Amazon Inspector2 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Inspector2 的操作、资源和条件键

Amazon Inspector2(服务前缀:inspector2)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon Inspector2 定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AssociateMember 授予权限以将某一账户与 Amazon Inspector 管理员账户关联 写入
BatchGetAccountStatus 授予权限以检索有关某一账户的 Amazon Inspector 账户的信息 读取
BatchGetCodeSnippet 授予权限以检索有关一个或多个代码漏洞调查结果的代码段信息 读取
BatchGetFindingDetails 授予允许客户获得增强的漏洞情报详细信息以获取调查发现的权限 读取
BatchGetFreeTrialInfo 授予权限以检索有关某一账户的 Amazon Inspector 账户的免费试用期资格 读取
BatchGetMemberEc2DeepInspectionStatus 向委派管理员授予权限以检索成员账户的 ec2 深度检查状态 读取
BatchUpdateMemberEc2DeepInspectionStatus 授予权限,由委派管理员为其关联的成员账户更新 ec2 深度检查状态 写入
CancelFindingsReport 授予权限以取消调查结果报告的生成 写入
CancelSbomExport 授予权限以取消 SBOM 报告的生成 写入
CreateCisScanConfiguration 授予创建和定义 CIS 扫描配置设置的权限 写入

CIS Scan Configuration*

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFilter 授予权限以创建和定义结果筛选条件的设置 写入

Filter*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFindingsReport 授予权限以请求生成调查结果报告 写入
CreateSbomExport 授予权限以请求生成 SBOM 报告 写入
DeleteCisScanConfiguration 授予删除 CIS 扫描配置的权限 写入

CIS Scan Configuration*

aws:ResourceTag/${TagKey}

DeleteFilter 授予权限以删除结果筛选条件 写入

Filter*

DescribeOrganizationConfiguration 授予权限以检索有关 Amazon 组织的 Amazon Inspector 配置设置的信息 读取
Disable 授予权限以禁用 Amazon Inspector 账户 写入
DisableDelegatedAdminAccount 授予禁用账户作为 Amazon 组织委托的 Amazon Inspector 管理员账户的权限 写入
DisassociateMember 授予 Amazon Inspector 管理员账户权限以与 Inspector 成员账户取消关联 写入
Enable 授予权限以启用和指定新 Amazon Inspector 账户的配置设置 写入
EnableDelegatedAdminAccount 授予允许账户作为 Amazon 组织委托的 Amazon Inspector 管理员账户的权限 写入
GetCisScanReport 授予检索包含已完成 CIS 扫描相关信息的报告的权限 读取
GetCisScanResultDetails 授予权限以检索与一个 CIS 扫描和一个目标资源有关的所有详细信息的信息 列出
GetConfiguration 授予权限以检索有关 Amazon Inspector 配置设置的信息 Amazon Web Services 账户 读取
GetDelegatedAdminAccount 授予权限以检索有关某一账户的 Amazon Inspector 管理员账户的信息 读取
GetEc2DeepInspectionConfiguration 授予权限以检索独立账户、委派管理员及成员账户的 ec2 深度检查状态 读取
GetEncryptionKey 授予权限以检索有关用于加密代码片段的 KMS 密钥的信息 读取
GetFindingsReportStatus 授予权限以检索请求的结果报告的状态 读取
GetMember 授予权限以检索有关与 Amazon Inspector 管理员账户关联的某一账户的信息 读取
GetSbomExport 授予权限以检索请求的 SBOM 报告 读取
ListAccountPermissions 授予权限以检索与企业内的 Amazon Inspector 账户关联的功能配置权限 列出
ListCisScanConfigurations 授予检索所有 CIS 扫描配置信息的权限 列出
ListCisScanResultsAggregatedByChecks 授予权限以检索与一次 CIS 扫描有关的所有支票的信息 列出
ListCisScanResultsAggregatedByTargetResource 授予权限以检索与一次 CIS 扫描有关的所有资源的信息 列出
ListCisScans 授予权限以检索已完成 CIS 扫描的相关信息 列出
ListCoverage 授予权限以检索 Amazon Inspector 可以为 Inspector 监控的资源生成的统计数据类型 列出
ListCoverageStatistics 授予权限以检索 Amazon Inspector 监控的资源的统计数据和其他信息 列出
ListDelegatedAdminAccounts 授予权限以检索有关 Amazon 组织委托的 Amazon Inspector 管理员账户的信息 列出
ListFilters 授予权限以检索有关所有结果筛选条件的信息 列出
ListFindingAggregations 授予权限以检索有关 Amazon Inspector 结果的统计数据和其他信息 列出
ListFindings 授予权限以检索有关一个或多个结果的信息子集 列出
ListMembers 授予权限以检索有关与 Inspector 管理员账户关联的 Amazon Inspector 成员账户的信息 列出
ListTagsForResource 授予权限以检索 Amazon Inspector 资源的标签 读取
ListUsageTotals 授予权限以检索账户的聚合使用情况数据 列出
ResetEncryptionKey 授予权限以允许客户重置使用 Amazon 拥有的 KMS 密钥加密代码片段 写入
SearchVulnerabilities 授予权限以列出特定漏洞的 Amazon Inspector 覆盖范围详细信息 读取
SendCisSessionHealth 授予发送 CIS 健康状况以进行 CIS 扫描的权限 写入
SendCisSessionTelemetry 授予发送 CIS 遥测数据以进行 CIS 扫描的权限 写入
StartCisSession 授予启动 CIS 扫描会话的权限 写入
StopCisSession 授予停止 CIS 扫描会话的权限 写入
TagResource 授予权限以为 Amazon Inspector 资源添加或更新标签 标记

CIS Scan Configuration

inspector2:Cis Scan Configuration

Filter

inspector2:Filter

aws:RequestTag/${TagKey}

aws:TagKeys

aws:ResourceTag/${TagKey}

UntagResource 授予从 Amazon Inspector 资源中删除标签的权限 标记

CIS Scan Configuration

inspector2:Cis Scan Configuration

Filter

inspector2:Filter

aws:ResourceTag/${TagKey}

aws:TagKeys

UpdateCisScanConfiguration 授予更新 CIS 扫描配置设置的权限 写入

CIS Scan Configuration*

aws:ResourceTag/${TagKey}

UpdateConfiguration 授予更新有关 Amazon Inspector 配置设置信息的权限 Amazon Web Services 账户 写入
UpdateEc2DeepInspectionConfiguration 授予权限,由委派管理员、成员及独立账户更新 ec2 深度检查状态 写入
UpdateEncryptionKey 授予权限以让用户使用 KMS 密钥加密代码片段 写入
UpdateFilter 授予权限以更新结果筛选条件的设置 写入

Filter*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateOrgEc2DeepInspectionConfiguration 授予权限,由委派管理员为其关联的成员账户更新 ec2 深度检查配置 写入
UpdateOrganizationConfiguration 授予更新 Amazon 组织的 Amazon Inspector 配置设置的权限 写入

Amazon Inspector2 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
Filter arn:${Partition}:inspector2:${Region}:${Account}:owner/${OwnerId}/filter/${FilterId}

aws:ResourceTag/${TagKey}

Finding arn:${Partition}:inspector2:${Region}:${Account}:finding/${FindingId}
CIS Scan Configuration arn:${Partition}:inspector2:${Region}:${Account}:owner/${OwnerId}/cis-configuration/${CISScanConfigurationId}

aws:ResourceTag/${TagKey}

Amazon Inspector2 的条件键

Amazon Inspector2 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据在请求中是否具有标签键值对来筛选访问权限 String
aws:ResourceTag/${TagKey} 按附加到资源的标签键值对筛选操作 String
aws:TagKeys 根据在请求中是否具有标签键来筛选访问 ArrayOfString