Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# La seguridad en Amazon Inspector
<a name="security"></a>

La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de los centros de datos y las arquitecturas de red diseñados para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.

La seguridad es una responsabilidad compartida entre AWS usted y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de conformidad que se aplican a Amazon Inspector, consulte [AWS Servicios dentro del alcance por programa de conformidad AWS Servicios incluidos](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables. 

Esta documentación le ayudará a comprender cómo aplicar el modelo de responsabilidad compartida cuando utilice Amazon Inspector. En los siguientes apartados, se le mostrará cómo configurar Amazon Inspector para satisfacer sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus recursos de Amazon Inspector. 

**Topics**
+ [Protección de datos en Amazon Inspector](data-protection.md)
+ [Identity and Access Management para Amazon Inspector](security-iam.md)
+ [Supervisión de Amazon Inspector](monitoring-overview.md)
+ [Validación de conformidad para Amazon Inspector](inspector-compliance.md)
+ [Resiliencia en Amazon Inspector](disaster-recovery-resiliency.md)
+ [Seguridad de infraestructuras en Amazon Inspector](infrastructure-security.md)
+ [Respuesta a incidentes en Amazon Inspector](security-incident-response.md)
+ [Acceso a Amazon Inspector mediante un punto de conexión de interfaz (AWS PrivateLink)](vpc-interface-endpoints-inspector.md)

# Protección de datos en Amazon Inspector
<a name="data-protection"></a>

El [modelo de ](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a protección de datos en Amazon Inspector. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con Amazon Inspector u otro Servicios de AWS dispositivo mediante la consola AWS CLI, la API o AWS SDKs. Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya la información de las credenciales en la URL para validar la solicitud para ese servidor.

**Topics**
+ [Cifrado en reposo](encryption-rest.md)
+ [Cifrado en tránsito](encryption-transit.md)

# Cifrado en reposo
<a name="encryption-rest"></a>

 De forma predeterminada, Amazon Inspector almacena los datos en reposo mediante soluciones de AWS cifrado. Amazon Inspector cifra datos, como los siguientes: 
+  Inventario de recursos recopilado con AWS Systems Manager. 
+  Inventario de recursos analizado a partir de imágenes de Amazon Elastic Container Registry 
+  Generó hallazgos de seguridad utilizando claves de cifrado AWS propias de AWS Key Management Service 

 No puede administrar, usar ni ver las claves AWS propias. Sin embargo, no necesita realizar acciones ni cambiar programas para proteger las claves que cifran los datos. Para obtener más información, consulte [claves propiedad de AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys). 

 Al desactivar Amazon Inspector, se eliminan permanentemente todos los recursos almacenados o mantenidos, incluidos los inventarios recopilados y los resultados de seguridad. 

## Cifrado de código en reposo en los resultados
<a name="encryption-code-snippets"></a>

 Para realizar los análisis de código de Lambda, Amazon Inspector colabora conjuntamente con Amazon Q para analizar el código en busca de vulnerabilidades. Cuando se detecta una vulnerabilidad, Amazon Q extrae un fragmento del código que contiene la vulnerabilidad y lo almacena hasta que Amazon Inspector solicite acceso. De forma predeterminada, Amazon Q utiliza una AWS clave propia para cifrar el código extraído. Sin embargo, puede configurar Amazon Inspector para que utilice su propia AWS KMS clave gestionada por el cliente para el cifrado. 

 En el siguiente flujo de trabajo se describe cómo Amazon Inspector utiliza la clave que ha configurado para cifrar el código: 

1.  Usted proporciona una AWS KMS clave a Amazon Inspector mediante la [UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEncryptionKey.html)API de Amazon Inspector. 

1.  Amazon Inspector reenvía la información sobre tu AWS KMS clave a Amazon Q y Amazon Q la guarda para usarla en el futuro. 

1.  Amazon Q utiliza la clave de KMS que ha configurado en Amazon Inspector a través de la política de claves. 

1.  Amazon Q crea una clave de datos cifrada a partir de tu AWS KMS clave y la almacena. Esta clave de datos se utiliza para cifrar los datos de código almacenados por Amazon Q. 

1.  Cuando Amazon Inspector solicita datos de análisis de código, Amazon Q utiliza la clave de KMS para descifrar la clave de datos. Cuando desactive el análisis de código de Lambda, Amazon Q elimina la clave de datos asociada. 

## Permisos para el cifrado de código con una clave administrada por el cliente
<a name="cmk-permissions"></a>

 Para el cifrado, debe crear una clave de KMS con [una política](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) que incluya una instrucción que permita a Amazon Inspector y Amazon Q realizar las siguientes acciones. 
+  `kms:Decrypt` 
+  `kms:DescribeKey` 
+  `kms:Encrypt` 
+  `kms:GenerateDataKey` 
+  `kms:GenerateDataKeyWithoutPlainText` 

**Declaración de la política**  
 Puede utilizar la siguiente instrucción de política al crear la clave de KMS. 

**nota**  
 `account-id`Sustitúyala por tu Cuenta de AWS ID de 12 dígitos. `Region`Sustitúyala por la Región de AWS que habilitaste el escaneo de códigos de Amazon Inspector y Lambda. Sustituya `role-ARN` por el nombre de recurso de Amazon para el rol de IAM. 

```
{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    },
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    },
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:DescribeKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    }
  }
}
```

 La instrucción de la política está formateada en JSON. Después de incluir la instrucción, revise la política para asegurarse de que la sintaxis es válida. Si la instrucción es la última de la política, coloque la coma después del corchete de cierre de la instrucción anterior. Si la instrucción es la primera o está entre dos instrucciones existentes en la política, coloque una coma después del corchete de cierre de la instrucción. 

**nota**  
 Amazon Inspector ya no admite [concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para cifrar fragmentos de código extraídos de paquetes. Si utiliza una política basada en concesiones, podrá seguir accediendo a los resultados. Sin embargo, si alguna vez actualiza o restablece la clave de KMS o desactiva el análisis de código de Lambda, tendrá que usar la política de claves de KMS que se describe en esta sección. 

 Si configuras, actualizas o restableces la clave de cifrado de tu cuenta, debes usar una política de administrador de Amazon Inspector, como la política AWS gestionada`AmazonInspector2FullAccess`. 

## Configuración del cifrado con una clave administrada por el cliente
<a name="configure-cmk-encryption"></a>

Para configurar el cifrado en su cuenta con una clave administrada por el cliente, debe ser administrador de Amazon Inspector y contar con los permisos que se indican en [Permisos para el cifrado de código con una clave administrada por el cliente](#cmk-permissions). Además, necesitará una AWS KMS clave en la misma AWS región que sus hallazgos o una [clave multirregional](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html). Puede utilizar una clave simétrica existente en su cuenta o crear una clave simétrica gestionada por el cliente mediante la consola de AWS administración o la. AWS KMS APIs Para obtener más información, consulte [Creación de AWS KMS claves de cifrado simétricas](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) en la guía del AWS KMS usuario.

**nota**  
 A partir del 13 de junio de 2025, el nombre principal del servicio en AWS KMS las solicitudes registradas CloudTrail durante un fragmento encryption/decryption de código pasará de ser «codeguru-reviewer» a «q». 

### Uso de la API de Amazon Inspector para configurar el cifrado
<a name="w2aac60c14c13c17b7"></a>

Para configurar una clave de cifrado, el [UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEncryptionKey.html)funcionamiento de la API de Amazon Inspector cuando se ha iniciado sesión como administrador de Amazon Inspector. En la solicitud de API, usa el `kmsKeyId` campo para especificar el ARN de la AWS KMS clave que deseas usar. Para `scanType`, introduzca `CODE` y, para `resourceType`, introduzca `AWS_LAMBDA_FUNCTION`.

Puedes usar la [UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_GetEncryptionKey.html)API para comprobar qué AWS KMS clave utiliza Amazon Inspector para el cifrado.

**nota**  
 Si intentas utilizarla sin `GetEncryptionKey` configurar una clave gestionada por el cliente, la operación devolverá un `ResourceNotFoundException` error, lo que significa que se está utilizando una AWS clave propia para el cifrado.

Si elimina la clave o cambia su política para denegar el acceso a Amazon Inspector o Amazon Q, no podrá acceder a los resultados de vulnerabilidades de código y se producirán errores en los análisis de código de Lambda que realice en la cuenta.

Puede utilizarla `ResetEncryptionKey` para volver a utilizar una clave AWS propia para cifrar el código extraído como parte de las conclusiones de Amazon Inspector. 

# Cifrado en tránsito
<a name="encryption-transit"></a>

 AWS cifra todos los datos en tránsito entre los sistemas AWS internos y otros AWS servicios. AWS Systems Manager recopila los datos de telemetría de las instancias EC2 propiedad del cliente y los envía a AWS través de un canal protegido por Transport Layer Security (TLS) para su evaluación. Los resultados de los escaneos de funciones de Amazon ECR y AWS Lambda que se envían al Security Hub CSPM se cifran mediante un canal protegido por TLS. Para obtener más información, consulte [Protección de datos en Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/data-protection.html) para comprender cómo SSM cifra los datos en tránsito. 

# Identity and Access Management para Amazon Inspector
<a name="security-iam"></a>





AWS Identity and Access Management (IAM) es un sistema Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los recursos. AWS Los administradores de IAM controlan a qué personas se puede *autenticar* (pueden iniciar sesión) y *autorizar* (tienen permisos) para utilizar recursos de Amazon Inspector. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.

**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [Cómo funciona Amazon Inspector con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas de Amazon Inspector basadas en identidades](security_iam_id-based-policy-examples.md)
+ [AWS políticas gestionadas para Amazon Inspector](security-iam-awsmanpol.md)
+ [Uso de roles vinculados a servicios para Amazon Inspector](using-service-linked-roles.md)
+ [Solución de problemas de identidad y acceso de Amazon Inspector](security_iam_troubleshoot.md)

## Público
<a name="security_iam_audience"></a>

La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidad y acceso de Amazon Inspector](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona Amazon Inspector con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas de Amazon Inspector basadas en identidades](security_iam_id-based-policy-examples.md)).

## Autenticación con identidades
<a name="security_iam_authentication"></a>

La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.

Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.

Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.

### Cuenta de AWS usuario root
<a name="security_iam_authentication-rootuser"></a>

 Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*. 

### Identidad federada
<a name="security_iam_authentication-federated"></a>

Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.

Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.

Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.

### Usuarios y grupos de IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.

### Roles de IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.

Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

## Administración del acceso con políticas
<a name="security_iam_access-manage"></a>

 AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.

Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.

De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.

### Políticas basadas en identidades
<a name="security_iam_access-manage-id-based-policies"></a>

Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.

Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.

### Políticas basadas en recursos
<a name="security_iam_access-manage-resource-based-policies"></a>

Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.

Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.

### Otros tipos de políticas
<a name="security_iam_access-manage-other-policies"></a>

AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.

### Varios tipos de políticas
<a name="security_iam_access-manage-multiple-policies"></a>

Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.

# Cómo funciona Amazon Inspector con IAM
<a name="security_iam_service-with-iam"></a>

Antes de utilizar IAM para administrar el acceso a Amazon Inspector, infórmese sobre qué características de IAM se encuentran disponibles con Amazon Inspector.


**Características de IAM que puede utilizar con Amazon Inspector**  

| Característica de IAM | Soporte de Amazon Inspector | 
| --- | --- | 
|  [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies)  |   Sí  | 
|  [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies)  |   No   | 
|  [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions)  |   Sí  | 
|  [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources)  |   Sí  | 
|  [Claves de condición de política (específicas del servicio)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sí  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   No   | 
|  [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags)  |   Parcial  | 
|  [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds)  |   Sí  | 
|  [Permisos de entidades principales](#security_iam_service-with-iam-principal-permissions)  |   Sí  | 
|  [Roles de servicio](#security_iam_service-with-iam-roles-service)  |   No   | 
|  [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked)  |   Sí  | 

Para obtener una visión general de cómo Amazon Inspector y otros Servicios de AWS funcionan con la mayoría de las funciones de IAM, consulte Servicios de AWS Cómo [funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.

## Políticas de Amazon Inspector basadas en identidades
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Compatibilidad con las políticas basadas en identidad:** sí

Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.

Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.

### Ejemplos de políticas de Amazon Inspector basadas en identidades
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Para ver ejemplos de políticas basadas en identidades de Amazon Inspector, consulte [Ejemplos de políticas de Amazon Inspector basadas en identidades](security_iam_id-based-policy-examples.md).

## Políticas basadas en recursos de Amazon Inspector
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Admite políticas basadas en recursos:** no 

Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los directores pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS

Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

## Acciones de la política de Amazon Inspector
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Compatibilidad con las acciones de políticas:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.



Para ver una lista de las acciones de Amazon Inspector, consulte [Acciones definidas por Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions) en la *Referencia de autorizaciones de servicio*.

En las acciones de políticas de Amazon Inspector, se utiliza el siguiente prefijo antes de la acción:

```
inspector2
```

Para especificar varias acciones en una única instrucción, sepárelas con comas.

```
"Action": [
      "inspector2:action1",
      "inspector2:action2"
         ]
```





Para ver ejemplos de políticas basadas en identidades de Amazon Inspector, consulte [Ejemplos de políticas de Amazon Inspector basadas en identidades](security_iam_id-based-policy-examples.md).

## Recursos de políticas para Amazon Inspector
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Compatibilidad con los recursos de políticas:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.

```
"Resource": "*"
```

Para ver una lista de los tipos de recursos de Amazon Inspector y sus tipos ARNs, consulte [Recursos definidos por Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-resources-for-iam-policies) en la *Referencia de autorización de servicio*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions).





Para ver ejemplos de políticas basadas en identidades de Amazon Inspector, consulte [Ejemplos de políticas de Amazon Inspector basadas en identidades](security_iam_id-based-policy-examples.md).

## Claves de condición de Amazon Inspector
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Compatibilidad con claves de condición de políticas específicas del servicio:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.

Para ver una lista de las claves de condición de Amazon Inspector, consulte [Claves de condición de Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-policy-keys) en la *Referencia de autorizaciones de servicio*. Para obtener más información acerca de las acciones y los recursos con los que puede utilizar una clave de condición, consulte [Acciones definidas por Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions).

Para ver ejemplos de políticas basadas en identidades de Amazon Inspector, consulte [Ejemplos de políticas de Amazon Inspector basadas en identidades](security_iam_id-based-policy-examples.md).

## ACLs en Amazon Inspector
<a name="security_iam_service-with-iam-acls"></a>

**Soportes ACLs:** No 

Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.

## ABAC con Amazon Inspector
<a name="security_iam_service-with-iam-tags"></a>

**Compatibilidad con ABAC (etiquetas en las políticas):** parcial

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del director coincida con la etiqueta del recurso.

Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.

Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.

*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

## Uso de credenciales temporales con Amazon Inspector
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Compatibilidad con credenciales temporales:** sí

Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando se utiliza la federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.

## Permisos de entidades principales entre servicios de Amazon Inspector
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Admite sesiones de acceso directo (FAS):** sí

 Las sesiones de acceso directo (FAS) utilizan los permisos del principal que llama y los que solicitan Servicio de AWS para realizar solicitudes a los servicios descendentes. Servicio de AWS Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Roles de servicio de Amazon Inspector
<a name="security_iam_service-with-iam-roles-service"></a>

**Compatible con roles de servicio:** No 

 Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*. 

**aviso**  
Cambiar los permisos de un rol de servicio podría interrumpir la funcionalidad de Amazon Inspector. Edite los roles de servicio solo cuando Amazon Inspector proporcione instrucciones para hacerlo.

## Roles vinculados a servicios de Amazon Inspector
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Compatible con roles vinculados al servicio:** sí

 Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios. 

Para obtener más información acerca de cómo crear o administrar roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque un servicio en la tabla que incluya `Yes` en la columna **Rol vinculado a un servicio**. Seleccione el vínculo **Sí** para ver la documentación acerca del rol vinculado a servicios para ese servicio.

# Ejemplos de políticas de Amazon Inspector basadas en identidades
<a name="security_iam_id-based-policy-examples"></a>

De forma predeterminada, los usuarios y roles no tienen permiso para crear ni modificar los recursos de Amazon Inspector. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.

Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.

Para obtener más información sobre las acciones y los tipos de recursos definidos por Amazon Inspector, incluido el ARNs formato de cada uno de los tipos de recursos, consulte [Acciones, recursos y claves de condición de Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html) en la *Referencia de autorización de servicio*.

**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola de Amazon Inspector](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Permitir el acceso de solo lectura a todos los recursos de Amazon Inspector](#security_iam_id-based-policy-examples-read-only)
+ [Permitir el acceso completo a todos los recursos de Amazon Inspector](#security_iam_id-based-policy-examples-full-access)

## Prácticas recomendadas sobre las políticas
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Las políticas basadas en identidades determinan quién puede crear, eliminar o acceder a los recursos de Amazon Inspector de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos**: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.

Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.

## Uso de la consola de Amazon Inspector
<a name="security_iam_id-based-policy-examples-console"></a>

Para acceder a la consola de Amazon Inspector, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle mostrar y consultar los detalles sobre los recursos de Amazon Inspector en la cuenta de Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.

No es necesario que concedas permisos mínimos de consola a los usuarios que solo realizan llamadas a la API o a la AWS CLI API. AWS En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.

Para garantizar que los usuarios y los roles puedan seguir utilizando la consola de Amazon Inspector, adjunta también la política `ReadOnly` AWS gestionada `ConsoleAccess` o de Amazon Inspector a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:

## Cómo permitir a los usuarios consultar sus propios permisos
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Permitir el acceso de solo lectura a todos los recursos de Amazon Inspector
<a name="security_iam_id-based-policy-examples-read-only"></a>

En este ejemplo se muestra una política que permite el acceso de solo lectura a todos los recursos de Amazon Inspector.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "inspector2:Describe*",
                "inspector2:Get*",
                "inspector2:BatchGet*",
                "inspector2:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Permitir el acceso completo a todos los recursos de Amazon Inspector
<a name="security_iam_id-based-policy-examples-full-access"></a>

En este ejemplo se muestra una política que permite el acceso completo a todos los recursos de Amazon Inspector.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "inspector2:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "inspector2.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        }
    ]
}
```

------







# AWS políticas gestionadas para Amazon Inspector
<a name="security-iam-awsmanpol"></a>







Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.

Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.









## AWS política gestionada: AmazonInspector2FullAccess\$1v2
<a name="security-iam-awsmanpol-AmazonInspector2FullAccessV2"></a>

 Puede asociar la política `AmazonInspector2FullAccess_v2` a las identidades de IAM. 

 Esta política concede acceso completo a Amazon Inspector y acceso a otros servicios relacionados. 

 **Detalles de los permisos** 

 Esta política incluye los siguientes permisos. 
+ `inspector2`— Permite el acceso completo a Amazon Inspector APIs.
+  `codeguru-security`: permite a los administradores recuperar los resultados de seguridad y los ajustes de configuración de una cuenta. 
+  `iam`: permite a Amazon Inspector crear roles vinculados a servicios `AWSServiceRoleForAmazonInspector2` y `AWSServiceRoleForAmazonInspector2Agentless`. `AWSServiceRoleForAmazonInspector2` es necesario para que Amazon Inspector pueda realizar operaciones como recuperar información sobre las instancias de Amazon EC2, los repositorios de Amazon ECR y las imágenes de contenedores de Amazon ECR. También es necesario descifrar las instantáneas de Amazon EBS cifradas con claves. AWS KMS Para obtener más información, consulte [Uso de roles vinculados a servicios para Amazon Inspector](using-service-linked-roles.md). 
+  `organizations`— solo `AllowServicePrincipalBasedAccessToOrganizationApis` permite a los directores de servicio crear funciones vinculadas al servicio Cuentas de AWS, registrarlas Cuenta de AWS como administradores delegados de una organización y enumerar los administradores delegados de una organización. `AllowOrganizationalBasedAccessToOrganizationApis`permite al titular de la póliza recuperar información, específicamente a nivel de recursos ARNs, sobre una unidad organizativa. `AllowAccountsBasedAccessToOrganizationApis`permite al titular de la póliza recuperar información, específicamente a nivel de recursos ARNs, sobre una. Cuenta de AWS`AllowAccessToOrganizationApis`permite al titular de la póliza ver la información Servicios de AWS integrada con una organización y la organización. La política permite enumerar las políticas organizativas del Inspector filtrándolas por tipos de políticas del Inspector, viendo las políticas de delegación de recursos establecidas por las cuentas de administración y viendo las políticas del Inspector efectivas aplicadas a las cuentas. 

**nota**  
 Amazon Inspector ya no se utiliza CodeGuru para realizar escaneos Lambda. AWS dejará de ofrecer soporte el 20 de CodeGuru noviembre de 2025. Para obtener más información, consulte [Fin del soporte de CodeGuru seguridad](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html). Amazon Inspector ahora usa Amazon Q para realizar análisis de Lambda y no requiere los permisos descritos en esta sección. 

 Para revisar los permisos de esta política, consulte [AmazonInspector2 FullAccess \$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess_v2.html) en la *Guía de referencia de políticas AWS gestionadas*. 

## AWS política gestionada: AWSInspector2OrganizationsAccess
<a name="security-iam-awsmanpol-AWSInspector2OrganizationsAccess"></a>

 Puede asociar la política `AWSInspector2OrganizationsAccess` a las identidades de IAM. 

 Esta política otorga permisos administrativos para habilitar y administrar Amazon Inspector para una organización en AWS Organizations. Los permisos de esta política permiten a la cuenta de administración de la organización designar la cuenta de administrador delegado para Amazon Inspector. También permiten que la cuenta de administrador delegado habilite las cuentas de la organización como cuentas de miembro. 

 Esta política solo proporciona permisos para AWS Organizations. La cuenta de administración de la organización y la cuenta de administrador delegado también requieren permisos para las acciones asociadas. Estos permisos se pueden conceder mediante la política administrada de `AmazonInspector2FullAccess_v2`. 

 **Detalles de los permisos** 

 Esta política incluye los siguientes permisos. 
+ `organizations:ListAccounts`: permite a las entidades principales recuperar la lista de cuentas que pertenecen a una organización.
+ `organizations:DescribeOrganization`: permite a las entidades principales recuperar información sobre la organización.
+ `organizations:ListRoots`: permite a las entidades principales enumerar la raíz de una organización.
+ `organizations:ListDelegatedAdministrators`: permite a las entidades principales enumerar el administrador delegado de una organización.
+ `organizations:ListAWSServiceAccessForOrganization`— Permite a los directores enumerar lo Servicios de AWS que usa una organización.
+ `organizations:ListOrganizationalUnitsForParent`: permite a las entidades principales enumerar las unidades organizativas (OU) secundarias de una unidad organizativa principal.
+ `organizations:ListAccountsForParent`: permite a las entidades principales enumerar las cuentas secundarias de una unidad organizativa principal.
+ `organizations:ListParents`— Muestra la raíz o las unidades organizativas (OUs) que actúan como matrices inmediatas de la unidad organizativa o cuenta secundaria especificada.
+ `organizations:DescribeAccount`: permite a las entidades principales recuperar información de sobre una cuenta en una organización.
+ `organizations:DescribeOrganizationalUnit`: permite a las entidades principales recuperar información sobre una unidad organizativa de la organización.
+ `organizations:ListPolicies`: recupera la lista de todas las políticas de una organización de un tipo especificado.
+ `organizations:ListPoliciesForTarget`: enumera las políticas que están asociadas directamente con la raíz de destino, la unidad organizativa (UO) o la cuenta especificada.
+ `organizations:ListTargetsForPolicy`— Muestra todas las raíces, unidades organizativas (OUs) y cuentas a las que está asociada la política especificada.
+ `organizations:DescribeResourcePolicy`— Recupera información sobre una política de recursos.
+ `organizations:EnableAWSServiceAccess`: permite que las entidades principales habiliten la integración con Organizations.
+ `organizations:RegisterDelegatedAdministrator`: permite que las entidades principales designen la cuenta de administrador delegado.
+ `organizations:DeregisterDelegatedAdministrator`: permite que las entidades principales eliminen la cuenta de administrador delegado.
+ `organizations:DescribePolicy`: recupera información sobre una política.
+ `organizations:DescribeEffectivePolicy`: devuelve el contenido de la política en vigor para el tipo de política y la cuenta especificados.
+ `organizations:CreatePolicy`— Crea una política de un tipo específico que se puede adjuntar a una raíz, a una unidad organizativa (OU) o a una persona Cuenta de AWS.
+ `organizations:UpdatePolicy`: actualiza una política existente con un nombre nuevo, una descripción nueva o contenido nuevo.
+ `organizations:DeletePolicy`: elimina la política especificada de la organización.
+ `organizations:AttachPolicy`: asocia una política a una raíz, una unidad organizativa (UO) o una cuenta individual.
+ `organizations:DetachPolicy`: desasocia una política de una raíz de destino, una unidad organizativa (UO) o una cuenta.
+ `organizations:EnablePolicyType`: habilita un tipo de política en una raíz.
+ `organizations:DisablePolicyType`: deshabilita un tipo de política organizacional en una raíz.
+ `organizations:TagResource`: agrega uno o más etiquetas a un recurso especificado.
+ `organizations:UntagResource`: elimina cualquier etiqueta con las claves especificadas de un recurso indicado.
+ `organizations:ListTagsForResource`: enumera las etiquetas asociadas a un recurso especificado.

 Para revisar los permisos de esta política, consulte [AWSInspector2OrganizationsAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSInspector2OrganizationsAccess.html) en la *Guía de referencia de la política administrada de AWS *. 

## AWS política gestionada: AmazonInspector2FullAccess
<a name="security-iam-awsmanpol-AmazonInspector2FullAccess"></a>

 

 Puede asociar la política `AmazonInspector2FullAccess` a las identidades de IAM. 

 

Esta política concede permisos administrativos que ofrecen acceso completo a Amazon Inspector.

 

**importante**  
 Para mejorar la seguridad y restringir los permisos a los directores de servicio del Inspector 2, le recomendamos que utilice [AmazonInspector2 FullAccess \$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess_v2.html). 

 **Detalles de los permisos** 

 Esta política incluye los siguientes permisos. 

 

 
+ `inspector2`: permite el acceso completo a la funcionalidad de Amazon Inspector.
+  `iam`: permite a Amazon Inspector crear roles vinculados a servicios `AWSServiceRoleForAmazonInspector2` y `AWSServiceRoleForAmazonInspector2Agentless`. `AWSServiceRoleForAmazonInspector2` es necesario para que Amazon Inspector pueda realizar operaciones como recuperar información sobre las instancias de Amazon EC2, los repositorios de Amazon ECR y las imágenes de contenedores. También es necesario que Amazon Inspector analice la red de la VPC y describa las cuentas asociadas a la organización. `AWSServiceRoleForAmazonInspector2Agentless` es necesario para que Amazon Inspector pueda realizar operaciones como recuperar información sobre las instancias de Amazon EC2 y las instantáneas de Amazon EBS. También es necesario para descifrar las instantáneas de Amazon EBS que están cifradas con claves. AWS KMS Para obtener más información, consulte [Uso de roles vinculados a servicios para Amazon Inspector](using-service-linked-roles.md). 
+  `organizations`: permite a los administradores utilizar Amazon Inspector para una organización en AWS Organizations. Al [activar el acceso de confianza](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) para Amazon Inspector en AWS Organizations, los miembros de la cuenta de administrador delegado pueden gestionar la configuración y ver los resultados de toda la organización. 
+  `codeguru-security`— Permite a los administradores utilizar Amazon Inspector para recuperar fragmentos de código de información y cambiar la configuración de cifrado del código que almacena CodeGuru Security. Para obtener más información, consulte [Cifrado de código en reposo en los resultados](encryption-rest.md#encryption-code-snippets). 

 

 Para revisar los permisos de esta política, consulte el apartado [AmazonInspector2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess.html) de la Guía FullAccess de *referencia de políticas AWS gestionadas*. 

## AWS política gestionada: AmazonInspector2ReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess"></a>



Puede asociar la política `AmazonInspector2ReadOnlyAccess` a las identidades de IAM.



Esta política concede permisos que ofrecen acceso de solo lectura a Amazon Inspector.



**Detalles de los permisos**

Esta política incluye los siguientes permisos.




+ `inspector2`: permite el acceso de solo lectura a la funcionalidad de Amazon Inspector.
+ `organizations`— Permite ver los detalles sobre la cobertura de Amazon Inspector AWS Organizations para una organización. Además, permite ver las políticas organizativas del Inspector mediante `ListPolicies` el filtrado por tipos de políticas del Inspector, la visualización de las políticas de recursos de delegación y la visualización de las políticas de Inspector efectivas aplicadas a las cuentas mediante`DescribeEffectivePolicy`. `DescribeResourcePolicy` Esto permite a los usuarios comprender la habilitación centralizada de los inspectores establecida a través de las políticas organizacionales sin tener la posibilidad de modificarlas.
+ `codeguru-security`— Permite recuperar fragmentos de código de Security. CodeGuru También permite ver la configuración de cifrado del código almacenado en CodeGuru Security.

 Para revisar los permisos de esta política, consulta el apartado [AmazonInspector2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ReadOnlyAccess.html) de ReadOnlyAccess la *Guía de referencia de políticas AWS gestionadas*. 

## AWS política gestionada: AmazonInspector2ManagedCisPolicy
<a name="security-iam-awsmanpol-AmazonInspector2ManagedCisPolicy"></a>

También puede asociar la política `AmazonInspector2ManagedCisPolicy` a sus entidades de IAM. Esta política debe estar asociada a un rol que conceda permisos a las instancias de Amazon EC2 para ejecutar análisis del CIS de la instancia. Puede utilizar una función de IAM para gestionar las credenciales temporales de las aplicaciones que se ejecutan en una instancia EC2 y que realizan AWS CLI solicitudes a la AWS API. Es preferible hacerlo de este modo a almacenar claves de acceso en la instancia de EC2. Para asignar un AWS rol a una instancia EC2 y ponerlo a disposición de todas sus aplicaciones, debe crear un perfil de instancia adjunto a la instancia. Un perfil de instancia contiene el rol y permite a los programas que se ejecutan en la instancia de EC2 obtener credenciales temporales. Para obtener más información, consulte [Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) en la *Guía del usuario de IAM*. 

**Detalles de los permisos**

Esta política incluye los siguientes permisos.
+ `inspector2`: permite el acceso a las acciones utilizadas para ejecutar los análisis del CIS.

 Para revisar los permisos de esta política, consulte la sección [AmazonInspector2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ManagedCisPolicy.html) de la *Guía ManagedCisPolicy de referencia de políticas AWS administradas*. 

## AWS política gestionada: AmazonInspector2ServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy"></a>

No puede asociar la política `AmazonInspector2ServiceRolePolicy` a sus entidades de IAM. Esta política está asociada a un rol vinculado a servicios que permite que Amazon Inspector realice acciones en su nombre. Para obtener más información, consulte [Uso de roles vinculados a servicios para Amazon Inspector](using-service-linked-roles.md).

## AWS política gestionada: AmazonInspector2AgentlessServiceRolePolicy
<a name="security-iam-awsmanpol-AWSServiceRoleForAmazonInspector2Agentless"></a>

No puede asociar la política `AmazonInspector2AgentlessServiceRolePolicy` a sus entidades de IAM. Esta política está asociada a un rol vinculado a servicios que permite que Amazon Inspector realice acciones en su nombre. Para obtener más información, consulte [Uso de roles vinculados a servicios para Amazon Inspector](using-service-linked-roles.md).

## AWS política gestionada: AmazonInspector2ManagedTelemetryPolicy
<a name="security-iam-awsmanpol-AmazonInspector2ManagedTelemetryPolicy"></a>

También puede asociar la política `AmazonInspector2ManagedTelemetryPolicy` a sus entidades de IAM. Esta política otorga permisos para las operaciones de telemetría de Amazon Inspector, lo que permite al servicio recopilar y transmitir datos del inventario de paquetes para escanear vulnerabilidades.

**Detalles de los permisos**

Esta política incluye los siguientes permisos.
+ `inspector2-telemetry`— Permite el acceso a las acciones para la transmisión de los datos del inventario de paquetes.

 Para ver más detalles sobre la política, incluida la última versión del documento de política de JSON, consulte el apartado [AmazonInspector2 ManagedTelemetryPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ManagedTelemetryPolicy.html) de la Guía de *referencia sobre políticas AWS gestionadas*. 





## Amazon Inspector actualiza las políticas AWS gestionadas
<a name="security-iam-awsmanpol-updates"></a>



Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon Inspector desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [historial de documentos](doc-history.md) de Amazon Inspector.




| Cambio | Descripción | Fecha | 
| --- | --- | --- | 
|   [AWSInspector2OrganizationsAccess](#security-iam-awsmanpol-AWSInspector2OrganizationsAccess): política nueva   |   Amazon Inspector ha añadido una nueva política de gestión que concede los permisos necesarios para activar y gestionar Amazon Inspector mediante una AWS Organizations política.   | 3 de marzo de 2026 | 
|   [AmazonInspector2 ManagedTelemetryPolicy](#security-iam-awsmanpol-AmazonInspector2ManagedTelemetryPolicy) — Nueva política   |   Amazon Inspector ha añadido una nueva política gestionada que concede permisos para las operaciones de telemetría de Amazon Inspector, lo que permite al servicio recopilar y transmitir datos de inventario de paquetes para escanear vulnerabilidades.   | 5 de febrero de 2026 | 
|   [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/slr-permissions.html) — Actualizaciones de una política existente   |   Amazon Inspector ha añadido un nuevo permiso que permite a Amazon Inspector describir los metadatos del firewall para analizar la accesibilidad de la red. Además, Amazon Inspector ha añadido un alcance de recursos adicional para que Amazon Inspector pueda crear, actualizar e iniciar asociaciones de SSM con documentos de SSM. `AWS-ConfigureAWSPackage`   | 3 de febrero de 2026 | 
|   [AmazonInspector2 FullAccess \$1v2](#security-iam-awsmanpol-AmazonInspector2FullAccessV2) y [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess): actualizaciones de las políticas existentes   |   Amazon Inspector ha añadido nuevos permisos que permiten a los titulares de pólizas ver las políticas organizativas y las configuraciones de delegación del Inspector. Esto respalda la administración centralizada y la visibilidad de la habilitación del Inspector a través AWS Organizations de políticas.   | 14 de noviembre de 2025 | 
|   [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/slr-permissions.html) — Actualizaciones de una política existente   |   Amazon Inspector ha añadido nuevos permisos que permiten a la AWS Organizations política de Amazon Inspector hacer cumplir la activación y desactivación de Amazon Inspector.   | 10 de noviembre de 2025 | 
|   [AmazonInspector2 \$1v2 — Nueva política FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccessV2)   |   Amazon Inspector ha agregado una nueva política administrada que proporciona acceso total a Amazon Inspector y acceso a otros servicios relacionados.   | 03 de julio de 2025 | 
|   [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Actualizaciones de una política existente   |   Amazon Inspector ha agregado un nuevo permiso que permite a Amazon Inspector describir direcciones IP y puertas de enlace de Internet.   | 29 de abril de 2025 | 
|   [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Actualizaciones de una política existente   |   Amazon Inspector ha agregado nuevos permisos que permiten acceso de solo lectura a acciones de Amazon ECS y Amazon EKS.   | 25 de marzo de 2025 | 
|   [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Actualizaciones de una política existente   |   Amazon Inspector ha agregado nuevos permisos que permiten a Amazon Inspector devolver etiquetas de funciones en AWS Lambda.   | 31 de julio de 2024 | 
|   [AmazonInspector2 FullAccess](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2FullAccess) — Actualizaciones de una política existente  |   Amazon Inspector ha agregado permisos que permiten a Amazon Inspector crear el rol vinculado al servicio `AWSServiceRoleForAmazonInspector2Agentless`. Esto permite a los usuarios realizar [análisis con agentes](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agent-based) y [análisis sin agentes](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agentless) cuando habilitan Amazon Inspector.   | 24 de abril de 2024 | 
|  [AmazonInspector2 ManagedCisPolicy](#security-iam-awsmanpol-AmazonInspector2ManagedCisPolicy) — Nueva política  |  Amazon Inspector ha agregado una nueva política de administración que puede usar como parte de un perfil de instancia para permitir los análisis del CIS en una instancia.  | 23 de enero de 2024 | 
|  [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Actualizaciones de una política existente  |  Amazon Inspector ha agregado nuevos permisos que permiten a Amazon Inspector iniciar análisis del CIS en las instancias de destino.  | 23 de enero de 2024 | 
|  [AmazonInspector2 AgentlessServiceRolePolicy](using-service-linked-roles.md) — Nueva política  |  Amazon Inspector ha agregado un nuevo rol vinculado a un servicio para permitir el análisis sin agente de la instancia de EC2.  | 27 de noviembre de 2023 | 
|  [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Actualizaciones de una política existente  |  Amazon Inspector ha agregado nuevos permisos que permiten a los usuarios de solo lectura obtener detalles sobre la inteligencia de vulnerabilidades de resultados de vulnerabilidades de paquetes.  | 22 de septiembre de 2023 | 
|  [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Actualizaciones de una política existente  |  Amazon Inspector ha agregado nuevos permisos que permiten a Amazon Inspector analizar las configuraciones de red de las instancias de Amazon EC2 que forman parte de los grupos de destino de Elastic Load Balancing.  | 31 de agosto de 2023 | 
|  [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Actualizaciones de una política existente  |  Amazon Inspector ha agregado nuevos permisos que permiten a los usuarios de solo lectura exportar listados de componentes de software (SBOM) de sus recursos.  | 29 de junio de 2023 | 
|  [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Actualizaciones de una política existente  |  Amazon Inspector ha agregado nuevos permisos que permiten a los usuarios de solo lectura obtener detalles de la configuración de cifrado de los resultados de análisis de código de Lambda de su cuenta.  | 13 de junio de 2023 | 
|  [AmazonInspector2 FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) — Actualizaciones de una política existente  |  Amazon Inspector ha agregado nuevos permisos que permiten a los usuarios configurar un clave de KMS administrada por el cliente para cifrar el código en los resultados de análisis de código de Lambda.  | 13 de junio de 2023 | 
|  [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Actualizaciones de una política existente  |  Amazon Inspector ha agregado nuevos permisos que permiten a los usuarios de solo lectura obtener detalles del estado y los resultados de análisis de código de Lambda de su cuenta.  | 2 de mayo de 2023 | 
|  [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Actualizaciones de una política existente  |  Amazon Inspector ha añadido nuevos permisos que permiten a Amazon Inspector crear canales AWS CloudTrail vinculados a servicios en su cuenta al activar el escaneo Lambda. Esto permite a Amazon Inspector supervisar CloudTrail los eventos de tu cuenta.  | 30 de abril de 2023 | 
|  [AmazonInspector2 FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) — Actualizaciones de una política existente  |  Amazon Inspector ha agregado nuevos permisos que permiten a los usuarios obtener detalles de los resultados de vulnerabilidades de código de los análisis de código de Lambda.  | 21 de abril de 2023 | 
|  [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Actualizaciones de una política existente  |  Amazon Inspector ha agregado nuevos permisos que permiten a Amazon Inspector enviar información a Amazon EC2 Systems Manager sobre las rutas personalizadas que un cliente ha definido para la inspección profunda de Amazon EC2.  | 17 de abril de 2023 | 
|  [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Actualizaciones de una política existente  |  Amazon Inspector ha añadido nuevos permisos que permiten a Amazon Inspector crear canales AWS CloudTrail vinculados a servicios en su cuenta al activar el escaneo Lambda. Esto permite a Amazon Inspector supervisar CloudTrail los eventos de tu cuenta.  | 30 de abril de 2023 | 
|  [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Actualizaciones de una política existente  |  Amazon Inspector ha añadido nuevos permisos que permiten a Amazon Inspector solicitar escaneos del código del desarrollador en AWS Lambda las funciones y recibir datos escaneados de Amazon CodeGuru Security. Además, Amazon Inspector ha agregado permisos para revisar las políticas de IAM. Amazon Inspector utiliza esta información para analizar las funciones de Lambda en busca de vulnerabilidades de código.  | 28 de febrero de 2023 | 
|  [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Actualizaciones de una política existente  |  Amazon Inspector ha añadido una nueva declaración que permite a Amazon Inspector recuperar información CloudWatch sobre cuándo se invocó una AWS Lambda función por última vez. Amazon Inspector utiliza esta información para centrar los análisis en las funciones de Lambda de su entorno que han estado activas durante los últimos 90 días.  | 20 de febrero de 2023 | 
|  [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Actualizaciones de una política existente  |  Amazon Inspector ha añadido una nueva declaración que permite a Amazon Inspector recuperar información sobre AWS Lambda las funciones, incluida la versión de cada capa asociada a cada función. Amazon Inspector utiliza esta información para analizar las funciones de Lambda en busca de vulnerabilidades de seguridad.  | 28 de noviembre de 2022 | 
|  [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Actualizaciones de una política existente  |  Amazon Inspector ha agregado una nueva acción que permite a Amazon Inspector describir las ejecuciones de asociaciones de SSM. Además, Amazon Inspector ha agregado ámbitos de aplicación de recursos adicionales que permiten a Amazon Inspector crear, actualizar, eliminar e iniciar asociaciones de SSM con documentos de SSM propiedad de `AmazonInspector2`.  | 31 de agosto de 2022 | 
|  [AmazonInspector2](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy). ServiceRolePolicy Actualizaciones de una política existente  |  Amazon Inspector ha actualizado el alcance de los recursos de la política para que Amazon Inspector pueda recopilar el inventario de software de otras AWS particiones.  | 12 de agosto de 2022 | 
|  [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Actualizaciones de una política existente  |  Amazon Inspector ha reestructurado el ámbito de aplicación de recursos de las acciones para permitir que Amazon Inspector pueda crear, eliminar y actualizar asociaciones de SSM.  | 10 de agosto de 2022 | 
|  [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Nueva política  |  Amazon Inspector ha agregado una nueva política para permitir el acceso de solo lectura a la funcionalidad de Amazon Inspector.  | 21 de enero de 2022 | 
|  [AmazonInspector2 FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) — Nueva política  |  Amazon Inspector ha agregado una nueva política para permitir el acceso completo a la funcionalidad de Amazon Inspector.  | 29 de noviembre de 2021 | 
|  [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Nueva política  |  Amazon Inspector ha agregado una nueva política que permite a Amazon Inspector realizar acciones en otros servicios en su nombre.  | 29 de noviembre de 2021 | 
|  Amazon Inspector ha comenzado a realizar un seguimiento de los cambios  |  Amazon Inspector comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas.  | 29 de noviembre de 2021 | 

# Uso de roles vinculados a servicios para Amazon Inspector
<a name="using-service-linked-roles"></a>

Amazon Inspector utiliza un AWS Identity and Access Management rol [vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM) denominado. `AWSServiceRoleForAmazonInspector2` El rol vinculado a servicios es un rol de IAM vinculado directamente a Amazon Inspector. Está predefinido por Amazon Inspector e incluye todos los permisos que Amazon Inspector necesita para llamar a otras Servicios de AWS personas en tu nombre. 

Los roles vinculados a servicios simplifican la configuración de Amazon Inspector: ya no tendrá que agregar manualmente los permisos requeridos. Amazon Inspector define los permisos de su rol vinculado a servicios y, a menos que esté definido de otra manera, solo Amazon Inspector puede asumir el rol. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Debe configurar permisos para permitir a una entidad de IAM (como un grupo o un rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*. Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Amazon Inspector, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte [AWS los servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios con la palabra **Sí** en la columna Funciones vinculadas a **servicios**. Elija una opción **Sí** con un enlace para revisar la documentación acerca del rol vinculado al servicio en cuestión.

# Permisos de roles vinculados a servicios para Amazon Inspector
<a name="slr-permissions"></a>

 Amazon Inspector utiliza la política administrada denominada [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html). Este rol vinculado a servicios confía en el servicio `inspector2.amazonaws.com` para asumir el rol. 

La política de permisos del rol, que se denomina [https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy), permite a Amazon Inspector realizar tareas como las siguientes:
+ Utilizar las acciones de Amazon Elastic Compute Cloud (Amazon EC2) para obtener información acerca de las instancias y las rutas de red.
+ Utilice AWS Systems Manager acciones para recuperar el inventario de sus instancias de Amazon EC2 y para recuperar información sobre paquetes de terceros a partir de rutas personalizadas.
+ Utilice la AWS Systems Manager `SendCommand` acción para invocar los escaneos CIS de las instancias de destino.
+ Utilizar las acciones de Amazon Elastic Container Registry para obtener información acerca de las imágenes de contenedores.
+ Utilice AWS Lambda acciones para recuperar información sobre las funciones de Lambda.
+ Utilice AWS Organizations acciones para describir las cuentas asociadas.
+ Utilice CloudWatch acciones para recuperar información sobre la última vez que se invocaron las funciones de Lambda.
+ Utilizar determinadas acciones de IAM para obtener información acerca de las políticas de IAM que podrían provocar vulnerabilidades de seguridad en el código de Lambda.
+ Use acciones de Amazon Q para realizar análisis del código de las funciones de Lambda. Amazon Inspector utiliza las siguientes acciones de Amazon Q: 
  + codeguru-security: CreateScan — Otorga permiso para crear Amazon Q; scan.
  + codeguru-security: GetScan — Concede permiso para recuperar los metadatos escaneados de Amazon Q.
  + codeguru-security: ListFindings — Concede permiso para recuperar los hallazgos generados por Amazon Q.
  + codeguru-security: DeleteScansByCategory — Concede permiso a Amazon Q para eliminar los escaneos iniciados por Amazon Inspector.
  + codeguru-security: BatchGetFindings — Concede permiso para recuperar un lote de hallazgos específicos generados por Amazon Q.
+ Utilizar determinadas acciones de Elastic Load Balancing para realizar análisis de red de instancias de EC2 que forman parte de grupos de destino de Elastic Load Balancing.
+ Utilice las acciones de Amazon ECS y Amazon EKS para permitir el acceso de solo lectura para ver los clústeres y las tareas y describir las tareas.
+ Utilice AWS Organizations acciones para enumerar los administradores delegados de Amazon Inspector en todas las organizaciones.
+ Utilice las acciones de Amazon Inspector para habilitar y desactivar Amazon Inspector en todas las organizaciones.
+ Utilice acciones de Amazon Inspector para designar cuentas de administrador delegado y asociar cuentas de miembros en todas las organizaciones.

**nota**  
 Amazon Inspector ya no se utiliza CodeGuru para realizar escaneos Lambda. AWS dejará de ofrecer soporte el 20 de CodeGuru noviembre de 2025. Para obtener más información, consulte [Fin del soporte de CodeGuru seguridad](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html). Amazon Inspector ahora usa Amazon Q para realizar análisis de Lambda y no requiere los permisos descritos en esta sección. 

 Para revisar los permisos de esta política, consulte el apartado [AmazonInspector2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html) de ServiceRolePolicy la *Guía de referencia sobre políticas AWS gestionadas*. 

## Creación de roles vinculados a servicios de Amazon Inspector
<a name="create-slr"></a>

No necesita crear manualmente un rol vinculado a servicios. Al activar Amazon Inspector en la Consola de administración de AWS AWS CLI, la o la AWS API, Amazon Inspector crea automáticamente la función vinculada al servicio. 

## Edición de roles vinculados a servicios de Amazon Inspector
<a name="edit-slr"></a>

Amazon Inspector no permite editar el rol vinculado a servicios `AWSServiceRoleForAmazonInspector2`. Después de crear un rol vinculado a servicios, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia al mismo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

## Eliminación de roles vinculados a servicios de Amazon Inspector
<a name="delete-slr"></a>

Si ya no utiliza Amazon Inspector, le recomendamos que elimine el rol vinculado a servicios `AWSServiceRoleForAmazonInspector2`. Antes de poder eliminar el rol, debes desactivar Amazon Inspector en todos los Región de AWS lugares donde esté activado. Al desactivar Amazon Inspector, no se elimina el rol. Por lo tanto, si activa Amazon Inspector de nuevo, puede utilizar el rol. De esta forma, puede evitar tener una entidad sin utilizar que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

Si elimina este rol vinculado a un servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al activar Amazon Inspector, Amazon Inspector vuelve a crear el rol vinculado a servicios en su nombre. 

**nota**  
Se podría producir un error si el servicio de Amazon Inspector está utilizando el rol cuando intente eliminar los recursos. En ese caso, espere unos minutos e intente de nuevo la operación.

Puede utilizar la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al `AWSServiceRoleForAmazonInspector2` servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.

# Permisos de roles vinculados a servicios para análisis sin agente de Amazon Inspector
<a name="slr-permissions-agentless"></a>

El análisis sin agente de Amazon Inspector usa el rol vinculado a servicios denominado `AWSServiceRoleForAmazonInspector2Agentless`. Este SLR permite a Amazon Inspector crear una instantánea del volumen de Amazon EBS en su cuenta y, a continuación, acceder a los datos de dicha instantánea. Este rol vinculado a servicios confía en el servicio `agentless.inspector2.amazonaws.com` para asumir el rol.

**importante**  
Las instrucciones de este rol vinculado a un servicio impiden que Amazon Inspector realice análisis sin agente en cualquier instancia de EC2 que el usuario haya excluido de las exploraciones mediante la etiqueta `InspectorEc2Exclusion`. Además, las instrucciones impiden que Amazon Inspector acceda a los datos cifrados de un volumen cuando la clave de KMS utilizada para cifrarlos tiene la etiqueta `InspectorEc2Exclusion`. Para obtener más información, consulte [Exclusión de instancias de los análisis de Amazon Inspector](scanning-ec2.md#exclude-ec2).

La política de permisos del rol, que se denomina `AmazonInspector2AgentlessServiceRolePolicy`, permite a Amazon Inspector realizar tareas como las siguientes:
+ Utilizar las acciones de Amazon Elastic Compute Cloud (Amazon EC2) para recuperar información sobre las instancias, los volúmenes y las instantáneas de EC2.
  + Utilizar las acciones de etiquetado de Amazon EC2 para etiquetar las instantáneas para los análisis con la clave de la etiqueta `InspectorScan`.
  + Utilizar las acciones de instantáneas de Amazon EC2 para crear instantáneas, etiquetarlas con la clave de la etiqueta `InspectorScan` y, a continuación, eliminar las instantáneas de los volúmenes de Amazon EBS que se hayan etiquetado con la clave de la etiqueta `InspectorScan`.
+ Utilizar las acciones de Amazon EBS para recuperar información de las instantáneas etiquetadas con la clave de la etiqueta `InspectorScan`.
+ Utilice determinadas acciones de AWS KMS descifrado para descifrar las instantáneas cifradas con claves gestionadas por el cliente. AWS KMS Amazon Inspector no descifra las instantáneas cuando la clave de KMS utilizada para cifrarlas está etiquetada con la etiqueta `InspectorEc2Exclusion`. 

El rol se configura con la siguiente política de permisos.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "InstanceIdentification",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeVolumes",
				"ec2:DescribeSnapshots"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetSnapshotData",
			"Effect": "Allow",
			"Action": [
				"ebs:ListSnapshotBlocks",
				"ebs:GetSnapshotBlock"
			],
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"aws:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsAnyInstanceOrVolume",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:volume/*"
			]
		},
		{
			"Sid": "DenyCreateSnapshotsOnExcludedInstances",
			"Effect": "Deny",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:instance/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:CreateAction": "CreateSnapshots"
				},
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "DeleteOnlySnapshotsTaggedForScanning",
			"Effect": "Allow",
			"Action": "ec2:DeleteSnapshot",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "DenyKmsDecryptForExcludedKeys",
			"Effect": "Deny",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksVolContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "vol-*"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksSnapContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "snap-*"
				}
			}
		},
		{
			"Sid": "DescribeKeysForEbsOperations",
			"Effect": "Allow",
			"Action": "kms:DescribeKey",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListKeyResourceTags",
			"Effect": "Allow",
			"Action": "kms:ListResourceTags",
			"Resource": "arn:aws:kms:*:*:key/*"
		}
	]
}
```

------

## Creación de un rol vinculado a un servicio para un análisis sin agente
<a name="create-slr"></a>

No necesita crear manualmente un rol vinculado a servicios. Al activar Amazon Inspector en la Consola de administración de AWS AWS CLI, la o la AWS API, Amazon Inspector crea automáticamente la función vinculada al servicio. 

## Edición de un rol vinculado a un servicio para un análisis sin agente
<a name="edit-slr"></a>

Amazon Inspector no permite editar el rol vinculado a servicios `AWSServiceRoleForAmazonInspector2Agentless`. Después de crear un rol vinculado a servicios, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia al mismo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

## Eliminación de un rol vinculado a un servicio para un análisis sin agente
<a name="delete-slr"></a>

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitoree ni se mantenga de forma activa. 

**importante**  
Para eliminar el rol `AWSServiceRoleForAmazonInspector2Agentless`, debe configurar el modo de análisis como basado en agentes en todas las regiones en las que esté disponible el análisis sin agente.

**Para eliminar manualmente el rol vinculado a servicios mediante IAM**

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio de AWSService RoleForAmazonInspector 2Agentless. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.

# Solución de problemas de identidad y acceso de Amazon Inspector
<a name="security_iam_troubleshoot"></a>

Utilice la siguiente información para diagnosticar y solucionar los problemas habituales que pueden surgir cuando se trabaja con Amazon Inspector e IAM.

**Topics**
+ [No tengo autorización para llevar a cabo una acción en Amazon Inspector](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar tareas como: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de Amazon Inspector](#security_iam_troubleshoot-cross-account-access)

## No tengo autorización para llevar a cabo una acción en Amazon Inspector
<a name="security_iam_troubleshoot-no-permissions"></a>

Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.

En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `inspector2:GetWidget`.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: inspector2:GetWidget on resource: my-example-widget
```

En este caso, la política del usuario `mateojackson` debe actualizarse para permitir el acceso al recurso `my-example-widget` mediante la acción `inspector2:GetWidget`.

Si necesita ayuda, póngase en contacto con su administrador. AWS El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

## No estoy autorizado a realizar tareas como: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Si recibe un error que indica que no tiene autorización para llevar a cabo la acción `iam:PassRole`, las políticas se deben actualizar para permitirle pasar un rol a Amazon Inspector.

Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.

En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado “`marymajor`” intenta utilizar la consola para realizar una acción en Amazon Inspector. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.

Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de Amazon Inspector
<a name="security_iam_troubleshoot-cross-account-access"></a>

Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puede utilizar esas políticas para permitir que las personas accedan a sus recursos.

Para obtener más información, consulte lo siguiente:
+ Para saber si Amazon Inspector admite estas características, consulte [Cómo funciona Amazon Inspector con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

# Supervisión de Amazon Inspector
<a name="monitoring-overview"></a>

 La supervisión es una parte importante del mantenimiento de la disponibilidad, la fiabilidad y el rendimiento de Amazon Inspector y otras AWS soluciones. AWS proporciona herramientas para supervisar Amazon Inspector, informar de los problemas que se produzcan y tomar medidas para solucionarlos: 
+  [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) es un AWS servicio que utiliza eventos para conectar los componentes de la aplicación, lo que facilita la creación de aplicaciones escalables basadas en eventos. EventBridge ofrece un flujo de datos en tiempo real de sus aplicaciones, aplicaciones Software-as-a-Service (SaaS), AWS servicios y rutas, para que pueda monitorear los eventos que ocurren en los servicios y crear arquitecturas basadas en eventos. 
+  [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)es un AWS servicio que captura las llamadas a la API y los eventos relacionados realizados por usted o en su nombre. Cuenta de AWS CloudTrail entrega los archivos de registro a un bucket de Amazon S3 que usted especifique, para que pueda identificar a qué usuarios y cuentas llamaron AWS, la dirección IP de origen desde la que se realizaron las llamadas y cuándo se produjeron las llamadas. 

# Registro de llamadas a la API de Amazon Inspector mediante AWS CloudTrail
<a name="logging-using-cloudtrail"></a>

Amazon Inspector está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario o rol de IAM, o por un Servicio de AWS miembro de Amazon Inspector. CloudTrail captura todas las llamadas a la API de Amazon Inspector como eventos. Entre las llamadas capturadas, se incluyen las llamadas desde la consola de Amazon Inspector y las llamadas a las operaciones de la API de Amazon Inspector. Si crea una ruta, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon S3, incluidos los eventos de Amazon Inspector. Si no configura un registro de seguimiento, puede ver los eventos más recientes en la consola de CloudTrail en el **Event history** (Historial de eventos). Con la información recopilada por CloudTrail, puede determinar:
+ La solicitud que se realizó a Amazon Inspector
+ La dirección IP desde la que se realizó la solicitud
+ Quién ha realizado la solicitud
+ La hora a la que se realizó la solicitud



Para obtener más información CloudTrail, consulte la *[Guía AWS CloudTrail del usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)*.

## Información de Amazon Inspector en CloudTrail
<a name="service-name-info-in-cloudtrail"></a>

CloudTrail está habilitada en tu cuenta Cuenta de AWS al crear la cuenta. Cuando se produce una actividad en Amazon Inspector, esa actividad se registra en un CloudTrail evento junto con otros Servicio de AWS eventos del **historial** de eventos. Puede ver, buscar y descargar eventos recientes en su Cuenta de AWS. Para obtener más información, consulte [Visualización de eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).

Para tener un registro continuo de tus eventos Cuenta de AWS, incluidos los de Amazon Inspector, crea una ruta. Un *rastro* permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las Regiones de AWS. El registro de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucket de Amazon S3 especificado. Además, puede configurar otros Servicios de AWS para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para obtener más información, consulte los temas siguientes:
+ [Introducción a la creación de registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servicios e integraciones compatibles](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Configuración de notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Recibir archivos de CloudTrail registro de varias cuentas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ [Recibir archivos de CloudTrail registro de varias regiones](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)

Todas las acciones de Amazon Inspector las registra CloudTrail. Todas las acciones que lleva a cabo Amazon Inspector se documentan en la [Referencia de la API de Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/APIReference/). Por ejemplo, las llamadas a las acciones `CreateFindingsReport`, `ListCoverage`, y`UpdateOrganizationConfiguration` generan entradas en los archivos de registro de CloudTrail .

Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente:
+ Si la solicitud se realizó con las credenciales del usuario raíz o del usuario de IAM.
+ Si la solicitud se realizó con credenciales de seguridad temporales de un rol o un usuario federado.
+ Si la solicitud la realizó otro Servicio de AWS.

Para obtener más información, consulte el [elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

## Descripción de las entradas de archivos de registro de Amazon Inspector
<a name="understanding-service-name-entries"></a>

Un rastro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de Amazon S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una única solicitud desde cualquier origen. Los eventos incluyen información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a las API públicas, por lo que no aparecen en ningún orden específico. 

## Amazon Inspector Escanea la información en CloudTrail
<a name="inspector-scan-in-cloudtrail"></a>

Amazon Inspector Scan está integrado con CloudTrail. Todas las operaciones de la API de Amazon Inspector Scan se registran como eventos de administración. Para obtener una lista de las operaciones de la API de Amazon Inspector Scan en las que Amazon Inspector inicia sesión CloudTrail, consulte [Amazon Inspector Scan](https://docs.aws.amazon.com/inspector/v2/APIReference/API_Operations_Inspector_Scan.html) en la referencia de la API de Amazon Inspector.

En el siguiente ejemplo, se muestra una entrada de CloudTrail registro que demuestra la `ScanSbom` acción:

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROA123456789EXAMPLE:akua_mansa",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/akua_mansa",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROA123456789EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-10-17T15:22:59Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-10-17T16:02:34Z",
    "eventSource": "gamma-inspector-scan.amazonaws.com",
    "eventName": "ScanSbom",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "aws-sdk-java/2.20.162 Mac_OS_X/13.5.2 OpenJDK_64-Bit_Server_VM/17.0.8+7-LTS Java/17.0.8 vendor/Amazon.com_Inc. io/sync http/UrlConnection cfg/retry-mode/legacy",
    "requestParameters": {
        "sbom": {
            "specVersion": "1.5",
            "metadata": {
                "component": {
                    "name": "debian",
                    "type": "operating-system",
                    "version": "9"
                }
            },
            "components": [
                {
                    "name": "packageOne",
                    "purl": "pkg:deb/debian/packageOne@1.0.0?arch=x86_64&distro=9",
                    "type": "application"
                }
            ],
            "bomFormat": "CycloneDX"
        }
    },
    "responseElements": null,
    "requestID": "f041a27f-f33e-4f70-b09b-5fbc5927282a",
    "eventID": "abc8d1e4-d214-4f07-bc56-8a31be6e36fe",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
```

# Validación de conformidad para Amazon Inspector
<a name="inspector-compliance"></a>

Para saber si un programa de cumplimiento Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa](https://aws.amazon.com/compliance/services-in-scope/) de de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .

Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).

# Resiliencia en Amazon Inspector
<a name="disaster-recovery-resiliency"></a>

 La infraestructura AWS global se basa en zonas Regiones de AWS de disponibilidad. Regiones de AWS proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas a redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de uno o varios centros de datos. 

# Seguridad de infraestructuras en Amazon Inspector
<a name="infrastructure-security"></a>

Como servicio gestionado, Amazon Inspector está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.

Utiliza las llamadas a la API AWS publicadas para acceder a Amazon Inspector a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

# Respuesta a incidentes en Amazon Inspector
<a name="security-incident-response"></a>

 La seguridad de AWS es nuestra mayor prioridad. Como se menciona en el [modelo de responsabilidad AWS compartida](https://aws.amazon.com/compliance/shared-responsibility-model) en la sección «Seguridad de la nube», AWS es responsable de proteger la infraestructura que ejecuta todos los servicios de la AWS nube. AWS también es responsable de la respuesta a cualquier incidente relacionada con el servicio Amazon Inspector. 

 Como AWS cliente, usted comparte la responsabilidad de mantener la seguridad en la AWS nube. Esto significa que usted controla la seguridad que decide implementar, que incluye todas las AWS herramientas y funciones a las que accede. Además, es responsable de la respuesta a los incidentes en su parte del modelo de responsabilidad compartida. 

 Al establecer una base de seguridad que cumpla con todos los objetivos de las aplicaciones que se ejecutan en la AWS nube, puede detectar las desviaciones a las que puede responder. Dado que la respuesta a los incidentes es un tema complejo, revise los siguientes recursos para comprender mejor el impacto de la respuesta a los incidentes y cómo sus decisiones pueden influir en los objetivos corporativos: [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html), [Prácticas recomendadas para la seguridad de AWS](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc) y [AWS Cloud Adoption Framework: Security Perspective](https://d1.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf). 

# Acceso a Amazon Inspector mediante un punto de conexión de interfaz (AWS PrivateLink)
<a name="vpc-interface-endpoints-inspector"></a>

 Puede utilizarla AWS PrivateLink para crear una conexión privada entre su VPC y Amazon Inspector. Puede acceder a Amazon Inspector como si estuviera en su VPC, sin necesidad de utilizar una pasarela de Internet, un dispositivo NAT, una conexión VPN o Direct Connect una conexión. Las instancias de la VPC no necesitan direcciones IP públicas para acceder a Amazon Inspector. 

 Esta conexión privada se establece mediante la creación de un *punto de conexión de interfaz* alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a Amazon Inspector. 

 Para obtener más información, consulte [Acceso Servicios de AWS directo AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) en la *AWS PrivateLink guía*. 

## Consideraciones para Amazon Inspector
<a name="vpc-endpoint-considerations"></a>

 Antes de configurar un punto de conexión de interfaz para Amazon Inspector, consulte [Consideraciones](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) en la *Guía de AWS PrivateLink *. 

 Amazon Inspector admite la realización de llamadas a todas las acciones de la API a través del punto de conexión de interfaz. 

 Las políticas de punto de conexión de VPC no son compatibles con Amazon Inspector. De forma predeterminada, el acceso completo a Amazon Inspector se permite a través del punto de conexión de interfaz. Como alternativa, puede asociar un grupo de seguridad a las interfaces de red de los puntos de conexión para controlar el tráfico a Amazon Inspector a través del punto de conexión de interfaz. 

## Creación de un punto de conexión de interfaz para Amazon Inspector
<a name="vpc-endpoint-create"></a>

 Puede crear un punto final de interfaz para Amazon Inspector mediante la consola de Amazon VPC o con AWS Command Line Interface ()AWS CLI. Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) en la *Guía de AWS PrivateLink *. 

 Cuando cree un punto de conexión de interfaz para Amazon Inspector, use uno de los siguientes nombres de servicios: 

```
com.amazonaws.region.inspector2
```

```
com.amazonaws.region.inspector-scan
```

 *region* Región de AWS Sustitúyalo por el código correspondiente Región de AWS. 

 Si habilita DNS privado para el punto de conexión de interfaz, puede realizar solicitudes a la API para Amazon Inspector usando su nombre de DNS regional predeterminado, por ejemplo, `service-name.us-east-1.amazonaws.com ` o `service-name.us-east-1.api.aws.com` para Este de EE. UU. (Norte de Virginia).