AWS políticas gerenciadas para o Amazon Inspector - Amazon Inspector

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para o Amazon Inspector

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da  específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.

Para mais informações, consulte Políticas gerenciadas pela AWS no Manual do usuário do IAM.

AWS política gerenciada: AmazonInspector2FullAccess

É possível anexar a política AmazonInspector2FullAccess a suas identidades do IAM.

Essa política concede permissões administrativas ao Amazon Inspector.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • inspector2: oferece acesso total à funcionalidade do Amazon Inspector.

  • iam: permite que o Amazon Inspector crie a função vinculada ao serviçoAmazonInspector2AgentlessServiceRole. Isso é necessário para que o Amazon Inspector possa realizar operações como recuperar informações sobre as instâncias do Amazon EC2 e repositórios e imagens de contêineres do Amazon ECR, analisar a rede VPC e descrever contas associadas à sua organização. Para ter mais informações, consulte Uso de funções vinculadas a serviço para o Amazon Inspector.

  • organizations: permite que os administradores usem o Amazon Inspector para uma organização no AWS Organizations. Depois de ativar o acesso confiável para o Amazon Inspector AWS Organizations em, os membros da conta de administrador delegado podem gerenciar configurações e visualizar descobertas em toda a organização.

  • codeguru-security— Permite que os administradores usem o Amazon Inspector para recuperar trechos de código de informações e alterar as configurações de criptografia do código armazenado pela Security. CodeGuru Para ter mais informações, consulte Criptografia em repouso para código em suas descobertas.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "inspector2:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration", "codeguru-security:UpdateAccountConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "inspector2.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" } ] }

AWS política gerenciada: AmazonInspector2ReadOnlyAccess

É possível anexar a política AmazonInspector2ReadOnlyAccess a suas identidades do IAM.

Essa política concede permissões de acesso somente leitura ao Amazon Inspector.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • inspector2: oferece acesso somente de leitura à funcionalidade do Amazon Inspector.

  • organizations— Permite que detalhes sobre a cobertura do Amazon Inspector para uma organização sejam AWS Organizations visualizados.

  • codeguru-security— Permite que trechos de código sejam recuperados da Segurança. CodeGuru Também permite que as configurações de criptografia do seu código armazenado em CodeGuru Segurança sejam visualizadas.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "inspector2:BatchGet*", "inspector2:List*", "inspector2:Describe*", "inspector2:Get*", "inspector2:Search*", "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration" ], "Resource": "*" } ] }

AWS política gerenciada: AmazonInspector2ManagedCisPolicy

Também é possível anexar a política AmazonInspector2ManagedCisPolicy às suas entidades do IAM. Essa política deve ser anexada a uma função que conceda permissões às suas instâncias do Amazon EC2 para executar escaneamentos CIS da instância. Você pode usar uma função do IAM para gerenciar credenciais temporárias para aplicativos que estão sendo executados em uma instância do EC2 e fazendo solicitações AWS CLI de AWS API. É preferível fazer isso a armazenar chaves de acesso na instância do EC2. Para atribuir uma AWS função a uma instância do EC2 e disponibilizá-la para todos os seus aplicativos, você cria um perfil de instância anexado à instância. Um perfil de instância contém a perfil e permite que os programas em execução na instância do EC2 obtenham credenciais temporárias. Para mais informações, consulte Usar uma função do IAM para conceder permissões a aplicativos em execução nas instâncias do Amazon EC2 no Guia do usuário do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • inspector2— Permite acesso às ações usadas para executar varreduras do CIS.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector2:StartCisSession", "inspector2:StopCisSession", "inspector2:SendCisSessionTelemetry", "inspector2:SendCisSessionHealth" ], "Resource": "*", } ] }

AWS política gerenciada: AmazonInspector2ServiceRolePolicy

Não é possível anexar a política AmazonInspector2ServiceRolePolicy às suas entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Amazon Inspector realize ações em seu nome. Para ter mais informações, consulte Uso de funções vinculadas a serviço para o Amazon Inspector.

AWS política gerenciada: AmazonInspector2AgentlessServiceRolePolicy

Não é possível anexar a política AmazonInspector2AgentlessServiceRolePolicy às suas entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Amazon Inspector realize ações em seu nome. Para ter mais informações, consulte Uso de funções vinculadas a serviço para o Amazon Inspector.

Atualizações do Amazon Inspector para AWS políticas gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Inspector desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre mudanças nesta página, assine o feed RSS na página Histórico de documentos do Amazon Inspector.

Alteração Descrição Data

AmazonInspector2 ManagedCisPolicy — Nova política

O Amazon Inspector adicionou uma nova política gerenciada que você pode usar como parte de um perfil de instância para permitir escaneamentos do CIS em uma instância.

23 de janeiro de 2024

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector inicie escaneamentos do CIS nas instâncias de destino.

23 de janeiro de 2024

AmazonInspector2 AgentlessServiceRolePolicy — Nova política

O Amazon Inspector adicionou uma nova política de função vinculada ao serviço para permitir a verificação sem agente da instância do EC2.

27 de novembro de 2023

AmazonInspector2 ReadOnlyAccess — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que usuários somente de leitura recuperem detalhes de inteligência de vulnerabilidade para descobertas de vulnerabilidades de pacotes.

22 de setembro de 2023

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector verifique as configurações de rede das instâncias do Amazon EC2 que fazem parte dos grupos-alvo do Elastic Load Balancing.

31 de agosto de 2023

AmazonInspector2 ReadOnlyAccess — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que usuários somente para leitura exportem a SBOM (Lista de Materiais de Software) para seus recursos.

29 de junho de 2023

AmazonInspector2 ReadOnlyAccess — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que usuários somente de leitura recuperem detalhes das configurações de criptografia das descobertas da digitalização de código Lambda em suas contas.

13 de junho de 2023

AmazonInspector2 FullAccess — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem aos usuários configurar uma chave KMS gerenciada pelo cliente para criptografar o código nas descobertas da digitalização de código Lambda.

13 de junho de 2023

AmazonInspector2 ReadOnlyAccess — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que usuários somente de leitura recuperem detalhes do status e descobertas da verificação de código Lambda para sua conta.

2 de maio de 2023

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector AWS CloudTrail crie canais vinculados a serviços em sua conta quando você ativa a digitalização Lambda. Isso permite que o Amazon Inspector monitore CloudTrail eventos em sua conta.

30 de abril de 2023

AmazonInspector2 FullAccess — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que usuários recuperem detalhes de descobertas de vulnerabilidade de código da verificação de código Lambda.

21 de abril de 2023

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector envie informações ao Amazon EC2 Systems Manager sobre os caminhos personalizados que um cliente definiu para a inspeção profunda do Amazon EC2.

17 de abril de 2023

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector AWS CloudTrail crie canais vinculados a serviços em sua conta quando você ativa a digitalização Lambda. Isso permite que o Amazon Inspector monitore CloudTrail eventos em sua conta.

30 de abril de 2023

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector solicite escaneamentos do código do desenvolvedor AWS Lambda em funções e receba dados de escaneamento da Amazon Security. CodeGuru Além disso, o Amazon Inspector adicionou permissões para examinar as políticas do IAM. O Amazon Inspector usa essas informações para verificar as vulnerabilidades do código nas funções do Lambda.

28 de fevereiro de 2023

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou uma nova declaração que permite ao Amazon Inspector recuperar informações sobre quando AWS Lambda uma função foi invocada CloudWatch pela última vez. O Amazon Inspector usa essas informações para focar as varreduras nas funções do lambda em seu ambiente que estiveram ativas nos últimos 90 dias.

20 de fevereiro de 2023

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou uma nova declaração que permite ao Amazon Inspector recuperar informações AWS Lambda sobre funções, incluindo cada versão de camada associada a cada função. O Amazon Inspector usa essas informações para verificar se há vulnerabilidades de segurança nas funções do Lambda.

28 de novembro de 2022

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector adicionou uma nova ação para permitir que o Amazon Inspector descreva execuções de associação do SSM. Além disso, o Amazon Inspector também adicionou um escopo adicional de recursos para permitir que o Amazon Inspector crie, atualize, exclua e inicie associações do SSM com documentos do SSM de propriedade do AmazonInspector2.

31 de agosto de 2022

AmazonInspector2 ServiceRolePolicy Atualizações em uma política existente

O Amazon Inspector atualizou o escopo dos recursos da política para permitir que o Amazon Inspector colete inventário de software em outras partições. AWS

12 de agosto de 2022

AmazonInspector2 ServiceRolePolicy — Atualizações em uma política existente

O Amazon Inspector estruturou novamente o escopo dos recursos das ações, permitindo que o Amazon Inspector crie, exclua e atualize associações de SSM.

10 de agosto de 2022

AmazonInspector2 ReadOnlyAccess — Nova política

O Amazon Inspector adicionou uma nova política para permitir acesso somente leitura à funcionalidade do Amazon Inspector.

21 de janeiro de 2022

AmazonInspector2 FullAccess — Nova política

O Amazon Inspector adicionou uma nova política para permitir acesso total à funcionalidade do Amazon Inspector.

29 de novembro de 2021

AmazonInspector2 ServiceRolePolicy — Nova política

O Amazon Inspector adicionou uma nova política para permitir que o Amazon Inspector execute ações em outros serviços em seu nome.

29 de novembro de 2021

O Amazon Inspector passou a monitorar alterações

O Amazon Inspector começou a rastrear alterações em suas políticas AWS gerenciadas.

29 de novembro de 2021