AWS Amazon Inspector 的受管政策 - Amazon Inspector
AmazonInspector2FullAccessAmazonInspector2ReadOnlyAccessAmazonInspector2ManagedCisPolicyAmazonInspector2ServiceRolePolicyAmazonInspector2AgentlessServiceRolePolicy政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Amazon Inspector 的受管政策

受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。

請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新 AWS 服務 的 API 操作可供現有服務使用時,最有可能更新 AWS 受管理策略。

如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

AWS 受管理的策略:AmazonInspector2FullAccess

您可將 AmazonInspector2FullAccess 政策連接到 IAM 身分。

此政策授予允許完整存取 Amazon Inspector 的管理許可。

許可詳細資訊

此政策包含以下許可。

  • inspector2— 允許完全訪問 Amazon Inspector 功能.

  • iam— 允許 Amazon Inspector 創建服務鏈接角色,AmazonInspector2AgentlessServiceRole. 這是必要的,Amazon Inspector 才能執行各種操作,例如擷取 Amazon EC2 執行個體和 Amazon ECR 儲存庫和容器映像的相關資訊、分析您的 VPC 網路,以及描述與組織相關聯的帳戶。如需詳細資訊,請參閱 使用 Amazon Inspector 的服務連結角色

  • organizations— 允許管理員在中為組織使用 Amazon Inspector AWS Organizations。在中啟用 Amazon Inspector 的受信任存取權之後 AWS Organizations,委派管理員帳戶的成員可以管理設定並檢視其組織中的發現項目。

  • codeguru-security— 可讓管理員使用 Amazon Inspector 擷取資訊程式碼片段,並針對 CodeGuru 安全性存放的程式碼變更加密設定。如需詳細資訊,請參閱 針對發現項目中的程式碼進行靜態加密

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": "inspector2:*",
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"codeguru-security:BatchGetFindings",
				"codeguru-security:GetAccountConfiguration",
				"codeguru-security:UpdateAccountConfiguration"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": "inspector2.amazonaws.com"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"organizations:EnableAWSServiceAccess",
				"organizations:RegisterDelegatedAdministrator",
				"organizations:ListDelegatedAdministrators",
				"organizations:ListAWSServiceAccessForOrganization",
				"organizations:DescribeOrganizationalUnit",
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization"
			],
			"Resource": "*"
		}
	]
}

AWS 受管理的策略:AmazonInspector2ReadOnlyAccess

您可將 AmazonInspector2ReadOnlyAccess 政策連接到 IAM 身分。

此政策授予允許對 Amazon Inspector 進行唯讀存取的許可。

許可詳細資訊

此政策包含以下許可。

  • inspector2— 允許只讀訪問 Amazon Inspector 功能。

  • organizations— 允許檢視中某個組織的 Amazon Inspector 涵蓋範圍 AWS Organizations 的詳細資訊。

  • codeguru-security— 允許從 CodeGuru 安全性擷取程式碼片段。也允許檢視儲存在 [ CodeGuru 安全性] 中之程式碼的加密設定。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"organizations:ListDelegatedAdministrators",
				"organizations:ListAWSServiceAccessForOrganization",
				"organizations:DescribeOrganizationalUnit",
				"organizations:DescribeAccount",
				"organizations:DescribeOrganization",
				"inspector2:BatchGet*",
				"inspector2:List*",
				"inspector2:Describe*",
				"inspector2:Get*",
				"inspector2:Search*",
				"codeguru-security:BatchGetFindings",
				"codeguru-security:GetAccountConfiguration"
			],
			"Resource": "*"
		}
	]
}

AWS 受管理的策略:AmazonInspector2ManagedCisPolicy

您可將 AmazonInspector2ManagedCisPolicy 政策附加至 IAM 實體。此政策應附加至授予 Amazon EC2 執行個體許可的角色,以執行執行個體的 CIS 掃描。您可以使用 IAM 角色管理在 EC2 執行個體上執行的應用程式以及發出 AWS CLI 或 AWS API 請求的臨時登入資料。這是在 EC2 執行個體內存放存取金鑰的較好方式。若要將 AWS 角色指派給 EC2 執行個體並提供給其所有應用程式,請建立連接至執行個體的執行個體設定檔。執行個體設定檔包含該角色,並且可讓 EC2 執行個體上執行的程式取得臨時性憑證。如需詳細資訊,請參閱《IAM 使用者指南》中的利用 IAM 角色來授予許可給 Amazon EC2 執行個體上執行的應用程式

許可詳細資訊

此政策包含以下許可。

  • inspector2— 允許存取用於執行 CIS 掃描的動作。

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "inspector2:StartCisSession", 
            "inspector2:StopCisSession", 
            "inspector2:SendCisSessionTelemetry", 
            "inspector2:SendCisSessionHealth"
            ],
            "Resource": "*",
        }
     ]
 }

AWS 受管理的策略:AmazonInspector2ServiceRolePolicy

您無法將 AmazonInspector2ServiceRolePolicy 政策附加至 IAM 實體。此政策附加至服務連結角色,可讓 Amazon Inspector 代表您執行動作。如需詳細資訊,請參閱 使用 Amazon Inspector 的服務連結角色

AWS 受管理的策略:AmazonInspector2AgentlessServiceRolePolicy

您無法將 AmazonInspector2AgentlessServiceRolePolicy 政策附加至 IAM 實體。此政策附加至服務連結角色,可讓 Amazon Inspector 代表您執行動作。如需詳細資訊,請參閱 使用 Amazon Inspector 的服務連結角色

Amazon Inspector 更新受 AWS 管政策

檢視有關 Amazon Inspector AWS 受管政策更新的詳細資訊,因為此服務開始追蹤這些變更。如需有關此頁面變更的自動警示,請訂閱 Amazon Inspector 文件歷史記錄頁面上的 RSS 摘要。

變更 描述 日期

AmazonInspector2 ManagedCisPolicy — 新政策

Amazon Inspector 新增了一個新的受管政策,您可以將其用作執行個體設定檔的一部分,以便在執行個體上進行 CIS 掃描。

 2024 年 1 月 23 日

AmazonInspector2 ServiceRolePolicy — 現有政策的更新

Amazon Inspector 添加了新的許可,允許 Amazon Inspector 在目標實例上啟動獨聯體掃描。

 2024 年 1 月 23 日

AmazonInspector2 AgentlessServiceRolePolicy — 新政策

Amazon Inspector 已新增服務連結角色政策,以允許無代理程式掃描 EC2 執行個體。

 2023 年 11 月 27 日

AmazonInspector2 ReadOnlyAccess — 現有政策的更新

Amazon Inspector 新增了新的許可,可讓唯讀使用者擷取漏洞情報詳細資訊,以便發現套件漏洞。

 2023 年 9 月 22 日

AmazonInspector2 ServiceRolePolicy — 現有政策的更新

Amazon Inspector 已新增許可,讓 Amazon Inspector 掃描屬於 Elastic Load Balancing 目標群組一部分之 Amazon EC2 執行個體的網路組態。

 2023 年 8 月 31 日

AmazonInspector2 ReadOnlyAccess — 現有政策的更新

Amazon Inspector 新增了新的許可,允許唯讀使用者匯出其資源的軟體材料清單 (SBOM)。

 2023 年 6 月 29 日

AmazonInspector2 ReadOnlyAccess — 現有政策的更新

Amazon Inspector 新增了新的許可,可讓唯讀使用者擷取其帳戶之 Lambda 程式碼掃描發現項目的加密設定詳細資料。

 2023 年 6 月 13 日

AmazonInspector2 FullAccess — 現有政策的更新

Amazon Inspector 新增了新許可,可讓使用者設定客戶受管 KMS 金鑰,以加密 Lambda 程式碼掃描發現項目中的程式碼。

 2023 年 6 月 13 日

AmazonInspector2 ReadOnlyAccess — 現有政策的更新

Amazon Inspector 新增了新的許可,可讓唯讀使用者擷取其帳戶的 Lambda 程式碼掃描狀態和發現項目的詳細資訊。

 2023 年 5 月 2 日

AmazonInspector2 ServiceRolePolicy — 現有政策的更新

Amazon Inspector 已新增許可,讓 Amazon Inspector 在您啟用 Lambda 掃描時,在您的帳戶中建立 AWS CloudTrail 服務連結通道。這使 Amazon Inspector 器可以監控您帳戶中的 CloudTrail 事件。

 2023年4月30日

AmazonInspector2 FullAccess — 現有政策的更新

Amazon Inspector 新增了新的許可,可讓使用者從 Lambda 程式碼掃描擷取程式碼漏洞發現的詳細資訊。

 2023 年 4 月 21 日

AmazonInspector2 ServiceRolePolicy — 現有政策的更新

Amazon Inspector 已新增許可,讓 Amazon Inspector 能夠將客戶為 Amazon EC2 深度檢查所定義的自訂路徑相關資訊傳送至 Amazon EC2 系統管理員。

 2023 年 4 月 17 日

AmazonInspector2 ServiceRolePolicy — 現有政策的更新

Amazon Inspector 已新增許可,讓 Amazon Inspector 在您啟用 Lambda 掃描時,在您的帳戶中建立 AWS CloudTrail 服務連結通道。這使 Amazon Inspector 器可以監控您帳戶中的 CloudTrail 事件。

 2023年4月30日

AmazonInspector2 ServiceRolePolicy — 現有政策的更新

Amazon Inspector 新增了新的許可,允許 Amazon Inspector 請求掃描 AWS Lambda 功能中的開發人員代碼,並從 Amazon CodeGuru 安全接收掃描數據。此外,Amazon Inspector 已新增審查 IAM 政策的許可。Amazon Inspector 使用此資訊掃描 Lambda 函數是否存在程式碼漏洞

 2023 年 2 月 28 日

AmazonInspector2 ServiceRolePolicy — 現有政策的更新

Amazon Inspector 添加了一個新的語句,允許 Amazon Inspector 從有 CloudWatch 關 AWS Lambda 函數的最後一次調用時檢索信息。Amazon Inspector 會使用這項資訊,將掃描重點放在您環境中過去 90 天內處於作用中狀態的 Lambda 函數。

 2023 年 2 月 20 日

AmazonInspector2 ServiceRolePolicy — 現有政策的更新

Amazon Inspector 添加了一個新的語句,允許 Amazon Inspector 檢索有關 AWS Lambda 功能的信息,包括與每個功能關聯的每個層版本。Amazon Inspector 使用此資訊掃描 Lambda 函數是否存在安全漏洞。

 2022 年 11 月 28 日

AmazonInspector2 ServiceRolePolicy — 現有政策的更新

Amazon Inspector 已經添加了一個新的動作,以允許 Amazon Inspector 描述 SSM 關聯執行。此外,Amazon Inspector 也新增了額外的資源範圍,讓 Amazon Inspector 能夠建立、更新、刪除和啟動具有AmazonInspector2擁有的 SSM 文件的 SSM 關聯。

 2022 年 8 月 31 日

AmazonInspector2 現有政策的ServiceRolePolicy更新

Amazon Inspector 已更新政策的資源範圍設定,以允許 Amazon Inspector 收集其他 AWS 分割區中的軟體庫存。

 2022 年 8 月 12 日

AmazonInspector2 ServiceRolePolicy — 現有政策的更新

Amazon Inspector 已重新架構動作的資源範圍,讓 Amazon Inspector 能夠建立、刪除和更新 SSM 關聯。

 2022 年 8 月 10 日

AmazonInspector2 ReadOnlyAccess — 新政策

Amazon Inspector 添加了一個新的政策,以允許對 Amazon Inspector 功能的只讀

 2022 年 1 月 21 日

AmazonInspector2 FullAccess — 新政策

Amazon Inspector 添加了一項新政策,以允許完全訪問 Amazon Inspector 功能。

 2021 年 11 月 29 日

AmazonInspector2 ServiceRolePolicy — 新政策

亞馬遜 Inspector 添加了一項新政策,允許 Amazon Inspector 代表您在其他服務中執行操作。

 2021 年 11 月 29 日

Amazon Inspector 開始跟踪更改

Amazon Inspector 開始追蹤其 AWS 受管政策的變更。

 2021 年 11 月 29 日