本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Amazon Inspector 的托管政策
Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。
您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Service 的 API 操作时更新 Amazon 托管策略。
有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略。
Amazon 托管策略:AmazonInspector2FullAccess
您可以将 AmazonInspector2FullAccess
策略附加到 IAM 身份。
此策略授予允许完全访问 Amazon Inspector 的权限。
权限详细信息
该策略包含以下权限。
-
inspector2
– 允许完全访问 Amazon Inspector 功能。 -
iam
– 允许 Amazon Inspector 创建服务相关角色,即AWSServiceRoleForAmazonInspector2
。这是必要的,这样 Amazon Inspector 才能执行一些操作,如检索有关 Amazon EC2 实例、Amazon ECR 存储库和容器映像的信息、分析 VPC 网络以及描述与贵组织关联的账户。有关更多信息,请参阅 对 Amazon Inspector 使用服务相关角色。 -
organizations
— 允许管理员将 Amazon Inspector 用于 Amazon Organizations中的组织。在中激活 Amazon Inspector 的可信访问权限后 Amazon Organizations,委派管理员账户的成员可以管理其组织中的设置并查看调查结果。 -
codeguru-security
— 允许管理员使用 Amazon Inspector 检索信息代码片段并更改 CodeGuru 安全部门存储的代码的加密设置。有关更多信息,请参阅 对调查发现中的代码进行静态加密。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "inspector2:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration", "codeguru-security:UpdateAccountConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "inspector2.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" } ] }
Amazon 托管策略:AmazonInspector2ReadOnlyAccess
您可以将 AmazonInspector2ReadOnlyAccess
策略附加到 IAM 身份。
此策略授予允许对 Amazon Inspector 进行只读访问的权限。
权限详细信息
该策略包含以下权限。
-
inspector2
– 允许以只读方式访问 Amazon Inspector 功能。 -
organizations
— 允许查看有关组织的 Amazon Inspector 覆盖范围 Amazon Organizations 的详细信息。 -
codeguru-security
— 允许从 “ CodeGuru 安全” 中检索代码片段。还允许查看存储在 Sec CodeGuru urity 中的代码的加密设置。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization", "inspector2:BatchGet*", "inspector2:List*", "inspector2:Describe*", "inspector2:Get*", "inspector2:Search*", "codeguru-security:BatchGetFindings", "codeguru-security:GetAccountConfiguration" ], "Resource": "*" } ] }
Amazon 托管策略:AmazonInspector2ServiceRolePolicy
无法将 AmazonInspector2ServiceRolePolicy
策略附加到 IAM 实体。将此策略附加到允许 Amazon Inspector 代表您执行操作的服务相关角色。有关更多信息,请参阅 对 Amazon Inspector 使用服务相关角色。
Amazon Inspector 更新 Amazon 了托管政策
查看自该服务开始跟踪这些更改以来对 Amazon Inspector Amazon 托管政策的更新的详细信息。要获得有关此页面更改的自动提醒,请订阅 Amazon Inspector 文档历史记录页面上的 RSS 源。
更改 | 描述 | 日期 |
---|---|---|
AmazonInspector2 ReadOnlyAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许只读用户检索程序包脆弱性调查发现的脆弱性情报详细信息。 |
2023 年 9 月 22 日 |
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许 Amazon Inspector 扫描属于 Elastic Load Balancing 目标组的 Amazon EC2 实例的网络配置。 |
2023 年 8 月 31 日 |
AmazonInspector2 ReadOnlyAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许只读用户为其资源导出软件材料清单 (SBOM)。 |
2023 年 6 月 29 日 |
AmazonInspector2 ReadOnlyAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许只读用户检索其账户的 Lambda 代码扫描结果的加密设置详情。 |
2023 年 6 月 13 日 |
AmazonInspector2 FullAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许用户配置客户托管的 KMS 密钥,来加密 Lambda 代码扫描结果中的代码。 |
2023 年 6 月 13 日 |
AmazonInspector2 ReadOnlyAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许只读用户检索其账户的 Lambda 代码扫描状态和结果的详细信息。 |
2023 年 5 月 2 日 |
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了新的权限,允许亚马逊检查员在您激活 Lambda 扫描时在您的账户中创建 Amazon CloudTrail 与服务相关的渠道。这样,Amazon Inspector 就可以监控您账户中的 CloudTrail 事件。 |
2023 年 4 月 30 日 |
AmazonInspector2 FullAccess — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许用户检索 Lambda 代码扫描脆弱性调查发现的详细信息。 |
2023 年 4 月 21 日 |
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许 Amazon Inspector 向 Amazon EC2 Systems Manager 发送有关客户为 Amazon EC2 深度检查定义的自定义路径的信息。 |
2023 年 4 月 17 日 |
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了新的权限,允许亚马逊检查员在您激活 Lambda 扫描时在您的账户中创建 Amazon CloudTrail 与服务相关的渠道。这样,Amazon Inspector 就可以监控您账户中的 CloudTrail 事件。 |
2023 年 4 月 30 日 |
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了新的权限,允许亚马逊 Inspector 请求扫描 Amazon Lambda 函数中的开发者代码,并从亚马逊 CodeGuru 安全部门接收扫描数据。此外,Amazon Inspector 还增加了审查 IAM policy 的权限。Amazon Inspector 使用这些信息扫描 Lambda 函数中是否存在代码脆弱性。 |
2023 年 2 月 28 日 |
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了一条新语句,允许 Amazon Inspector 检索 CloudWatch 有关上次调用 Amazon Lambda 函数的时间的信息。Amazon Inspector 使用这些信息将扫描重点放在您环境中过去 90 天内处于活动状态的 Lambda 函数上。 |
2023 年 2 月 20 日 |
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 添加了一个新声明,允许亚马逊 Inspector 检索有关 Amazon Lambda 函数的信息,包括与每个函数关联的每个层版本。Amazon Inspector 使用这些信息扫描 Lambda 函数中是否存在安全脆弱性。 |
2022 年 11 月 28 日 |
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 增加了一项新操作,允许 Amazon Inspector 描述 SSM 关联的执行情况。此外,Amazon Inspector 还增加了额外的资源范围,允许 Amazon Inspector 使用 |
2022 年 8 月 31 日 |
AmazonInspector2 对现有政策的ServiceRolePolicy更新 |
Amazon Inspector 更新了政策的资源范围,允许亚马逊 Inspector 收集其他 Amazon 分区中的软件库存。 |
2022 年 8 月 12 日 |
AmazonInspector2 ServiceRolePolicy — 对现有政策的更新 |
Amazon Inspector 重组了操作的资源范围,允许 Amazon Inspector 创建、删除和更新 SSM 关联。 |
2022 年 8 月 10 日 |
Amazon Inspector 增加了一项新策略,允许以只读方式访问 Amazon Inspector 功能。 |
2022 年 1 月 21 日 | |
Amazon Inspector 增加了一项新策略,允许完全访问 Amazon Inspector 功能。 |
2021 年 11 月 29 日 | |
Amazon Inspector 增加了一项新策略,允许 Amazon Inspector 代表您在其他服务中执行操作。 |
2021 年 11 月 29 日 | |
Amazon Inspector 开始跟踪更改 |
Amazon Inspector 开始跟踪其 Amazon 托管政策的变更。 |
2021 年 11 月 29 日 |