Permisos de roles vinculados a servicios para Amazon Inspector - Amazon Inspector

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos de roles vinculados a servicios para Amazon Inspector

Amazon Inspector utiliza la política administrada denominada AWSServiceRoleForAmazonInspector2. Este rol vinculado a servicios confía en el servicio inspector2.amazonaws.com para asumir el rol.

La política de permisos del rol, que se denomina AmazonInspector2ServiceRolePolicy, permite a Amazon Inspector realizar tareas como las siguientes:

  • Utilizar las acciones de Amazon Elastic Compute Cloud (Amazon EC2) para obtener información acerca de las instancias y las rutas de red.

  • Utilice AWS Systems Manager acciones para recuperar el inventario de sus instancias de Amazon EC2 y para recuperar información sobre paquetes de terceros a partir de rutas personalizadas.

  • Utilice la AWS Systems Manager SendCommand acción para invocar los escaneos CIS de las instancias de destino.

  • Utilizar las acciones de Amazon Elastic Container Registry para obtener información acerca de las imágenes de contenedores.

  • Utilice AWS Lambda acciones para recuperar información sobre las funciones de Lambda.

  • Utilice AWS Organizations acciones para describir las cuentas asociadas.

  • Utilice CloudWatch acciones para recuperar información sobre la última vez que se invocaron las funciones de Lambda.

  • Utilizar determinadas acciones de IAM para obtener información acerca de las políticas de IAM que podrían provocar vulnerabilidades de seguridad en el código de Lambda.

  • Use acciones de Amazon Q para realizar análisis del código de las funciones de Lambda. Amazon Inspector utiliza las siguientes acciones de Amazon Q:

    • codeguru-security: CreateScan — Otorga permiso para crear Amazon Q; scan.

    • codeguru-security: GetScan — Concede permiso para recuperar los metadatos escaneados de Amazon Q.

    • codeguru-security: ListFindings — Concede permiso para recuperar los hallazgos generados por Amazon Q.

    • codeguru-security: DeleteScansByCategory — Concede permiso a Amazon Q para eliminar los escaneos iniciados por Amazon Inspector.

    • codeguru-security: BatchGetFindings — Concede permiso para recuperar un lote de hallazgos específicos generados por Amazon Q.

  • Utilizar determinadas acciones de Elastic Load Balancing para realizar análisis de red de instancias de EC2 que forman parte de grupos de destino de Elastic Load Balancing.

  • Utilice las acciones de Amazon ECS y Amazon EKS para permitir el acceso de solo lectura para ver los clústeres y las tareas y describir las tareas.

  • Utilice AWS Organizations acciones para enumerar los administradores delegados de Amazon Inspector en todas las organizaciones.

  • Utilice las acciones de Amazon Inspector para habilitar y desactivar Amazon Inspector en todas las organizaciones.

  • Utilice acciones de Amazon Inspector para designar cuentas de administrador delegado y asociar cuentas de miembros en todas las organizaciones.

nota

Amazon Inspector ya no se utiliza CodeGuru para realizar escaneos Lambda. AWS dejará de ofrecer soporte el 20 de CodeGuru noviembre de 2025. Para obtener más información, consulte Fin del soporte de CodeGuru seguridad. Amazon Inspector ahora usa Amazon Q para realizar análisis de Lambda y no requiere los permisos descritos en esta sección.

Para revisar los permisos de esta política, consulte el apartado AmazonInspector2 de ServiceRolePolicy la Guía de referencia sobre políticas AWS gestionadas.