本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Inspector 的服务相关角色权限
Amazon Inspector 使用名为 AWSServiceRoleForAmazonInspector2 的托管式策略。该服务相关角色信任 inspector2.amazonaws.com 服务担任该角色。
该角色的权限策略名为 AmazonInspector2ServiceRolePolicy,允许 Amazon Inspector 执行以下任务:
-
使用亚马逊弹性计算云 (Amazon EC2) 操作来检索有关您的实例和网络路径的信息。
-
使用 Amazon Systems Manager 操作从您的 Amazon EC2 实例中检索库存,并从自定义路径中检索有关第三方包裹的信息。
-
使用 Amazon Systems Manager
SendCommand操作调用目标实例的 CIS 扫描。 -
使用 Amazon Elastic Container Registry 操作检索有关您的容器映像的信息。
-
使用 Amazon Lambda 操作来检索有关您的 Lambda 函数的信息。
-
使用 Amazon Organizations 操作来描述关联的账户。
-
使用 CloudWatch 操作来检索有关上次调用 Lambda 函数的时间的信息。
-
使用“选择 IAM”操作检索可能在您的 Lambda 代码中造成安全漏洞的 IAM policy 的相关信息。
-
使用 Amazon Q 操作对您的 Lambda 函数中的代码执行扫描。Amazon Inspector 使用以下 Amazon Q 操作:
codeguru-security: CreateScan — 授予创建 Amazon Q; 扫描的权限。
codeguru-security:GetScan — 授予检索 Amazon Q 扫描元数据的权限。
codeguru-security:ListFindings — 授予检索 Amazon Q 生成的调查结果的权限
codeguru-security:DeleteScansByCategory — 授予 Amazon Q 删除由 Amazon Inspector 启动的扫描的权限。
codeguru-security:BatchGetFindings — 授予检索 Amazon Q 生成的一批具体调查结果的权限
使用选择 ELB 操作对属于 ELB 目标组的 EC2 实例执行网络扫描。
使用 Amazon ECS 和 Amazon EKS 操作允许进行只读访问,以查看集群和任务并描述任务。
使用 Amazon Organizations 操作列出跨组织的 Amazon Inspector 的委托管理员。
使用 Amazon Inspector 操作可跨组织启用和禁用 Amazon Inspector。
使用 Amazon Inspector 操作可跨组织指定委派管理员账户并关联成员账户。
注意
Amazon Inspector 不再使用它 CodeGuru 来执行 Lambda 扫描。 Amazon 将于 2025 年 11 月 20 CodeGuru 日停止提供支持。有关更多信息,请参阅终止对 CodeGuru 安全的支持。Amazon Inspector 现在使用 Amazon Q 执行 Lambda 扫描,不需要本节中描述的权限。
要查看此策略的权限,请参阅《Amazon 托管策略参考指南》ServiceRolePolicy中的 AmazonInspector2。