Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Amazon Inspector
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von Rechenzentren und Netzwerkarchitekturen, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame AWS Verantwortung von Ihnen und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, auf der AWS Dienste in der ausgeführt AWS Cloud werden. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für Amazon Inspector gelten, finden Sie unter [AWS Services im Bereich nach Compliance-Programm AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Amazon Inspector anwenden können. In den folgenden Themen erfahren Sie, wie Sie Amazon Inspector konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, mit denen Sie Ihre Amazon Inspector Inspector-Ressourcen überwachen und sichern können.
**Topics**
+ [Datenschutz in Amazon Inspector](data-protection.md)
+ [Identity and Access Management für Amazon Inspector](security-iam.md)
+ [Überwachung von Amazon Inspector](monitoring-overview.md)
+ [Konformitätsvalidierung für Amazon Inspector](inspector-compliance.md)
+ [Resilienz in Amazon Inspector](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in Amazon Inspector](infrastructure-security.md)
+ [Reaktion auf Vorfälle in Amazon Inspector](security-incident-response.md)
+ [Greifen Sie über einen Schnittstellenendpunkt auf Amazon Inspector zu (AWS PrivateLink](vpc-interface-endpoints-inspector.md)
# Datenschutz in Amazon Inspector
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) gilt für den Datenschutz in Amazon Inspector. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Amazon Inspector oder anderen AWS-Services über die Konsole AWS CLI, API oder arbeiten AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
**Topics**
+ [Verschlüsselung im Ruhezustand](encryption-rest.md)
+ [Verschlüsselung während der Übertragung](encryption-transit.md)
# Verschlüsselung im Ruhezustand
Standardmäßig speichert Amazon Inspector Daten im Ruhezustand mithilfe von AWS Verschlüsselungslösungen. Amazon Inspector verschlüsselt Daten wie die folgenden:
+ Ressourcenbestand, gesammelt mit AWS Systems Manager.
+ Aus Amazon Elastic Container Registry-Images analysiertes Ressourceninventar
+ Generierte Sicherheitsergebnisse unter Verwendung AWS eigener Verschlüsselungsschlüssel von AWS Key Management Service
Sie können AWS eigene Schlüssel nicht verwalten, verwenden oder anzeigen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme ändern, um Schlüssel zu schützen, die Ihre Daten verschlüsseln. Weitere Informationen finden Sie unter [AWS -eigene Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys).
Wenn Sie Amazon Inspector deaktivieren, werden alle Ressourcen, die es für Sie speichert oder verwaltet, dauerhaft gelöscht, z. B. gesammeltes Inventar und Sicherheitserkenntnisse.
## Verschlüsselung im Ruhezustand für den Code in Ihren Ergebnissen
Beim Scannen von Amazon Inspector Lambda-Code arbeitet Amazon Inspector mit Amazon Q zusammen, um Ihren Code auf Sicherheitslücken zu scannen. Wenn eine Sicherheitslücke erkannt wird, extrahiert Amazon Q einen Codeausschnitt, der die Sicherheitslücke enthält, und speichert diesen Code, bis Amazon Inspector Zugriff anfordert. Standardmäßig verwendet Amazon Q einen AWS eigenen Schlüssel, um den extrahierten Code zu verschlüsseln. Sie können Amazon Inspector jedoch so konfigurieren, dass Ihr eigener, vom Kunden verwalteter AWS KMS Schlüssel für die Verschlüsselung verwendet wird.
Der folgende Arbeitsablauf erklärt, wie Amazon Inspector den von Ihnen konfigurierten Schlüssel verwendet, um Ihren Code zu verschlüsseln:
1. Sie stellen Amazon Inspector mithilfe der Amazon Inspector [UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEncryptionKey.html)Inspector-API einen AWS KMS Schlüssel zur Verfügung.
1. Amazon Inspector leitet die Informationen über Ihren AWS KMS Schlüssel an Amazon Q weiter, und Amazon Q speichert die Informationen für die future Verwendung.
1. Amazon Q verwendet den KMS-Schlüssel, den Sie in Amazon Inspector über die Schlüsselrichtlinie konfiguriert haben.
1. Amazon Q erstellt aus Ihrem Schlüssel einen verschlüsselten AWS KMS Datenschlüssel und speichert ihn. Dieser Datenschlüssel wird verwendet, um Ihre von Amazon Q gespeicherten Codedaten zu verschlüsseln.
1. Wenn Amazon Inspector Daten aus Codescans anfordert, verwendet Amazon Q den KMS-Schlüssel, um den Datenschlüssel zu entschlüsseln. Wenn Sie das Lambda-Code-Scannen deaktivieren, löscht Amazon Q den zugehörigen Datenschlüssel.
## Berechtigungen für die Codeverschlüsselung mit einem vom Kunden verwalteten Schlüssel
Für die Verschlüsselung müssen Sie einen KMS-Schlüssel mit [einer Richtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) erstellen, die eine Anweisung enthält, mit der Amazon Inspector und Amazon Q die folgenden Aktionen ausführen können.
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:Encrypt`
+ `kms:GenerateDataKey`
+ `kms:GenerateDataKeyWithoutPlainText`
**Richtlinienanweisung**
Sie können die folgende Richtlinienerklärung verwenden, wenn Sie den KMS-Schlüssel erstellen.
**Anmerkung**
Ersetzen Sie es `account-id` durch Ihre 12-stellige AWS-Konto ID. `Region`Ersetzen Sie es durch das AWS-Region , wo Sie Amazon Inspector und Lambda-Code-Scanning aktiviert haben. `role-ARN`Ersetzen Sie es durch den Amazon-Ressourcennamen für Ihre IAM-Rolle.
```
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
},
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:GenerateDataKey"
],
"Principal": {
"AWS": "role-ARN"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "inspector2.Region.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Principal": {
"AWS": "role-ARN"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "inspector2.Region.amazonaws.com"
}
}
}
```
Die Richtlinienerklärung ist in JSON formatiert. Nachdem Sie die Erklärung hinzugefügt haben, überprüfen Sie die Richtlinie, um sicherzustellen, dass die Syntax gültig ist. Wenn es sich bei der Aussage um die letzte Aussage in der Richtlinie handelt, setzen Sie hinter die schließende Klammer für die vorherige Anweisung ein Komma. Wenn es sich bei der Aussage um die erste Aussage oder um eine Aussage zwischen zwei bestehenden Aussagen in der Richtlinie handelt, setzen Sie hinter der schließenden Klammer für die Anweisung ein Komma.
**Anmerkung**
Amazon Inspector unterstützt keine [Zuschüsse](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) mehr zur Verschlüsselung von Codefragmenten, die aus Paketen extrahiert wurden. Wenn Sie eine auf Zuschüssen basierende Richtlinie verwenden, können Sie weiterhin auf Ihre Ergebnisse zugreifen. Wenn Sie jedoch Ihren KMS-Schlüssel aktualisieren oder zurücksetzen oder das Lambda-Code-Scannen deaktivieren, müssen Sie die in diesem Abschnitt beschriebene KMS-Schlüsselrichtlinie verwenden.
Wenn Sie den Verschlüsselungsschlüssel für Ihr Konto einrichten, aktualisieren oder zurücksetzen, müssen Sie eine Amazon Inspector-Administratorrichtlinie verwenden, z. B. die AWS verwaltete Richtlinie`AmazonInspector2FullAccess`.
## Konfiguration der Verschlüsselung mit einem vom Kunden verwalteten Schlüssel
Um die Verschlüsselung für Ihr Konto mit einem vom Kunden verwalteten Schlüssel zu konfigurieren, müssen Sie ein Amazon Inspector-Administrator mit den unter beschriebenen Berechtigungen sein[Berechtigungen für die Codeverschlüsselung mit einem vom Kunden verwalteten Schlüssel](#cmk-permissions). Darüber hinaus benötigen Sie einen AWS KMS Schlüssel in derselben AWS Region wie Ihre Ergebnisse oder einen [Schlüssel für mehrere Regionen](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html). Sie können einen vorhandenen symmetrischen Schlüssel in Ihrem Konto verwenden oder einen symmetrischen, vom Kunden verwalteten Schlüssel mithilfe der AWS Management-Konsole oder der erstellen. AWS KMS APIs Weitere Informationen finden Sie im [Benutzerhandbuch unter Erstellen symmetrischer AWS KMSAWS KMS Verschlüsselungsschlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk).
**Anmerkung**
Ab dem 13. Juni 2025 ändert sich der Dienstprinzipal bei AWS KMS Anfragen, die CloudTrail während des encryption/decryption Codeausschnitts angemeldet wurden, von „codeguru-reviewer“ zu „q“.
### Verwenden der Amazon Inspector API zur Konfiguration der Verschlüsselung
Um einen Schlüssel für die Verschlüsselung für den [UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEncryptionKey.html)Betrieb der Amazon Inspector-API festzulegen, während Sie als Amazon Inspector-Administrator angemeldet sind. Verwenden Sie in der API-Anfrage das `kmsKeyId` Feld, um den ARN des AWS KMS Schlüssels anzugeben, den Sie verwenden möchten. Für `scanType` Enter `CODE` und für `resourceType` Enter`AWS_LAMBDA_FUNCTION`.
Sie können die [UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_GetEncryptionKey.html)API verwenden, um zu überprüfen, welchen AWS KMS Schlüssel Amazon Inspector für die Verschlüsselung verwendet.
**Anmerkung**
Wenn Sie versuchen zu verwenden, `GetEncryptionKey` obwohl Sie keinen vom Kunden verwalteten Schlüssel eingerichtet haben, gibt der Vorgang einen `ResourceNotFoundException` Fehler zurück, was bedeutet, dass ein AWS eigener Schlüssel für die Verschlüsselung verwendet wird.
Wenn Sie den Schlüssel löschen oder seine Richtlinie dahingehend ändern, dass der Zugriff auf Amazon Inspector oder Amazon Q verweigert wird, können Sie nicht mehr auf Ihre gefundenen Sicherheitslücken zugreifen und der Lambda-Code-Scan schlägt für Ihr Konto fehl.
Sie können `ResetEncryptionKey` damit fortfahren, einen AWS eigenen Schlüssel zum Verschlüsseln von Code zu verwenden, der im Rahmen Ihrer Amazon Inspector Inspector-Ergebnisse extrahiert wurde.
# Verschlüsselung während der Übertragung
AWS verschlüsselt alle Daten, die zwischen AWS internen Systemen und anderen AWS Diensten übertragen werden. AWS Systems Manager sammelt Telemetriedaten von kundeneigenen EC2-Instances, an die es zur Bewertung AWS über einen durch Transport Layer Security (TLS) geschützten Kanal sendet. Die Ergebnisse der Amazon ECR- und AWS Lambda-Funktionsscans, die an Security Hub CSPM gesendet werden, werden über einen TLS-geschützten Kanal verschlüsselt. Weitere Informationen finden Sie unter [Datenschutz in Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/data-protection.html), um zu erfahren, wie SSM Daten bei der Übertragung verschlüsselt.
# Identity and Access Management für Amazon Inspector
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Amazon Inspector Inspector-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [So arbeitet Amazon Inspector mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für Amazon Inspector](security_iam_id-based-policy-examples.md)
+ [AWS verwaltete Richtlinien für Amazon Inspector](security-iam-awsmanpol.md)
+ [Verwenden von serviceverknüpften Rollen für Amazon Inspector](using-service-linked-roles.md)
+ [Fehlerbehebung bei Identität und Zugriff auf Amazon Inspector](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Identität und Zugriff auf Amazon Inspector](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So arbeitet Amazon Inspector mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für Amazon Inspector](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So arbeitet Amazon Inspector mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Amazon Inspector zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen mit Amazon Inspector verwendet werden können.
**IAM-Funktionen, die Sie mit Amazon Inspector verwenden können**
| IAM-Feature | Unterstützung für Amazon Inspector |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Richtlinienbedingungsschlüssel (servicespezifisch)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Teilweise |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Prinzipalberechtigungen](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Nein |
| [Serviceverknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Ja |
Einen allgemeinen Überblick darüber, wie Amazon Inspector und andere AWS-Services mit den meisten IAM-Funktionen [funktionieren AWS-Services , finden Sie im *IAM-Benutzerhandbuch*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Identitätsbasierte Richtlinien für Amazon Inspector
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Amazon Inspector
Beispiele für identitätsbasierte Richtlinien von Amazon Inspector finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Inspector](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien in Amazon Inspector
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Politische Maßnahmen für Amazon Inspector
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der Amazon Inspector-Aktionen finden Sie unter [Von Amazon Inspector definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions) in der *Service Authorization Reference*.
Richtlinienaktionen in Amazon Inspector verwenden das folgende Präfix vor der Aktion:
```
inspector2
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"inspector2:action1",
"inspector2:action2"
]
```
Beispiele für identitätsbasierte Richtlinien von Amazon Inspector finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Inspector](security_iam_id-based-policy-examples.md)
## Richtlinienressourcen für Amazon Inspector
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der Amazon Inspector-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von Amazon Inspector definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon Inspector definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions).
Beispiele für identitätsbasierte Richtlinien von Amazon Inspector finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Inspector](security_iam_id-based-policy-examples.md)
## Schlüssel für Richtlinienbedingungen für Amazon Inspector
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Amazon Inspector-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-policy-keys) in der *Service Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon Inspector definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions).
Beispiele für identitätsbasierte Richtlinien von Amazon Inspector finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Inspector](security_iam_id-based-policy-examples.md)
## ACLs bei Amazon Inspector
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## ABAC mit Amazon Inspector
**Unterstützt ABAC (Tags in Richtlinien):** Teilweise
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, um Operationen zu ermöglichen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
## Temporäre Anmeldeinformationen mit Amazon Inspector verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Serviceübergreifende Hauptberechtigungen für Amazon Inspector
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anfrage, Anfragen an nachgelagerte Dienste AWS-Service zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für Amazon Inspector
**Unterstützt Servicerollen:** Nein
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Das Ändern der Berechtigungen für eine Servicerolle kann die Funktionalität von Amazon Inspector beeinträchtigen. Bearbeiten Sie Servicerollen nur, wenn Amazon Inspector Sie dazu anleitet.
## Servicebezogene Rollen für Amazon Inspector
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
# Beispiele für identitätsbasierte Richtlinien für Amazon Inspector
Standardmäßig sind Benutzer und Rollen nicht berechtigt, Amazon Inspector Inspector-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von Amazon Inspector definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html) in der *Service Authorization Reference*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Amazon Inspector Inspector-Konsole](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Nur-Lese-Zugriff auf alle Amazon Inspector Inspector-Ressourcen zulassen](#security_iam_id-based-policy-examples-read-only)
+ [Vollzugriff auf alle Amazon Inspector Inspector-Ressourcen zulassen](#security_iam_id-based-policy-examples-full-access)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Amazon Inspector Inspector-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Amazon Inspector Inspector-Konsole
Um auf die Amazon Inspector Inspector-Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Amazon Inspector Inspector-Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass Benutzer und Rollen die Amazon Inspector-Konsole weiterhin verwenden können, fügen Sie den Entitäten auch den Amazon Inspector `ConsoleAccess` oder die `ReadOnly` AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie beinhaltet Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Nur-Lese-Zugriff auf alle Amazon Inspector Inspector-Ressourcen zulassen
Dieses Beispiel zeigt eine Richtlinie, die nur Lesezugriff auf alle Amazon Inspector Inspector-Ressourcen ermöglicht.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"inspector2:Describe*",
"inspector2:Get*",
"inspector2:BatchGet*",
"inspector2:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
------
## Vollzugriff auf alle Amazon Inspector Inspector-Ressourcen zulassen
Dieses Beispiel zeigt eine Richtlinie, die vollen Zugriff auf alle Amazon Inspector Inspector-Ressourcen ermöglicht.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "inspector2:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "inspector2.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
------
# AWS verwaltete Richtlinien für Amazon Inspector
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AmazonInspector2FullAccess\$1v2
Sie können die `AmazonInspector2FullAccess_v2`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt vollen Zugriff auf Amazon Inspector und Zugriff auf andere verwandte Dienste.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `inspector2`— Ermöglicht den vollständigen Zugriff auf Amazon Inspector APIs.
+ `codeguru-security`— Ermöglicht Administratoren das Abrufen von Sicherheitsergebnissen und Konfigurationseinstellungen für ein Konto.
+ `iam`— Ermöglicht Amazon Inspector, die serviceverknüpften Rollen zu erstellen `AWSServiceRoleForAmazonInspector2` und`AWSServiceRoleForAmazonInspector2Agentless`. `AWSServiceRoleForAmazonInspector2`ist erforderlich, damit Amazon Inspector Vorgänge wie das Abrufen von Informationen über Amazon EC2 EC2-Instances, Amazon ECR-Repositorys und Amazon ECR-Container-Images ausführen kann. Es ist auch erforderlich, um mit Schlüsseln verschlüsselte Amazon EBS-Snapshots zu entschlüsseln. AWS KMS Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für Amazon Inspector](using-service-linked-roles.md).
+ `organizations`— `AllowServicePrincipalBasedAccessToOrganizationApis` ermöglicht es nur Service Principals, dienstbezogene Rollen für eine Organisation zu erstellen AWS-Konten, sie AWS-Konto als delegierten Administrator für eine Organisation zu registrieren und delegierte Administratoren in einer Organisation aufzulisten. `AllowOrganizationalBasedAccessToOrganizationApis`ermöglicht es dem Versicherungsnehmer, Informationen über eine Organisationseinheit abzurufen, insbesondere Informationen auf Ressourcenebene ARNs. `AllowAccountsBasedAccessToOrganizationApis`ermöglicht dem Versicherungsnehmer das Abrufen von Informationen, insbesondere auf Ressourcenebene ARNs, über eine. AWS-Konto`AllowAccessToOrganizationApis`ermöglicht es dem Versicherungsnehmer, AWS-Services integrierte Informationen zu einer Organisation und Organisation einzusehen. Die Richtlinie ermöglicht das Auflisten von Inspector-Organisationsrichtlinien mit Filterung nach Inspector-Richtlinientypen, das Anzeigen von Delegierungsressourcenrichtlinien, die von Verwaltungskonten eingerichtet wurden, und das Anzeigen der effektiven Inspector-Richtlinien, die auf Konten angewendet wurden.
**Anmerkung**
Amazon Inspector verwendet CodeGuru keine Lambda-Scans mehr. AWS wird den Support für den 20. CodeGuru November 2025 einstellen. Weitere Informationen finden Sie unter [Ende des Supports für CodeGuru Security](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html). Amazon Inspector verwendet jetzt Amazon Q zur Durchführung von Lambda-Scans und benötigt nicht die in diesem Abschnitt beschriebenen Berechtigungen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonInspector2 FullAccess \$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess_v2.html) im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## AWS verwaltete Richtlinie: AWSInspector2OrganizationsAccess
Sie können die `AWSInspector2OrganizationsAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Administratorberechtigungen zur Aktivierung und Verwaltung von Amazon Inspector für eine Organisation in AWS Organizations. Die Berechtigungen für diese Richtlinie ermöglichen es dem Organisationsverwaltungskonto, das delegierte Administratorkonto für Amazon Inspector zu bestimmen. Sie ermöglichen es dem delegierten Administratorkonto auch, Organisationskonten als Mitgliedskonten zu aktivieren.
Diese Richtlinie bietet nur Berechtigungen für AWS Organizations. Das Organisationsverwaltungskonto und das delegierte Administratorkonto erfordern ebenfalls Berechtigungen für zugehörige Aktionen. Diese Berechtigungen können mithilfe der `AmazonInspector2FullAccess_v2` verwalteten Richtlinie erteilt werden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `organizations:ListAccounts`— Ermöglicht Prinzipalen das Abrufen der Liste der Konten, die Teil einer Organisation sind.
+ `organizations:DescribeOrganization`— Ermöglicht Prinzipalen das Abrufen von Informationen über die Organisation.
+ `organizations:ListRoots`— Ermöglicht Prinzipalen, den Stamm einer Organisation aufzulisten.
+ `organizations:ListDelegatedAdministrators`— Ermöglicht Prinzipalen, den delegierten Administrator einer Organisation aufzulisten.
+ `organizations:ListAWSServiceAccessForOrganization`— Ermöglicht Prinzipalen, diejenigen aufzulisten AWS-Services , die eine Organisation verwendet.
+ `organizations:ListOrganizationalUnitsForParent`— Ermöglicht Prinzipalen, die untergeordneten Organisationseinheiten (OU) einer übergeordneten OU aufzulisten.
+ `organizations:ListAccountsForParent`— Ermöglicht Prinzipalen, die untergeordneten Konten einer übergeordneten Organisationseinheit aufzulisten.
+ `organizations:ListParents`— Führt die Stamm- oder Organisationseinheiten (OUs) auf, die der angegebenen untergeordneten Organisationseinheit oder dem angegebenen untergeordneten Konto als unmittelbare übergeordnete Einheit dienen.
+ `organizations:DescribeAccount` – Ermöglicht Prinzipalen den Abruf von Informationen über ein Konto in der Organisation.
+ `organizations:DescribeOrganizationalUnit`— Ermöglicht Prinzipalen das Abrufen von Informationen über eine Organisationseinheit in der Organisation.
+ `organizations:ListPolicies`— Ruft die Liste aller Richtlinien in einer Organisation eines bestimmten Typs ab.
+ `organizations:ListPoliciesForTarget`— Führt die Richtlinien auf, die direkt mit dem angegebenen Zielstamm, der Organisationseinheit (OU) oder dem angegebenen Konto verknüpft sind.
+ `organizations:ListTargetsForPolicy`— Führt alle Stammverzeichnisse, Organisationseinheiten (OUs) und Konten auf, denen die angegebene Richtlinie zugeordnet ist.
+ `organizations:DescribeResourcePolicy`— Ruft Informationen über eine Ressourcenrichtlinie ab.
+ `organizations:EnableAWSServiceAccess`— Ermöglicht Prinzipalen, die Integration mit Organizations zu ermöglichen.
+ `organizations:RegisterDelegatedAdministrator`— Ermöglicht es den Prinzipalen, das delegierte Administratorkonto festzulegen.
+ `organizations:DeregisterDelegatedAdministrator`— Ermöglicht Prinzipalen, das delegierte Administratorkonto zu entfernen.
+ `organizations:DescribePolicy`— Ruft Informationen zu einer Richtlinie ab.
+ `organizations:DescribeEffectivePolicy`— Gibt den Inhalt der gültigen Richtlinie für den angegebenen Richtlinientyp und das angegebene Konto zurück.
+ `organizations:CreatePolicy`— Erstellt eine Richtlinie eines bestimmten Typs, die Sie einem Stamm, einer Organisationseinheit (OU) oder einer Einzelperson zuordnen können AWS-Konto.
+ `organizations:UpdatePolicy`— Aktualisiert eine bestehende Richtlinie mit einem neuen Namen, einer neuen Beschreibung oder einem neuen Inhalt.
+ `organizations:DeletePolicy`— Löscht die angegebene Richtlinie aus Ihrer Organisation.
+ `organizations:AttachPolicy`— Fügt eine Richtlinie einem Stammkonto, einer Organisationseinheit (OU) oder einem Einzelkonto hinzu.
+ `organizations:DetachPolicy`— Trennt eine Richtlinie von einem Zielstamm, einer Organisationseinheit (OU) oder einem Zielkonto.
+ `organizations:EnablePolicyType`— Aktiviert einen Richtlinientyp in einem Stamm.
+ `organizations:DisablePolicyType`— Deaktiviert einen Organisationsrichtlinientyp in einem Stamm.
+ `organizations:TagResource`— Fügt einer angegebenen Ressource ein oder mehrere Tags hinzu.
+ `organizations:UntagResource`— Entfernt alle Tags mit den angegebenen Schlüsseln aus einer angegebenen Ressource.
+ `organizations:ListTagsForResource`— Listet Tags auf, die an eine angegebene Ressource angehängt sind.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [AWSInspector2OrganizationsAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSInspector2OrganizationsAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AmazonInspector2FullAccess
Sie können die `AmazonInspector2FullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Administratorberechtigungen, die vollen Zugriff auf Amazon Inspector ermöglichen.
**Wichtig**
Für mehr Sicherheit und eingeschränkte Berechtigungen für Inspector 2-Dienstprinzipale empfehlen wir die Verwendung von [AmazonInspector2 FullAccess \$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess_v2.html).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `inspector2`— Ermöglicht vollen Zugriff auf die Funktionen von Amazon Inspector.
+ `iam`— Ermöglicht Amazon Inspector, die serviceverknüpften Rollen zu erstellen `AWSServiceRoleForAmazonInspector2` und`AWSServiceRoleForAmazonInspector2Agentless`. `AWSServiceRoleForAmazonInspector2`ist erforderlich, damit Amazon Inspector Vorgänge wie das Abrufen von Informationen über Ihre Amazon EC2 EC2-Instances, Amazon ECR-Repositorys und Container-Images ausführen kann. Es ist auch erforderlich, dass Amazon Inspector Ihr VPC-Netzwerk analysiert und Konten beschreibt, die mit Ihrer Organisation verknüpft sind. `AWSServiceRoleForAmazonInspector2Agentless`ist erforderlich, damit Amazon Inspector Vorgänge wie das Abrufen von Informationen über Ihre Amazon EC2 EC2-Instances und Amazon EBS-Snapshots ausführen kann. Es ist auch erforderlich, Amazon EBS-Snapshots zu entschlüsseln, die mit Schlüsseln verschlüsselt sind. AWS KMS Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für Amazon Inspector](using-service-linked-roles.md).
+ `organizations`— Ermöglicht Administratoren die Verwendung von Amazon Inspector für eine Organisation in AWS Organizations. Wenn Sie [den vertrauenswürdigen Zugriff für Amazon Inspector in aktivieren](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) AWS Organizations, können Mitglieder des delegierten Administratorkontos Einstellungen verwalten und Ergebnisse in ihrer gesamten Organisation einsehen.
+ `codeguru-security`— Ermöglicht Administratoren, Amazon Inspector zu verwenden, um Informationscodefragmente abzurufen und die Verschlüsselungseinstellungen für Code zu ändern, den CodeGuru Security speichert. Weitere Informationen finden Sie unter [Verschlüsselung im Ruhezustand für den Code in Ihren Ergebnissen](encryption-rest.md#encryption-code-snippets).
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonInspector2 FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess.html) im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## AWS verwaltete Richtlinie: AmazonInspector2ReadOnlyAccess
Sie können die `AmazonInspector2ReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Berechtigungen, die nur Lesezugriff auf Amazon Inspector ermöglichen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `inspector2`— Ermöglicht den schreibgeschützten Zugriff auf die Funktionen von Amazon Inspector.
+ `organizations`— Ermöglicht die Anzeige von Details zum Versicherungsschutz durch Amazon Inspector für ein Unternehmen. AWS Organizations Darüber hinaus können Sie die Unternehmensrichtlinien von Inspector anzeigen, indem Sie nach Inspector-Richtlinientypen filtern, Delegierungsressourcenrichtlinien anzeigen und die effektiven Inspector-Richtlinien anzeigen`DescribeResourcePolicy`, die auf Konten angewendet wurden`DescribeEffectivePolicy`. `ListPolicies` Auf diese Weise können Benutzer die zentralisierte Aktivierung von Inspector anhand von Unternehmensrichtlinien nachvollziehen, ohne diese ändern zu müssen.
+ `codeguru-security`— Ermöglicht das Abrufen von Codefragmenten aus der Sicherheitsabteilung. CodeGuru Ermöglicht auch das Einsehen der Verschlüsselungseinstellungen für Ihren in CodeGuru Security gespeicherten Code.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonInspector2 ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ReadOnlyAccess.html) im *Referenzhandbuch für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AmazonInspector2ManagedCisPolicy
Sie können die `AmazonInspector2ManagedCisPolicy`-Richtlinie auch Ihren IAM-Entitäten anfügen. Diese Richtlinie sollte einer Rolle zugeordnet werden, die Ihren Amazon EC2 EC2-Instances die Erlaubnis erteilt, CIS-Scans der Instance auszuführen. Sie können eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2-Instance ausgeführt werden und API-Anfragen stellen AWS CLI . AWS Das ist eher zu empfehlen, als Zugriffsschlüssel innerhalb der EC2-Instance zu speichern. Um einer EC2-Instance eine AWS Rolle zuzuweisen und sie all ihren Anwendungen zur Verfügung zu stellen, erstellen Sie ein Instance-Profil, das an die Instance angehängt ist. Ein Instanzprofil enthält die Rolle und ermöglicht Programmen, die auf der EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen abzurufen. Weitere Informationen finden Sie unter [Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon-EC2-Instances ausgeführt werden](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) im *IAM-Benutzerhandbuch*.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `inspector2`— Ermöglicht den Zugriff auf Aktionen, die zur Ausführung von CIS-Scans verwendet werden.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonInspector2 ManagedCisPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ManagedCisPolicy.html) im *Referenzhandbuch für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AmazonInspector2ServiceRolePolicy
Sie können die `AmazonInspector2ServiceRolePolicy`-Richtlinie Ihren IAM-Entitäten nicht anfügen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es Amazon Inspector ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für Amazon Inspector](using-service-linked-roles.md).
## AWS verwaltete Richtlinie: AmazonInspector2AgentlessServiceRolePolicy
Sie können die `AmazonInspector2AgentlessServiceRolePolicy`-Richtlinie Ihren IAM-Entitäten nicht anfügen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es Amazon Inspector ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für Amazon Inspector](using-service-linked-roles.md).
## AWS verwaltete Richtlinie: AmazonInspector2ManagedTelemetryPolicy
Sie können die `AmazonInspector2ManagedTelemetryPolicy`-Richtlinie auch Ihren IAM-Entitäten anfügen. Diese Richtlinie gewährt Berechtigungen für Telemetrieoperationen von Amazon Inspector, sodass der Service Paketinventardaten für Sicherheitslücken sammeln und übertragen kann.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `inspector2-telemetry`— Ermöglicht den Zugriff auf Aktionen zur Übertragung von Paketinventardaten.
Weitere Informationen zur Richtlinie, einschließlich der neuesten Version des JSON-Richtliniendokuments, finden Sie unter [AmazonInspector2 ManagedTelemetryPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ManagedTelemetryPolicy.html) im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## Amazon Inspector aktualisiert AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon Inspector an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Amazon Inspector [Document History-Seite](doc-history.md).
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSInspector2OrganizationsAccess](#security-iam-awsmanpol-AWSInspector2OrganizationsAccess) – Neue Richtlinie | Amazon Inspector hat eine neue verwaltete Richtlinie hinzugefügt, die die für die Aktivierung und Verwaltung von Amazon Inspector erforderlichen Berechtigungen per AWS Organizations Richtlinie gewährt. | 3. März 2026 |
| [AmazonInspector2 ManagedTelemetryPolicy](#security-iam-awsmanpol-AmazonInspector2ManagedTelemetryPolicy) — Neue Richtlinie | Amazon Inspector hat eine neue verwaltete Richtlinie hinzugefügt, die Berechtigungen für Amazon Inspector-Telemetrieoperationen gewährt, sodass der Service Paketinventardaten für Sicherheitslücken sammeln und übertragen kann. | 5. Februar 2026 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/slr-permissions.html) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat eine neue Berechtigung hinzugefügt, die es Amazon Inspector ermöglicht, Firewall-Metadaten für die Analyse der Netzwerkerreichbarkeit zu beschreiben. Darüber hinaus hat Amazon Inspector zusätzlichen Ressourcenbereich hinzugefügt, damit Amazon Inspector SSM-Verknüpfungen mit SSM-Dokumenten erstellen, aktualisieren und starten kann. `AWS-ConfigureAWSPackage` | 3. Februar 2026 |
| [AmazonInspector2 FullAccess \$1v2](#security-iam-awsmanpol-AmazonInspector2FullAccessV2) und [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Aktualisierungen vorhandener Richtlinien | Amazon Inspector hat neue Berechtigungen hinzugefügt, die es den Versicherungsnehmern ermöglichen, die Unternehmensrichtlinien und Delegierungskonfigurationen von Inspector einzusehen. Dies unterstützt die zentrale Verwaltung und Transparenz der Inspector-Aktivierung durch AWS Organizations Richtlinien. | 14. November 2025 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/slr-permissions.html) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat neue Berechtigungen hinzugefügt, die es der Amazon AWS Organizations Inspector-Richtlinie ermöglichen, die Aktivierung und Deaktivierung von Amazon Inspector durchzusetzen. | 10. November 2025 |
| [AmazonInspector2 FullAccess \$1v2](#security-iam-awsmanpol-AmazonInspector2FullAccessV2) — Neue Richtlinie | Amazon Inspector hat eine neue verwaltete Richtlinie hinzugefügt, die vollen Zugriff auf Amazon Inspector und Zugriff auf andere verwandte Dienste bietet. | 03. Juli 2025 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat eine neue Berechtigung hinzugefügt, die es Amazon Inspector ermöglicht, IP-Adressen und Internet-Gateways zu beschreiben. | 29. April 2025 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat neue Berechtigungen hinzugefügt, die nur Lesezugriff auf Amazon ECS- und Amazon EKS-Aktionen ermöglichen. | 25. März 2025 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat neue Berechtigungen hinzugefügt, die es Amazon Inspector ermöglichen, Funktions-Tags zurückzugeben AWS Lambda. | 31. Juli 2024 |
| [AmazonInspector2 FullAccess](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2FullAccess) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat Berechtigungen hinzugefügt, die es Amazon Inspector ermöglichen, die serviceverknüpfte Rolle zu erstellen. `AWSServiceRoleForAmazonInspector2Agentless` Dadurch können Benutzer [agentenbasiertes Scannen und [agentenloses Scannen](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agentless)](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agent-based) durchführen, wenn sie Amazon Inspector aktivieren. | 24. April 2024 |
| [AmazonInspector2 ManagedCisPolicy](#security-iam-awsmanpol-AmazonInspector2ManagedCisPolicy) — Neue Richtlinie | Amazon Inspector hat eine neue verwaltete Richtlinie hinzugefügt, die Sie als Teil eines Instance-Profils verwenden können, um CIS-Scans auf einer Instance zuzulassen. | 23. Januar 2024 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat neue Berechtigungen hinzugefügt, die es Amazon Inspector ermöglichen, CIS-Scans auf Ziel-Instances zu starten. | 23. Januar 2024 |
| [AmazonInspector2 AgentlessServiceRolePolicy](using-service-linked-roles.md) — Neue Richtlinie | Amazon Inspector hat eine neue servicebezogene Rollenrichtlinie hinzugefügt, um das agentenlose Scannen von EC2-Instances zu ermöglichen. | 27. November 2023 |
| [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat neue Berechtigungen hinzugefügt, die es Benutzern mit Lesezugriff ermöglichen, Informationen zu Sicherheitslücken für gefundene Sicherheitslücken in Paketen abzurufen. | 22. September 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat neue Berechtigungen hinzugefügt, die es Amazon Inspector ermöglichen, Netzwerkkonfigurationen von Amazon EC2 EC2-Instances zu scannen, die Teil der Elastic Load Balancing Balancing-Zielgruppen sind. | 31. August 2023 |
| [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat neue Berechtigungen hinzugefügt, die es Benutzern mit Lesezugriff ermöglichen, Software Bill of Materials (SBOM) für ihre Ressourcen zu exportieren. | 29. Juni 2023 |
| [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat neue Berechtigungen hinzugefügt, die es Benutzern mit Lesezugriff ermöglichen, Details der Verschlüsselungseinstellungen für Lambda-Code-Scanergebnisse für ihr Konto abzurufen. | 13. Juni 2023 |
| [AmazonInspector2 FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat neue Berechtigungen hinzugefügt, mit denen Benutzer einen vom Kunden verwalteten KMS-Schlüssel konfigurieren können, um Code in Ergebnissen aus Lambda-Code-Scans zu verschlüsseln. | 13. Juni 2023 |
| [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat neue Berechtigungen hinzugefügt, die es Benutzern mit Lesezugriff ermöglichen, Details zum Status und zu den Ergebnissen des Lambda-Code-Scans für ihr Konto abzurufen. | 02. Mai 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat neue Berechtigungen hinzugefügt, die es Amazon Inspector ermöglichen, AWS CloudTrail serviceverknüpfte Kanäle in Ihrem Konto zu erstellen, wenn Sie Lambda-Scanning aktivieren. Auf diese Weise kann Amazon Inspector CloudTrail Ereignisse in Ihrem Konto überwachen. | 30. April 2023 |
| [AmazonInspector2 FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat neue Berechtigungen hinzugefügt, die es Benutzern ermöglichen, Details zu den beim Lambda-Code-Scannen gefundenen Sicherheitslücken abzurufen. | 21. April 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat neue Berechtigungen hinzugefügt, die es Amazon Inspector ermöglichen, Informationen über die benutzerdefinierten Pfade, die ein Kunde für Amazon EC2 Deep Inspection definiert hat, an Amazon EC2 Systems Manager zu senden. | 17. April 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat neue Berechtigungen hinzugefügt, die es Amazon Inspector ermöglichen, AWS CloudTrail serviceverknüpfte Kanäle in Ihrem Konto zu erstellen, wenn Sie Lambda-Scanning aktivieren. Auf diese Weise kann Amazon Inspector CloudTrail Ereignisse in Ihrem Konto überwachen. | 30. April 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat neue Berechtigungen hinzugefügt, die es Amazon Inspector ermöglichen, Scans des Entwicklercodes in AWS Lambda Funktionen anzufordern und Scandaten von Amazon CodeGuru Security zu empfangen. Darüber hinaus hat Amazon Inspector Berechtigungen zur Überprüfung von IAM-Richtlinien hinzugefügt. Amazon Inspector verwendet diese Informationen, um Lambda-Funktionen auf Code-Schwachstellen zu überprüfen. | 28. Februar 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat eine neue Anweisung hinzugefügt, die es Amazon Inspector ermöglicht, Informationen CloudWatch darüber abzurufen, wann eine AWS Lambda Funktion zuletzt aufgerufen wurde. Amazon Inspector verwendet diese Informationen, um Scans auf die Lambda-Funktionen in Ihrer Umgebung zu konzentrieren, die in den letzten 90 Tagen aktiv waren. | 20. Februar 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat eine neue Anweisung hinzugefügt, die es Amazon Inspector ermöglicht, Informationen über AWS Lambda Funktionen abzurufen, einschließlich jeder Layer-Version, die jeder Funktion zugeordnet ist. Amazon Inspector verwendet diese Informationen, um Lambda-Funktionen auf Sicherheitslücken zu überprüfen. | 28. November 2022 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat eine neue Aktion hinzugefügt, mit der Amazon Inspector die Ausführung von SSM-Verknüpfungen beschreiben kann. Darüber hinaus hat Amazon Inspector zusätzlichen Ressourcenbereich hinzugefügt, damit Amazon Inspector SSM-Verknüpfungen mit `AmazonInspector2` eigenen SSM-Dokumenten erstellen, aktualisieren, löschen und starten kann. | 31. August 2022 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat den Ressourcenbereich der Richtlinie aktualisiert, sodass Amazon Inspector Softwareinventar in anderen AWS Partitionen erfassen kann. | 12. August 2022 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aktualisierungen einer bestehenden Richtlinie | Amazon Inspector hat den Ressourcenbereich der Aktionen neu strukturiert, sodass Amazon Inspector SSM-Verknüpfungen erstellen, löschen und aktualisieren kann. | 10. August 2022 |
| [AmazonInspector2 — Neue Richtlinie ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) | Amazon Inspector hat eine neue Richtlinie hinzugefügt, die den schreibgeschützten Zugriff auf die Funktionen von Amazon Inspector ermöglicht. | 21. Januar 2022 |
| [AmazonInspector2 FullAccess — Neue](#security-iam-awsmanpol-AmazonInspector2FullAccess) Richtlinie | Amazon Inspector hat eine neue Richtlinie hinzugefügt, um vollen Zugriff auf die Funktionen von Amazon Inspector zu ermöglichen. | 29. November 2021 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Neue Richtlinie | Amazon Inspector hat eine neue Richtlinie hinzugefügt, die es Amazon Inspector ermöglicht, in Ihrem Namen Aktionen in anderen Diensten durchzuführen. | 29. November 2021 |
| Amazon Inspector hat begonnen, Änderungen nachzuverfolgen | Amazon Inspector hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 29. November 2021 |
# Verwenden von serviceverknüpften Rollen für Amazon Inspector
Amazon Inspector verwendet eine AWS Identity and Access Management (IAM) [-Serviceverknüpfte Rolle mit dem Namen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). `AWSServiceRoleForAmazonInspector2` Bei dieser serviceverknüpften Rolle handelt es sich um eine IAM-Rolle, die direkt mit Amazon Inspector verknüpft ist. Es ist von Amazon Inspector vordefiniert und beinhaltet alle Berechtigungen, die Amazon Inspector benötigt, um andere in AWS-Services Ihrem Namen anzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Amazon Inspector, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Inspector definiert die Berechtigungen seiner serviceverknüpften Rolle. Sofern nicht anders definiert, kann nur Amazon Inspector die Rolle übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. eine Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*. Sie können eine dienstverknüpfte Rolle erst löschen, nachdem Sie die zugehörigen Ressourcen gelöscht haben. Dadurch werden Ihre Amazon Inspector Inspector-Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
**Informationen zu anderen Diensten, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Serviceverknüpfte Rollen nach den Diensten, für die **Ja steht**.** Wählen Sie **Ja** mit einem Link aus, um die Dokumentation zu serviceverknüpften Rollen für diesen Dienst zu lesen.
# Servicebezogene Rollenberechtigungen für Amazon Inspector
Amazon Inspector verwendet die verwaltete Richtlinie mit dem Namen [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html). Diese dienstbezogene Rolle vertraut darauf, dass der `inspector2.amazonaws.com` Service die Rolle übernimmt.
Die Berechtigungsrichtlinie für die Rolle, die benannt ist [https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy), ermöglicht es Amazon Inspector, Aufgaben wie die folgenden auszuführen:
+ Verwenden Sie Amazon Elastic Compute Cloud (Amazon EC2) -Aktionen, um Informationen über Ihre Instances und Netzwerkpfade abzurufen.
+ Verwenden Sie AWS Systems Manager Aktionen, um Inventar von Ihren Amazon EC2 EC2-Instances abzurufen und Informationen über Pakete von Drittanbietern aus benutzerdefinierten Pfaden abzurufen.
+ Verwenden Sie die AWS Systems Manager `SendCommand` Aktion, um CIS-Scans für Ziel-Instances aufzurufen.
+ Verwenden Sie Amazon Elastic Container Registry-Aktionen, um Informationen über Ihre Container-Images abzurufen.
+ Verwenden Sie AWS Lambda Aktionen, um Informationen über Ihre Lambda-Funktionen abzurufen.
+ Verwenden Sie AWS Organizations Aktionen, um zugehörige Konten zu beschreiben.
+ Verwenden Sie CloudWatch Aktionen, um Informationen darüber abzurufen, wann Ihre Lambda-Funktionen zuletzt aufgerufen wurden.
+ Verwenden Sie ausgewählte IAM-Aktionen, um Informationen über Ihre IAM-Richtlinien abzurufen, die zu Sicherheitslücken in Ihrem Lambda-Code führen könnten.
+ Verwenden Sie Amazon Q-Aktionen, um den Code in Ihren Lambda-Funktionen zu scannen. Amazon Inspector verwendet die folgenden Amazon Q-Aktionen:
+ codeguru-security: CreateScan — Erteilt die Erlaubnis, einen Amazon Q; -Scan zu erstellen.
+ codeguru-security: GetScan — Erteilt die Erlaubnis, Amazon Q-Scan-Metadaten abzurufen.
+ codeguru-security: ListFindings — Erteilt die Erlaubnis, von Amazon Q generierte Ergebnisse abzurufen.
+ codeguru-security: DeleteScansByCategory — Erteilt Amazon Q die Erlaubnis, von Amazon Inspector initiierte Scans zu löschen.
+ codeguru-security: BatchGetFindings — Erteilt die Erlaubnis, eine Reihe von spezifischen Ergebnissen abzurufen, die von Amazon Q generiert wurden.
+ Verwenden Sie ausgewählte Elastic Load Balancing Balancing-Aktionen, um Netzwerkscans von EC2-Instances durchzuführen, die Teil der Elastic Load Balancing Balancing-Zielgruppen sind.
+ Verwenden Sie Amazon ECS- und Amazon EKS-Aktionen, um nur Lesezugriff zu gewähren, um Cluster und Aufgaben anzuzeigen und Aufgaben zu beschreiben.
+ Verwenden Sie AWS Organizations Aktionen, um delegierte Administratoren für Amazon Inspector organisationsübergreifend aufzulisten.
+ Verwenden Sie Amazon Inspector-Aktionen, um Amazon Inspector organisationsübergreifend zu aktivieren und zu deaktivieren.
+ Verwenden Sie Amazon Inspector Inspector-Aktionen, um delegierte Administratorkonten zu benennen und Mitgliedskonten organisationsübergreifend zuzuordnen.
**Anmerkung**
Amazon Inspector verwendet CodeGuru keine Lambda-Scans mehr. AWS wird den Support für den 20. CodeGuru November 2025 einstellen. Weitere Informationen finden Sie unter [Ende des Supports für CodeGuru Security](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html). Amazon Inspector verwendet jetzt Amazon Q zur Durchführung von Lambda-Scans und benötigt nicht die in diesem Abschnitt beschriebenen Berechtigungen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html) im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## Eine serviceverknüpfte Rolle für Amazon Inspector erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Amazon Inspector in der AWS-Managementkonsole, der oder der AWS API aktivieren AWS CLI, erstellt Amazon Inspector die serviceverknüpfte Rolle für Sie.
## Bearbeiten einer serviceverknüpften Rolle für Amazon Inspector
Amazon Inspector erlaubt Ihnen nicht, die `AWSServiceRoleForAmazonInspector2` serviceverknüpfte Rolle zu bearbeiten. Nachdem eine serviceverknüpfte Rolle erstellt wurde, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten möglicherweise auf die Rolle verweisen. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Amazon Inspector
Wenn Sie Amazon Inspector nicht mehr verwenden müssen, empfehlen wir Ihnen, die `AWSServiceRoleForAmazonInspector2` serviceverknüpfte Rolle zu löschen. Bevor Sie die Rolle löschen können, müssen Sie Amazon Inspector in allen Bereichen deaktivieren, in AWS-Region denen sie aktiviert ist. Wenn Sie Amazon Inspector deaktivieren, wird die Rolle nicht für Sie gelöscht. Wenn Sie Amazon Inspector erneut aktivieren, kann Amazon Inspector daher die bestehende Rolle verwenden. Auf diese Weise können Sie vermeiden, dass eine ungenutzte Entität nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
Wenn Sie diese serviceverknüpfte Rolle löschen und dann erneut erstellen müssen, können Sie die Rolle in Ihrem Konto mit demselben Verfahren neu anlegen. Wenn Sie Amazon Inspector aktivieren, erstellt Amazon Inspector die serviceverknüpfte Rolle für Sie neu.
**Anmerkung**
Wenn der Amazon Inspector-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Warten Sie in diesem Fall einige Minuten und führen Sie den Vorgang dann erneut aus.
Sie können die IAM-Konsole, die oder die AWS API verwenden AWS CLI, um die `AWSServiceRoleForAmazonInspector2` serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
# Servicebezogene Rollenberechtigungen für agentenlose Amazon Inspector-Scans
Das agentenlose Scannen von Amazon Inspector verwendet die angegebene, mit dem Service verknüpfte Rolle. `AWSServiceRoleForAmazonInspector2Agentless` Mit dieser Spiegelreflexkamera kann Amazon Inspector einen Amazon EBS-Volume-Snapshot in Ihrem Konto erstellen und dann auf die Daten aus diesem Snapshot zugreifen. Diese dienstbezogene Rolle vertraut darauf, dass der `agentless.inspector2.amazonaws.com` Service die Rolle übernimmt.
**Wichtig**
Die Anweisungen in dieser servicebezogenen Rolle verhindern, dass Amazon Inspector agentenlose Scans auf allen EC2-Instances durchführt, die Sie mithilfe des Tags von Scans ausgeschlossen haben. `InspectorEc2Exclusion` Darüber hinaus verhindern die Anweisungen, dass Amazon Inspector auf verschlüsselte Daten von einem Volume zugreift, wenn der für die Verschlüsselung verwendete KMS-Schlüssel das `InspectorEc2Exclusion` Tag trägt. Weitere Informationen finden Sie unter [Instances von Amazon Inspector-Scans ausschließen](scanning-ec2.md#exclude-ec2).
Die Berechtigungsrichtlinie für die Rolle, die benannt ist`AmazonInspector2AgentlessServiceRolePolicy`, ermöglicht es Amazon Inspector, Aufgaben wie die folgenden auszuführen:
+ Verwenden Sie Amazon Elastic Compute Cloud (Amazon EC2) -Aktionen, um Informationen über Ihre EC2-Instances, Volumes und Snapshots abzurufen.
+ Verwenden Sie Amazon EC2-Tagging-Aktionen, um Schnappschüsse für Scans mit dem `InspectorScan` Tag-Schlüssel zu taggen.
+ Verwenden Sie Amazon EC2-Snapshot-Aktionen, um Snapshots zu erstellen, sie mit dem `InspectorScan` Tag-Schlüssel zu kennzeichnen und anschließend Snapshots von Amazon EBS-Volumes zu löschen, die mit dem Tag-Schlüssel gekennzeichnet wurden. `InspectorScan`
+ Verwenden Sie Amazon EBS-Aktionen, um Informationen aus Snapshots abzurufen, die mit dem `InspectorScan` Tag-Schlüssel gekennzeichnet sind.
+ Verwenden Sie ausgewählte AWS KMS Entschlüsselungsaktionen, um Snapshots zu entschlüsseln, die mit vom Kunden verwalteten Schlüsseln verschlüsselt wurden. AWS KMS Amazon Inspector entschlüsselt keine Snapshots, wenn der KMS-Schlüssel, mit dem sie verschlüsselt wurden, mit dem Tag gekennzeichnet ist. `InspectorEc2Exclusion`
Die Rolle ist mit der folgenden Berechtigungsrichtlinie konfiguriert.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InstanceIdentification",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Sid": "GetSnapshotData",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/InspectorScan": "*"
}
}
},
{
"Sid": "CreateSnapshotsAnyInstanceOrVolume",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Sid": "DenyCreateSnapshotsOnExcludedInstances",
"Effect": "Deny",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/InspectorEc2Exclusion": "true"
}
}
},
{
"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "InspectorScan"
}
}
},
{
"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"ec2:CreateAction": "CreateSnapshots"
},
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "InspectorScan"
}
}
},
{
"Sid": "DeleteOnlySnapshotsTaggedForScanning",
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/InspectorScan": "*"
}
}
},
{
"Sid": "DenyKmsDecryptForExcludedKeys",
"Effect": "Deny",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/InspectorEc2Exclusion": "true"
}
}
},
{
"Sid": "DecryptSnapshotBlocksVolContext",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com",
"kms:EncryptionContext:aws:ebs:id": "vol-*"
}
}
},
{
"Sid": "DecryptSnapshotBlocksSnapContext",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com",
"kms:EncryptionContext:aws:ebs:id": "snap-*"
}
}
},
{
"Sid": "DescribeKeysForEbsOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com"
}
}
},
{
"Sid": "ListKeyResourceTags",
"Effect": "Allow",
"Action": "kms:ListResourceTags",
"Resource": "arn:aws:kms:*:*:key/*"
}
]
}
```
------
## Erstellung einer serviceverknüpften Rolle für agentenloses Scannen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Amazon Inspector in der AWS-Managementkonsole, der oder der AWS API aktivieren AWS CLI, erstellt Amazon Inspector die serviceverknüpfte Rolle für Sie.
## Bearbeitung einer serviceverknüpften Rolle für agentenloses Scannen
Amazon Inspector erlaubt Ihnen nicht, die `AWSServiceRoleForAmazonInspector2Agentless` serviceverknüpfte Rolle zu bearbeiten. Nachdem eine serviceverknüpfte Rolle erstellt wurde, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten möglicherweise auf die Rolle verweisen. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für das Scannen ohne Agenten
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird.
**Wichtig**
Um die `AWSServiceRoleForAmazonInspector2Agentless` Rolle zu löschen, müssen Sie Ihren Scanmodus in allen Regionen, in denen agentenloses Scannen verfügbar ist, auf agentenbasiert einstellen.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API, um die AWS CLI serviceverknüpfte AWSService RoleForAmazonInspector 2Agentless-Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
# Fehlerbehebung bei Identität und Zugriff auf Amazon Inspector
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon Inspector und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Amazon Inspector durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon Inspector Inspector-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Amazon Inspector durchzuführen
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `inspector2:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: inspector2:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `inspector2:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Amazon Inspector übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Service zu übergeben, anstatt eine neue Servicerolle oder eine dienstbezogene Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon Inspector auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Amazon Inspector Inspector-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Amazon Inspector diese Funktionen unterstützt, finden Sie unter[So arbeitet Amazon Inspector mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Überwachung von Amazon Inspector
Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Verfügbarkeit, Zuverlässigkeit und Leistung von Amazon Inspector und anderen AWS Lösungen. AWS bietet Tools zur Überwachung von Amazon Inspector, zur Meldung auftretender Probleme und zur Ergreifung von Maßnahmen zur Behebung dieser Probleme:
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein AWS Service, der Ereignisse verwendet, um Anwendungskomponenten miteinander zu verbinden, sodass Sie leichter skalierbare, ereignisgesteuerte Anwendungen erstellen können. EventBridge stellt einen Stream von Echtzeitdaten aus Ihren Anwendungen, Software-as-a-Service (SaaS) -Anwendungen sowie AWS Diensten und Routen bereit, sodass Sie Ereignisse überwachen können, die in Diensten auftreten, und ereignisgesteuerte Architekturen erstellen können.
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)ist ein AWS Dienst, der API-Aufrufe und zugehörige Ereignisse erfasst, die von Ihnen oder in Ihrem Namen getätigt wurden. AWS-Konto CloudTrail übermittelt die Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket, sodass Sie feststellen können, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus Anrufe getätigt wurden und wann die Anrufe stattfanden.
# Protokollieren Amazon Inspector Inspector-API-Aufrufen mit AWS CloudTrail
Amazon Inspector ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem IAM-Benutzer oder einer IAM-Rolle oder einem AWS-Service in Amazon Inspector ausgeführt wurden. CloudTrail erfasst alle API-Aufrufe für Amazon Inspector als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der Amazon Inspector Inspector-Konsole und Aufrufe der Amazon Inspector Inspector-API-Operationen. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für Amazon Inspector. Auch wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse in der CloudTrail-Konsole in **Event history (Ereignisverlauf)** anzeigen. Anhand der von CloudTrail gesammelten Informationen können Sie Folgendes bestimmen:
+ Die Anfrage, die an Amazon Inspector gestellt wurde.
+ Die IP-Adresse, von der die Anforderung erfolgt ist.
+ Wer die Anfrage gestellt hat.
+ Wann die Anfrage gestellt wurde.
Weitere Informationen CloudTrail dazu finden Sie im *[AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)*.
## Informationen zu Amazon Inspector in CloudTrail
CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn in Amazon Inspector eine Aktivität auftritt, wird diese Aktivität zusammen mit anderen AWS-Service Ereignissen in der CloudTrail **Ereignishistorie in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem anzeigen, suchen und herunterladen AWS-Konto. Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS-Konto, einschließlich Ereignissen für Amazon Inspector, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle AWS-Regionen-Regionen. Der Trail protokolliert Ereignisse aus allen Regionen in der AWS -Partition und stellt die Protokolldateien in dem von Ihnen angegebenen Amazon-S3-Bucket bereit. Darüber hinaus können Sie andere konfigurieren, AWS-Services um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie unter den folgenden Themen:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Konfigurieren von Amazon SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)
Alle Amazon Inspector Inspector-Aktionen werden von protokolliert CloudTrail. Alle Aktionen, die Amazon Inspector ausführen kann, sind in der [Amazon Inspector API-Referenz](https://docs.aws.amazon.com/inspector/latest/APIReference/) dokumentiert. Zum Beispiel werden durch Aufrufe der `CreateFindingsReport`-, `ListCoverage`- und `UpdateOrganizationConfiguration`-Aktionen Einträge in den CloudTrail -Protokolldateien generiert.
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anfrage mit Anmeldeinformationen des Stammbenutzers oder des IAM-Benutzers gestellt wurde.
+ Ob die Anfrage mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen verbundenen Benutzer ausgeführt wurde.
+ Ob die Anforderung aus einem anderen AWS-Service gesendet wurde.
Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Grundlegendes zu Amazon Inspector Inspector-Protokolldateieinträgen
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar. Zu den Ereignissen gehören Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
## Amazon Inspector Scaninformationen in CloudTrail
Amazon Inspector Scan ist in integriert CloudTrail. Alle Amazon Inspector Scan API-Operationen werden als Verwaltungsereignisse protokolliert. Eine Liste der Amazon Inspector Scan API-Operationen, bei denen Amazon Inspector protokolliert CloudTrail, finden Sie unter [Amazon Inspector Scan](https://docs.aws.amazon.com/inspector/v2/APIReference/API_Operations_Inspector_Scan.html) in der Amazon Inspector API-Referenz.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `ScanSbom` Aktion demonstriert:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:akua_mansa",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/akua_mansa",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-10-17T15:22:59Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-10-17T16:02:34Z",
"eventSource": "gamma-inspector-scan.amazonaws.com",
"eventName": "ScanSbom",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.0",
"userAgent": "aws-sdk-java/2.20.162 Mac_OS_X/13.5.2 OpenJDK_64-Bit_Server_VM/17.0.8+7-LTS Java/17.0.8 vendor/Amazon.com_Inc. io/sync http/UrlConnection cfg/retry-mode/legacy",
"requestParameters": {
"sbom": {
"specVersion": "1.5",
"metadata": {
"component": {
"name": "debian",
"type": "operating-system",
"version": "9"
}
},
"components": [
{
"name": "packageOne",
"purl": "pkg:deb/debian/packageOne@1.0.0?arch=x86_64&distro=9",
"type": "application"
}
],
"bomFormat": "CycloneDX"
}
},
"responseElements": null,
"requestID": "f041a27f-f33e-4f70-b09b-5fbc5927282a",
"eventID": "abc8d1e4-d214-4f07-bc56-8a31be6e36fe",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Konformitätsvalidierung für Amazon Inspector
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Resilienz in Amazon Inspector
Die AWS globale Infrastruktur basiert auf Availability AWS-Regionen Zones. AWS-Regionen bieten mehrere, physisch getrennte und isolierte Availability Zones, die mit Netzwerken mit niedriger Latenz, hohem Durchsatz und hoher Redundanz verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
# Infrastruktursicherheit in Amazon Inspector
Als verwalteter Service ist Amazon Inspector durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon Inspector zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
# Reaktion auf Vorfälle in Amazon Inspector
Sicherheit hat bei AWS höchste Priorität. Wie im [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model) unter „Sicherheit der Cloud“ erwähnt, AWS ist er für den Schutz der Infrastruktur verantwortlich, auf der alle Dienste in der AWS Cloud ausgeführt werden. AWS ist auch für die Reaktion auf Vorfälle im Zusammenhang mit dem Amazon Inspector-Service verantwortlich.
Als AWS Kunde tragen Sie gemeinsam die Verantwortung für die Aufrechterhaltung der Sicherheit in der AWS Cloud. Das bedeutet, dass Sie die Sicherheit kontrollieren, die Sie implementieren möchten. Dazu gehören alle AWS Tools und Funktionen, auf die Sie zugreifen. Das bedeutet auch, dass Sie im Rahmen des Modells der gemeinsamen Verantwortung für die Reaktion auf Vorfälle verantwortlich sind.
Indem Sie eine Sicherheitsbasis einrichten, die alle Ziele für Ihre in der AWS Cloud ausgeführten Anwendungen erfüllt, können Sie Abweichungen erkennen, auf die Sie reagieren können. Da es sich bei der Reaktion auf Vorfälle um ein komplexes Thema handelt, sollten Sie sich die folgenden Ressourcen ansehen, um besser zu verstehen, welche Auswirkungen die Reaktion auf Vorfälle hat und wie sich Ihre Entscheidungen auf Ihre Unternehmensziele auswirken könnten: [Leitfaden zur Reaktion auf AWSAWS Sicherheitsvorfälle](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)[, Best Practices](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc) im Bereich Sicherheit und [AWS Cloud Adoption Framework: Security Perspective](https://d1.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf).
# Greifen Sie über einen Schnittstellenendpunkt auf Amazon Inspector zu (AWS PrivateLink
Sie können AWS PrivateLink es verwenden, um eine private Verbindung zwischen Ihrer VPC und Amazon Inspector herzustellen. Sie können auf Amazon Inspector zugreifen, als wäre es in Ihrer VPC, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung zu verwenden. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf Amazon Inspector zuzugreifen.
Sie stellen diese private Verbindung her, indem Sie einen *Schnittstellen-Endpunkt* erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für Amazon Inspector bestimmt ist.
*Weitere Informationen finden Sie AWS PrivateLink im Handbuch unter [Access AWS-Services through](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html).AWS PrivateLink *
## Überlegungen zu Amazon Inspector
Bevor Sie einen Schnittstellenendpunkt für Amazon Inspector einrichten, lesen Sie die [Überlegungen](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) im *AWS PrivateLink Handbuch*.
Amazon Inspector unterstützt Aufrufe all seiner API-Aktionen über den Schnittstellenendpunkt.
VPC-Endpunktrichtlinien werden für Amazon Inspector nicht unterstützt. Standardmäßig ist der vollständige Zugriff auf Amazon Inspector über den Schnittstellenendpunkt zulässig. Alternativ können Sie den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zuordnen, um den Datenverkehr zu Amazon Inspector über den Schnittstellenendpunkt zu steuern.
## Erstellen Sie einen Schnittstellenendpunkt für Amazon Inspector
Sie können einen Schnittstellenendpunkt für Amazon Inspector entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) im *AWS PrivateLink -Leitfaden*.
Wenn Sie einen Schnittstellenendpunkt für Amazon Inspector erstellen, verwenden Sie einen der folgenden Servicenamen:
```
com.amazonaws.region.inspector2
```
```
com.amazonaws.region.inspector-scan
```
*region*Ersetzen Sie es durch den entsprechenden AWS-Region Code AWS-Region.
Wenn Sie privates DNS für den Schnittstellenendpunkt aktivieren, können Sie API-Anfragen an Amazon Inspector richten, indem Sie beispielsweise dessen standardmäßigen regionalen DNS-Namen verwenden, `service-name.us-east-1.amazonaws.com ` oder `service-name.us-east-1.api.aws.com` für die USA Ost (Nord-Virginia).