本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Amazon Inspector 的托管政策
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略。
AWS 托管策略:AmazonInspector2FullAccess
您可以将 AmazonInspector2FullAccess 策略附加到 IAM 身份。
此策略授予允许完全访问 Amazon Inspector 的权限。
权限详细信息
该策略包含以下权限。
-
inspector2– 允许完全访问 Amazon Inspector 功能。 -
iam— 允许 Amazon Inspector 创建与服务相关的角色AWSServiceRoleForAmazonInspector2和。AWSServiceRoleForAmazonInspector2AgentlessAWSServiceRoleForAmazonInspector2Amazon Inspector 需要执行诸如检索有关您的 Amazon EC2 实例、Amazon ECR 存储库和容器映像的信息之类的操作。Amazon Inspector 还需要分析您的 VPC 网络并描述与您的组织关联的账户。AWSServiceRoleForAmazonInspector2Agentless是 Amazon Inspector 执行操作所必需的,例如检索有关您的亚马逊 EC2 实例和亚马逊 EBS 快照的信息。还需要解密使用密钥加密的 Amazon EBS 快照。 AWS KMS 有关更多信息,请参阅 对 Amazon Inspector 使用服务相关角色。 -
organizations— 允许管理员将 Amazon Inspector 用于 AWS Organizations中的组织。当您在中激活 Amazon Inspector 的可信访问权限时 AWS Organizations,委托管理员账户的成员可以管理其组织中的设置并查看调查结果。 -
codeguru-security— 允许管理员使用 Amazon Inspector 检索信息代码片段并更改 CodeGuru 安全部门存储的代码的加密设置。有关更多信息,请参阅 对调查发现中的代码进行静态加密。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowFullAccessToInspectorApis", "Effect": "Allow", "Action": "inspector2:*", "Resource": "*" }, { "Sid": "AllowAccessToCodeGuruApis", "Effect": "Allow", "Action": [ "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration" ], "Resource": "*" }, { "Sid": "AllowAccessToCreateSlr", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "agentless.inspector2.amazonaws.com", "inspector2.amazonaws.com" ] } } }, { "Sid": "AllowAccessToOrganizationApis", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" } ] }
AWS 托管策略:AmazonInspector2ReadOnlyAccess
您可以将 AmazonInspector2ReadOnlyAccess 策略附加到 IAM 身份。
此策略授予允许对 Amazon Inspector 进行只读访问的权限。
权限详细信息
该策略包含以下权限。
-
inspector2– 允许以只读方式访问 Amazon Inspector 功能。 -
organizations— 允许查看组织的 Amazon Inspector 覆盖范围 AWS Organizations 的详细信息。 -
codeguru-security— 允许从 “ CodeGuru 安全” 中检索代码片段。还允许查看存储在 Sec CodeGuru urity 中的代码的加密设置。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "inspector2:BatchGet*", "inspector2:List*", "inspector2:Describe*", "inspector2:Get*", "inspector2:Search*", "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration" ], "Resource": "*" } ] }
AWS 托管策略:AmazonInspector2ManagedCisPolicy
可以将 AmazonInspector2ManagedCisPolicy 策略附加到您的 IAM 实体。此策略应附加到一个角色,该角色授予您的 Amazon EC2 实例运行该实例的 CIS 扫描的权限。您可以使用 IAM 角色管理在 EC2 实例上运行并发出 AWS CLI 或 AWS API 请求的应用程序的临时证书。这优先于在 EC2 实例中存储访问密钥。要向 EC2 实例分配 AWS 角色并使其可供其所有应用程序使用,您需要创建附加到该实例的实例配置文件。实例配置文件包含角色,并使 EC2 实例上运行的程序能够获得临时凭证。有关更多信息,请参阅《IAM 用户指南》中的使用 IAM 角色为 Amazon EC2 实例上运行的应用程序授予权限。
权限详细信息
该策略包含以下权限。
-
inspector2— 允许访问用于运行 CIS 扫描的操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector2:StartCisSession", "inspector2:StopCisSession", "inspector2:SendCisSessionTelemetry", "inspector2:SendCisSessionHealth" ], "Resource": "*", } ] }
AWS 托管策略:AmazonInspector2ServiceRolePolicy
无法将 AmazonInspector2ServiceRolePolicy 策略附加到 IAM 实体。将此策略附加到允许 Amazon Inspector 代表您执行操作的服务相关角色。有关更多信息,请参阅 对 Amazon Inspector 使用服务相关角色。
AWS 托管策略:AmazonInspector2AgentlessServiceRolePolicy
无法将 AmazonInspector2AgentlessServiceRolePolicy 策略附加到 IAM 实体。将此策略附加到允许 Amazon Inspector 代表您执行操作的服务相关角色。有关更多信息,请参阅 对 Amazon Inspector 使用服务相关角色。
Amazon Inspector 更新 AWS 了托管政策
查看自该服务开始跟踪这些更改以来对 Amazon Inspector AWS 托管政策的更新的详细信息。要获得有关此页面更改的自动提醒,请订阅 Amazon Inspector 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
AmazonInspector2 FullAccess — 对现有政策的更新 |
Amazon Inspector 增加了允许 Amazon Inspector 创建服务相关角色的权限。 |
2024 年 4 月 24 日 |
|
Amazon Inspector 添加了一个新的托管策略,您可以将其用作实例配置文件的一部分,以允许对实例进行 CIS 扫描。 |
2024 年 1 月 23 日 | |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许亚马逊 Inspector 在目标实例上启动 CIS 扫描。 |
2024 年 1 月 23 日 |
|
Amazon Inspector 添加了一项新的服务相关角色策略,以允许对 EC2 实例进行无代理扫描。 |
2023 年 11 月 27 日 | |
|
AmazonInspector2 ReadOnlyAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许只读用户检索程序包脆弱性调查发现的脆弱性情报详细信息。 |
2023 年 9 月 22 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许 Amazon Inspector 扫描属于 Elastic Load Balancing 目标组的 Amazon EC2 实例的网络配置。 |
2023 年 8 月 31 日 |
|
AmazonInspector2 ReadOnlyAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许只读用户为其资源导出软件材料清单 (SBOM)。 |
2023 年 6 月 29 日 |
|
AmazonInspector2 ReadOnlyAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许只读用户检索其账户的 Lambda 代码扫描结果的加密设置详情。 |
2023 年 6 月 13 日 |
|
AmazonInspector2 FullAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许用户配置客户托管的 KMS 密钥,来加密 Lambda 代码扫描结果中的代码。 |
2023 年 6 月 13 日 |
|
AmazonInspector2 ReadOnlyAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许只读用户检索其账户的 Lambda 代码扫描状态和结果的详细信息。 |
2023 年 5 月 2 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了新的权限,允许亚马逊检查员在您激活 Lambda 扫描时在您的账户中创建 AWS CloudTrail 与服务相关的渠道。这样,Amazon Inspector 就可以监控您账户中的 CloudTrail 事件。 |
2023 年 4 月 30 日 |
|
AmazonInspector2 FullAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许用户检索 Lambda 代码扫描脆弱性调查发现的详细信息。 |
2023 年 4 月 21 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许亚马逊 Inspector 向亚马逊 EC2 Systems Manager 发送有关客户为亚马逊 EC2 深度检查定义的自定义路径的信息。 |
2023 年 4 月 17 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了新的权限,允许亚马逊检查员在您激活 Lambda 扫描时在您的账户中创建 AWS CloudTrail 与服务相关的渠道。这样,Amazon Inspector 就可以监控您账户中的 CloudTrail 事件。 |
2023 年 4 月 30 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许亚马逊 Inspector 请求扫描 AWS Lambda 函数中的开发者代码,并从亚马逊 CodeGuru 安全部门接收扫描数据。此外,Amazon Inspector 还增加了审查 IAM policy 的权限。Amazon Inspector 使用这些信息扫描 Lambda 函数中是否存在代码脆弱性。 |
2023 年 2 月 28 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了一条新语句,允许 Amazon Inspector 检索 CloudWatch 有关上次调用 AWS Lambda 函数的时间的信息。Amazon Inspector 使用这些信息将扫描重点放在您环境中过去 90 天内处于活动状态的 Lambda 函数上。 |
2023 年 2 月 20 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了一个新声明,允许亚马逊 Inspector 检索有关 AWS Lambda 函数的信息,包括与每个函数关联的每个层版本。Amazon Inspector 使用这些信息扫描 Lambda 函数中是否存在安全脆弱性。 |
2022 年 11 月 28 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了一项新操作,允许 Amazon Inspector 描述 SSM 关联的执行情况。此外,Amazon Inspector 还增加了额外的资源范围,允许 Amazon Inspector 使用 |
2022 年 8 月 31 日 |
|
AmazonInspector2 对现有政策的ServiceRolePolicy更新 |
Amazon Inspector 更新了政策的资源范围,允许亚马逊 Inspector 收集其他 AWS 分区中的软件库存。 |
2022 年 8 月 12 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 重组了操作的资源范围,允许 Amazon Inspector 创建、删除和更新 SSM 关联。 |
2022 年 8 月 10 日 |
|
Amazon Inspector 增加了一项新策略,允许以只读方式访问 Amazon Inspector 功能。 |
2022 年 1 月 21 日 | |
|
Amazon Inspector 增加了一项新策略,允许完全访问 Amazon Inspector 功能。 |
2021 年 11 月 29 日 | |
|
Amazon Inspector 增加了一项新策略,允许 Amazon Inspector 代表您在其他服务中执行操作。 |
2021 年 11 月 29 日 | |
|
Amazon Inspector 开始跟踪更改 |
Amazon Inspector 开始跟踪其 AWS 托管政策的变更。 |
2021 年 11 月 29 日 |
