本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Amazon Inspector 的托管政策
Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于使用案例的客户管理型策略来进一步减少权限。
您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Services 服务 的 API 操作时更新 Amazon 托管策略。
有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略。
Amazon 托管策略:AmazonInspector2FullAccess_v2
您可以将 AmazonInspector2FullAccess_v2 策略附加到 IAM 身份。
此策略会授予对 Amazon Inspector 的完全访问权限以及对其他相关服务的访问权限。
权限详细信息
该策略包含以下权限。
-
inspector2— 允许完全访问亚马逊 Inspector APIs。 -
codeguru-security– 便于管理员检索账户的安全扫描结果和配置设置。 -
iam– 便于 Amazon Inspector 创建服务相关角色AWSServiceRoleForAmazonInspector2和AWSServiceRoleForAmazonInspector2Agentless。Amazon Inspector 需要AWSServiceRoleForAmazonInspector2来执行诸如检索有关 Amazon EC2 实例、Amazon ECR 存储库和 Amazon ECR 容器映像的信息等操作。还需要解密使用密钥加密的 Amazon EBS 快照。 Amazon KMS 有关更多信息,请参阅 对 Amazon Inspector 使用服务相关角色。 -
organizations— 仅AllowServicePrincipalBasedAccessToOrganizationApis允许服务委托人为组织创建服务相关角色 Amazon Web Services 账户、注册为 Amazon Web Services 账户 组织的委托管理员以及列出组织中的授权管理员。AllowOrganizationalBasedAccessToOrganizationApis允许保单持有人检索有关组织单位的信息 ARNs,特别是资源级别的信息。AllowAccountsBasedAccessToOrganizationApis允许保单持有人检索有关某人的信息,特别是资源级 ARNs信息。 Amazon Web Services 账户AllowAccessToOrganizationApis允许保单持有人查看与组织和组织 Amazon Web Services 服务 集成的信息。该政策允许列出 Inspector 组织政策,并按照 Inspector 策略类型进行筛选,查看由管理账户建立的委托资源策略,以及查看应用于账户的有效 Inspector 策略。
注意
Amazon Inspector 不再使用它 CodeGuru 来执行 Lambda 扫描。 Amazon 将于 2025 年 11 月 20 CodeGuru 日停止提供支持。有关更多信息,请参阅终止对 CodeGuru 安全的支持。Amazon Inspector 现在使用 Amazon Q 执行 Lambda 扫描,不需要本节中描述的权限。
要查看此策略的权限,请参阅《Amazon 托管策略参考指南》中的 AmazonInspectorFullAccess2 _v2。
Amazon 托管策略:AWSInspector2OrganizationsAccess
您可以将 AWSInspector2OrganizationsAccess 策略附加到 IAM 身份。
该策略授予管理权限,以启用和管理 Amazon Inspector 中的组织 Amazon Organizations。该策略的权限允许组织管理账户为 Amazon Inspector 指定委托管理员账户。它们还允许委派管理员账户将组织账户启用为成员账户。
此策略仅为提供权限 Amazon Organizations。组织管理账户和委派管理员账户也需要关联操作的权限。这些权限可以使用 AmazonInspector2FullAccess_v2 管理策略来授予。
权限详细信息
该策略包含以下权限。
-
organizations:ListAccounts:允许主体检索属于某个组织的账户列表。 -
organizations:DescribeOrganization:允许主体检索有关组织的信息。 -
organizations:ListRoots:允许主体列出组织的根。 -
organizations:ListDelegatedAdministrators:允许主体列出组织的委派管理员。 -
organizations:ListAWSServiceAccessForOrganization— 允许委托人列出组织使用 Amazon Web Services 服务 的。 -
organizations:ListOrganizationalUnitsForParent:允许主体列出父组织单元(OU)的子 OU。 -
organizations:ListAccountsForParent:允许主体列出父 OU 的子账户。 -
organizations:ListParents— 列出作为指定子组织单位或账户的直系父级的根单位或组织单位 (OUs)。 -
organizations:DescribeAccount– 让委托人可以检索有关企业中某个账户的信息。 -
organizations:DescribeOrganizationalUnit:允许主体检索有关组织中某个 OU 的信息。 -
organizations:ListPolicies– 检索指定类型的组织中所有策略的列表。 -
organizations:ListPoliciesForTarget– 列出直接附加到指定的目标根、组织单元(OU)或账户的策略。 -
organizations:ListTargetsForPolicy— 列出指定策略所关联的所有根目录、组织单位 (OUs) 和帐户。 -
organizations:DescribeResourcePolicy— 检索有关资源策略的信息。 -
organizations:EnableAWSServiceAccess– 允许主体启用与 Organions 的集成。 -
organizations:RegisterDelegatedAdministrator– 允许主体指定委派管理员账户。 -
organizations:DeregisterDelegatedAdministrator– 允许主体移除委派管理员账户。 -
organizations:DescribePolicy– 检索有关策略的信息。 -
organizations:DescribeEffectivePolicy– 返回指定的策略类型和账户的有效策略的内容。 -
organizations:CreatePolicy— 创建指定类型的策略,您可以将其附加到根目录、组织单位 (OU) 或个人 Amazon Web Services 账户。 -
organizations:UpdatePolicy– 使用新的名称、描述或内容更新现有策略。 -
organizations:DeletePolicy– 从您的组织中删除指定的策略。 -
organizations:AttachPolicy– 将策略附加到根、组织单元(OU)或单个账户。 -
organizations:DetachPolicy– 将策略从目标根、组织单元(OU)或账户分离。 -
organizations:EnablePolicyType– 在根中启用一种策略类型。 -
organizations:DisablePolicyType– 在根中禁用一种组织策略类型。 -
organizations:TagResource– 将一个或多个标签添加到指定的资源。 -
organizations:UntagResource– 从指定的资源中移除具有指定密钥的任何标签。 -
organizations:ListTagsForResource– 列出附加到指定资源的标签。
要查看此策略的权限,请参阅《Amazon 托管式策略参考》中的 AWSInspector2OrganizationsAccess。
Amazon 托管策略:AmazonInspector2FullAccess
您可以将 AmazonInspector2FullAccess 策略附加到 IAM 身份。
此策略授予允许完全访问 Amazon Inspector 的权限。
重要
为了增强安全性并限制对 Inspector 2 服务主体的权限,我们建议您使用 AmazonInspector2 FullAccess _v2。
权限详细信息
该策略包含以下权限。
-
inspector2– 允许完全访问 Amazon Inspector 功能。 -
iam– 支持 Amazon Inspector 创建服务相关角色AWSServiceRoleForAmazonInspector2和AWSServiceRoleForAmazonInspector2Agentless。Amazon Inspector 如果要执行检索 Amazon EC2 实例、Amazon ECR 存储库和容器映像的相关信息等操作,则需要AWSServiceRoleForAmazonInspector2。此外,Amazon Inspector 如果要分析您的 VPC 网络并描述与您的组织关联的账户,也需要它。如果 Amazon Inspector 要执行检索 Amazon EC2 实例和 Amazon EBS 快照的相关信息等操作,则需要AWSServiceRoleForAmazonInspector2Agentless。还需要解密使用密钥加密的 Amazon EBS 快照。 Amazon KMS 有关更多信息,请参阅 对 Amazon Inspector 使用服务相关角色。 -
organizations— 允许管理员将 Amazon Inspector 用于 Amazon Organizations中的组织。当您在中激活 Amazon Inspector 的可信访问权限时 Amazon Organizations,委托管理员账户的成员可以管理其组织中的设置并查看调查结果。 -
codeguru-security— 允许管理员使用 Amazon Inspector 检索信息代码片段并更改 CodeGuru 安全部门存储的代码的加密设置。有关更多信息,请参阅 对调查发现中的代码进行静态加密。
要查看此策略的权限,请参阅《Amazon 托管策略参考指南》FullAccess中的 AmazonInspector2。
Amazon 托管策略:AmazonInspector2ReadOnlyAccess
您可以将 AmazonInspector2ReadOnlyAccess 策略附加到 IAM 身份。
此策略授予允许对 Amazon Inspector 进行只读访问的权限。
权限详细信息
该策略包含以下权限。
-
inspector2– 允许以只读方式访问 Amazon Inspector 功能。 -
organizations— 允许查看有关组织的 Amazon Inspector 覆盖范围 Amazon Organizations 的详细信息。此外,还允许通过按 Inspector 策略类型ListPolicies进行筛选、通过查看委托资源策略以及通过DescribeResourcePolicy查看应用于账户的有效 Inspector 策略来查看 Inspector 组织政策DescribeEffectivePolicy。这使用户能够了解通过组织策略建立的集中式检查员支持,而无需对其进行修改。 -
codeguru-security— 允许从 “ CodeGuru 安全” 中检索代码片段。还允许查看存储在 “ CodeGuru 安全” 中的代码的加密设置。
要查看此策略的权限,请参阅《Amazon 托管策略参考指南》ReadOnlyAccess中的 AmazonInspector2。
Amazon 托管策略:AmazonInspector2ManagedCisPolicy
可以将 AmazonInspector2ManagedCisPolicy 策略附加到您的 IAM 实体。此策略应附加到向 Amazon EC2 实例授予权限以对实例运行 CIS 扫描的角色。您可以使用 IAM 角色管理在 EC2 实例上运行并发出 Amazon CLI 或 Amazon API 请求的应用程序的临时证书。这优先于在 EC2 实例中存储访问密钥。要向 EC2 实例分配 Amazon 角色并使其可供其所有应用程序使用,您需要创建附加到该实例的实例配置文件。实例配置文件包含角色,并使 EC2 实例上运行的程序能够获得临时凭证。有关更多信息,请参阅《IAM 用户指南》中的使用 IAM 角色向在 Amazon EC2 实例上运行的应用程序授予权限。
权限详细信息
该策略包含以下权限。
-
inspector2- 支持访问用于运行 CIS 扫描的操作。
要查看此策略的权限,请参阅《Amazon 托管策略参考指南》ManagedCisPolicy中的 AmazonInspector2。
Amazon 托管策略:AmazonInspector2ServiceRolePolicy
无法将 AmazonInspector2ServiceRolePolicy 策略附加到 IAM 实体。将此策略附加到允许 Amazon Inspector 代表您执行操作的服务相关角色。有关更多信息,请参阅 对 Amazon Inspector 使用服务相关角色。
Amazon 托管策略:AmazonInspector2AgentlessServiceRolePolicy
无法将 AmazonInspector2AgentlessServiceRolePolicy 策略附加到 IAM 实体。将此策略附加到允许 Amazon Inspector 代表您执行操作的服务相关角色。有关更多信息,请参阅 对 Amazon Inspector 使用服务相关角色。
Amazon 托管策略:AmazonInspector2ManagedTelemetryPolicy
可以将 AmazonInspector2ManagedTelemetryPolicy 策略附加到您的 IAM 实体。该政策授予 Amazon Inspector 遥测操作的权限,允许该服务收集和传输包裹库存数据以进行漏洞扫描。
权限详细信息
该策略包含以下权限。
-
inspector2-telemetry— 允许访问包裹库存数据传输的操作。
要查看有关策略的更多详细信息,包括最新版本的 JSON 策略文档,请参阅《Amazon 托管策略参考指南》ManagedTelemetryPolicy中的 AmazonInspector2。
Amazon Inspector 更新 Amazon 了托管政策
查看自该服务开始跟踪这些更改以来对 Amazon Inspector Amazon 托管政策的更新的详细信息。要获得有关此页面更改的自动提醒,请订阅 Amazon Inspector 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
Amazon Inspector 添加了一项新的托管策略,该策略授予通过 Amazon Organizations 策略启用和管理亚马逊 Inspector 所需的权限。 |
2026 年 3 月 3 日 | |
|
Amazon Inspector 添加了一项新的托管策略,该策略授予对 Amazon Inspector 遥测操作的权限,允许该服务收集和传输包裹库存数据以进行漏洞扫描。 |
2026 年 2 月 5 日 | |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了一项新权限,允许亚马逊 Inspector 描述用于网络可访问性分析的防火墙元数据。此外,Amazon Inspector 还添加了额外的资源范围界定,以允许 Amazon Inspector 创建、更新和启动与 SSM 文档的 SSM 关联。 |
2026 年 2 月 3 日 |
|
AmazonInspector2 FullAccess _v2 和 AmazonInspector2 ReadOnlyAccess — 对现有策略的更新 |
Amazon Inspector 增加了新的权限,允许保单持有人查看 Inspector 组织策略和委托配置。这支持通过 Amazon Organizations 策略对 Inspector 的启用进行集中管理和可见性。 |
2025 年 11 月 14 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许亚马逊 Inspector Amazon Organizations 策略强制启用和禁用 Amazon Inspector。 |
2025 年 11 月 10 日 |
|
Amazon Inspector 已增加了一个新的托管式策略,提供对 Amazon Inspector 的完全访问权限以及对其他相关服务的访问权限。 |
2025 年 7 月 3 日 | |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 已增加了一个新权限,允许 Amazon Inspector 描述 IP 地址和互联网网关。 |
2025 年 4 月 29 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 已增加了一个新权限,允许对 Amazon ECS 和 Amazon EKS 操作进行只读访问。 |
2025 年 3 月 25 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,让 Amazon Inspector 可以在 Amazon Lambda中返回函数标签。 |
2024 年 7 月 31 日 |
|
AmazonInspector2 FullAccess — 对现有政策的更新 |
Amazon Inspector 增加了相应的权限,让 Amazon Inspector 可以创建服务相关角色 |
2024 年 4 月 24 日 |
|
Amazon Inspector 增加了一个新的托管式策略,您可以将其用作实例配置文件的一部分,以便对实例进行 CIS 扫描。 |
2024 年 1 月 23 日 | |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,让 Amazon Inspector 可以在目标实例上启动 CIS 扫描。 |
2024 年 1 月 23 日 |
|
Amazon Inspector 添加了一项新的服务相关角色策略,以允许对 EC2 实例进行无代理扫描。 |
2023 年 11 月 27 日 | |
|
AmazonInspector2 ReadOnlyAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许只读用户检索程序包漏洞调查发现的漏洞情报详细信息。 |
2023 年 9 月 22 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许 Amazon Inspector 扫描属于 Elastic Load Balancing 目标组的 Amazon EC2 实例的网络配置。 |
2023 年 8 月 31 日 |
|
AmazonInspector2 ReadOnlyAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许只读用户为其资源导出软件材料清单 (SBOM)。 |
2023 年 6 月 29 日 |
|
AmazonInspector2 ReadOnlyAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许只读用户检索其账户的 Lambda 代码扫描结果的加密设置详情。 |
2023 年 6 月 13 日 |
|
AmazonInspector2 FullAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许用户配置客户托管的 KMS 密钥,来加密 Lambda 代码扫描结果中的代码。 |
2023 年 6 月 13 日 |
|
AmazonInspector2 ReadOnlyAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许只读用户检索其账户的 Lambda 代码扫描状态和结果的详细信息。 |
2023 年 5 月 2 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了新的权限,允许亚马逊检查员在您激活 Lambda 扫描时在您的账户中创建 Amazon CloudTrail 与服务相关的渠道。这样,Amazon Inspector 就可以监控您账户中的 CloudTrail 事件。 |
2023 年 4 月 30 日 |
|
AmazonInspector2 FullAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许用户检索 Lambda 代码扫描漏洞调查发现的详细信息。 |
2023 年 4 月 21 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,让 Amazon Inspector 可以向 Amazon EC2 Systems Manager 发送有关客户为 Amazon EC2 深度检查定义的自定义路径的信息。 |
2023 年 4 月 17 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了新的权限,允许亚马逊检查员在您激活 Lambda 扫描时在您的账户中创建 Amazon CloudTrail 与服务相关的渠道。这样,Amazon Inspector 就可以监控您账户中的 CloudTrail 事件。 |
2023 年 4 月 30 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许亚马逊 Inspector 请求扫描 Amazon Lambda 函数中的开发者代码,并从亚马逊 CodeGuru 安全部门接收扫描数据。此外,Amazon Inspector 还增加了审查 IAM policy 的权限。Amazon Inspector 使用这些信息扫描 Lambda 函数中是否存在代码脆弱性。 |
2023 年 2 月 28 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了一条新语句,允许 Amazon Inspector 检索 CloudWatch 有关上次调用 Amazon Lambda 函数的时间的信息。Amazon Inspector 使用这些信息将扫描重点放在您环境中过去 90 天内处于活动状态的 Lambda 函数上。 |
2023 年 2 月 20 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了一个新声明,允许亚马逊 Inspector 检索有关 Amazon Lambda 函数的信息,包括与每个函数关联的每个层版本。Amazon Inspector 使用这些信息扫描 Lambda 函数中是否存在安全漏洞。 |
2022 年 11 月 28 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了一项新操作,允许 Amazon Inspector 描述 SSM 关联的执行情况。此外,Amazon Inspector 还增加了额外的资源范围,允许 Amazon Inspector 使用 |
2022 年 8 月 31 日 |
|
AmazonInspector2 对现有政策的ServiceRolePolicy更新 |
Amazon Inspector 更新了政策的资源范围,允许亚马逊 Inspector 收集其他 Amazon 分区中的软件库存。 |
2022 年 8 月 12 日 |
|
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 重组了操作的资源范围,允许 Amazon Inspector 创建、删除和更新 SSM 关联。 |
2022 年 8 月 10 日 |
|
Amazon Inspector 增加了一项新策略,允许以只读方式访问 Amazon Inspector 功能。 |
2022 年 1 月 21 日 | |
|
Amazon Inspector 增加了一项新策略,允许完全访问 Amazon Inspector 功能。 |
2021 年 11 月 29 日 | |
|
Amazon Inspector 增加了一项新策略,允许 Amazon Inspector 代表您在其他服务中执行操作。 |
2021 年 11 月 29 日 | |
|
Amazon Inspector 开始跟踪更改 |
Amazon Inspector 开始跟踪其 Amazon 托管政策的变更。 |
2021 年 11 月 29 日 |