在 Amazon ECR 中进行增强扫描所需的 IAM 权限 - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon ECR 中进行增强扫描所需的 IAM 权限

Amazon ECR 增强型扫描需要一个与 Amazon Inspector 服务相关的 IAM 角色,并且启用和使用增强扫描的 IAM 委托人有权调用扫描 APIs 所需的亚马逊 Inspector。为私有注册表开启增强扫描后,Amazon Inspector 会自动创建 Amazon Inspector 服务相关 IAM 角色。有关更多信息,请参阅 Amazon Inspector 用户指南中的将服务相关角色用于 Amazon Inspector

以下 IAM policy 授予启用和使用增强扫描所需的权限。它包括 Amazon Inspector 创建服务相关 IAM 角色所需的权限,以及开启和关闭增强扫描和检索扫描结果所需的 Amazon Inspector API 权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "inspector2:Enable",
                "inspector2:Disable",
                "inspector2:ListFindings",
                "inspector2:ListAccountPermissions",
                "inspector2:ListCoverage"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "inspector2.amazonaws.com"
                    ]
                }
            }
        }
    ]
}