Permisos de roles vinculados a servicios para Amazon Inspector

Amazon Inspector utiliza la política administrada denominada AWSServiceRoleForAmazonInspector2. Este rol vinculado a servicios confía en el servicio inspector2.amazonaws.com para asumir el rol.

La política de permisos del rol, que se denomina AmazonInspector2ServiceRolePolicy, permite a Amazon Inspector realizar tareas como las siguientes:

Utilizar las acciones de Amazon Elastic Compute Cloud (Amazon EC2) para obtener información acerca de las instancias y las rutas de red.
Utilizar las acciones de AWS Systems Manager para obtener datos de inventario de las instancias de Amazon EC2 y obtener información acerca de paquetes de terceros de las rutas personalizadas.
Utilice la acción SendCommand de AWS Systems Manager para invocar análisis del CIS para las instancias de destino.
Utilizar las acciones de Amazon Elastic Container Registry para obtener información acerca de las imágenes de contenedores.
Utilizar las acciones de AWS Lambda para obtener información acerca de las funciones de Lambda.
Utilizar las acciones de AWS Organizations para describir las cuentas asociadas.
Utilizar las acciones de CloudWatch para obtener información sobre la última vez en que se invocaron las funciones de Lambda.
Utilizar determinadas acciones de IAM para obtener información acerca de las políticas de IAM que podrían provocar vulnerabilidades de seguridad en el código de Lambda.
Use acciones de Amazon Q para realizar análisis del código de las funciones de Lambda. Amazon Inspector utiliza las siguientes acciones de Amazon Q:
- codeguru-security:CreateScan: concede permiso para crear un análisis de Amazon Q.
- codeguru-security:GetScan: concede permiso para recuperar metadatos de análisis de Amazon Q.
- codeguru-security:ListFindings: concede permiso para recuperar resultados generados por Amazon Q.
- codeguru-security:DeleteScansByCategory: concede permiso a Amazon Q para eliminar los análisis iniciados por Amazon Inspector.
- codeguru-security:BatchGetFindings: concede permiso para recuperar un lote de resultados específicos generados por Amazon Q.
Utilizar determinadas acciones de Elastic Load Balancing para realizar análisis de red de instancias de EC2 que forman parte de grupos de destino de Elastic Load Balancing.
Utilice las acciones de Amazon ECS y Amazon EKS para permitir el acceso de solo lectura para ver los clústeres y las tareas y describir las tareas.
Utilice acciones de AWS Organizations para mostrar los administradores delegados de Amazon Inspector en todas las organizaciones.
Utilice las acciones de Amazon Inspector para habilitar y desactivar Amazon Inspector en todas las organizaciones.
Utilice acciones de Amazon Inspector para designar cuentas de administrador delegado y asociar cuentas de miembros en todas las organizaciones.

nota

Amazon Inspector ya no usa CodeGuru para realizar análisis de Lambda. AWS suspenderá el soporte para CodeGuru el 20 de noviembre de 2025. Para obtener más información, consulte Fin del soporte para CodeGuru Security. Amazon Inspector ahora usa Amazon Q para realizar análisis de Lambda y no requiere los permisos descritos en esta sección.

Para revisar los permisos de esta política, consulte AmazonInspector2ServiceRolePolicy en la Guía de referencia de la política administrada de AWS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cómo utilizar roles vinculados a servicios

Permisos de roles vinculados a servicios para análisis sin agente de Amazon Inspector