 대한 세부 정보를 검색할 수 있는 새로운 권한을 추가했습니다. |
2023년 4월 21일 |
AmazonInspector2ServiceRolePolicy – 기존 정책에 대한 업데이트 |
Amazon Inspector에서 Amazon EC2 심층 검사를 위해 고객이 정의한 사용자 지정 경로에 대한 정보를 Amazon EC2 Systems Manager로 보낼 수 있는 새로운 권한이 추가되었습니다. |
2023년 4월 17일 |
AmazonInspector2ServiceRolePolicy – 기존 정책에 대한 업데이트 |
Lambda 스캔을 활성화할 때 Amazon Inspector에서 사용자 계정에 AWS CloudTrail 서비스 연결 채널을 생성할 수 있는 새로운 권한이 추가되었습니다. 이를 통해 Amazon Inspector는 사용자 계정의 CloudTrail 이벤트를 모니터링할 수 있습니다. |
2023년 4월 30일 |
AmazonInspector2ServiceRolePolicy – 기존 정책에 대한 업데이트 |
Amazon Inspector에서 AWS Lambda 함수의 개발자 코드 스캔을 요청하고 Amazon CodeGuru Security로부터 스캔 데이터를 수신할 수 있는 새로운 권한이 추가되었습니다. 또한 Amazon Inspector에서 IAM 정책을 검토할 수 있는 권한이 추가되었습니다. Amazon Inspector는 이 정보를 사용하여 Lambda 함수의 코드 취약성을 스캔합니다. |
2023년 2월 28일 |
AmazonInspector2ServiceRolePolicy – 기존 정책에 대한 업데이트 |
Amazon Inspector에서 AWS Lambda 함수가 마지막으로 호출된 시간에 대한 정보를 CloudWatch에서 검색할 수 있는 새로운 명령문이 추가되었습니다. Amazon Inspector는 이 정보를 사용하여 사용자 환경에서 지난 90일 동안 활성화된 Lambda 함수에 초점을 맞추어 스캔을 수행합니다. |
2023년 2월 20일 |
AmazonInspector2ServiceRolePolicy – 기존 정책에 대한 업데이트 |
Amazon Inspector에서 각 함수와 연관된 각 계층 버전을 포함하여 AWS Lambda 함수에 대한 정보를 검색할 수 있는 새로운 명령문이 추가되었습니다. Amazon Inspector는 이 정보를 사용하여 Lambda 함수의 보안 취약성을 스캔합니다. |
2022년 11월 28일 |
AmazonInspector2ServiceRolePolicy – 기존 정책에 대한 업데이트 |
Amazon Inspector에서 SSM 연결 실행을 설명할 수 있는 새로운 작업이 추가되었습니다. 또한 Amazon Inspector에서 |
2022년 8월 31일 |
AmazonInspector2ServiceRolePolicy - 기존 정책에 대한 업데이트 |
Amazon Inspector에서 다른 AWS 파티션의 소프트웨어 인벤토리를 수집할 수 있도록 정책의 리소스 범위가 업데이트되었습니다. |
2022년 8월 12일 |
AmazonInspector2ServiceRolePolicy – 기존 정책에 대한 업데이트 |
Amazon Inspector에서 SSM 연결을 생성, 삭제 및 업데이트할 수 있도록 작업의 리소스 범위가 재구성되었습니다. |
2022년 8월 10일 |
Amazon Inspector 기능에 대한 읽기 전용 액세스를 허용하는 새로운 정책이 추가되었습니다. |
2022년 1월 21일 | |
AmazonInspector2FullAccess – 새 정책 |
Amazon Inspector 기능에 대한 전체 액세스를 허용하는 새로운 정책이 추가되었습니다. |
2021년 11월 29일 |
Amazon Inspector에서 사용자를 대신하여 다른 서비스의 작업을 수행할 수 있도록 허용하는 새로운 정책이 추가되었습니다. |
2021년 11월 29일 | |
Amazon Inspector에서 변경 사항 추적 시작 |
Amazon Inspector에서 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. |
2021년 11월 29일 |