Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Amazon Inspector
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di data center e architetture di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra te e te. AWS Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per ulteriori informazioni sui programmi di conformità applicabili ad Amazon Inspector, consulta [AWS Services in Scope by Compliance Program ](https://aws.amazon.com/compliance/services-in-scope/) Program.
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi Amazon Inspector. I seguenti argomenti mostrano come configurare Amazon Inspector per soddisfare i tuoi obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse Amazon Inspector.
**Topics**
+ [Protezione dei dati in Amazon Inspector](data-protection.md)
+ [Identity and Access Management per Amazon Inspector](security-iam.md)
+ [Monitoraggio di Amazon Inspector](monitoring-overview.md)
+ [Convalida della conformità per Amazon Inspector](inspector-compliance.md)
+ [Resilienza in Amazon Inspector](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in Amazon Inspector](infrastructure-security.md)
+ [Risposta agli incidenti in Amazon Inspector](security-incident-response.md)
+ [Accedi ad Amazon Inspector utilizzando un endpoint di interfaccia (AWS PrivateLink](vpc-interface-endpoints-inspector.md)
# Protezione dei dati in Amazon Inspector
Il modello di [responsabilità AWS condivisa Modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Inspector. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Amazon Inspector o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
**Topics**
+ [Crittografia dei dati a riposo](encryption-rest.md)
+ [Crittografia dei dati in transito](encryption-transit.md)
# Crittografia dei dati a riposo
Per impostazione predefinita, Amazon Inspector archivia i dati inattivi utilizzando soluzioni di AWS crittografia. Amazon Inspector crittografa i dati, come i seguenti:
+ Inventario delle risorse raccolto con. AWS Systems Manager
+ Inventario delle risorse analizzato dalle immagini di Amazon Elastic Container Registry
+ Risultati di sicurezza generati utilizzando chiavi AWS di crittografia di proprietà di AWS Key Management Service
Non è possibile gestire, utilizzare o visualizzare le chiavi AWS di proprietà. Tuttavia, non è necessario agire o modificare i programmi per proteggere le chiavi che crittografano i dati. Per ulteriori informazioni, consulta [Chiavi di proprietà di AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys).
Se disabiliti Amazon Inspector, elimina definitivamente tutte le risorse che archivia o gestisce per te, come l'inventario raccolto e i risultati di sicurezza.
## Crittografia inattiva per il codice contenuto nei risultati
Per la scansione del codice Amazon Inspector Lambda, Amazon Inspector collabora con Amazon Q per scansionare il codice alla ricerca di vulnerabilità. Quando viene rilevata una vulnerabilità, Amazon Q estrae un frammento di codice contenente la vulnerabilità e lo archivia fino a quando Amazon Inspector non richiede l'accesso. Per impostazione predefinita, Amazon Q utilizza una chiave AWS proprietaria per crittografare il codice estratto. Tuttavia, puoi configurare Amazon Inspector per utilizzare la tua chiave gestita dal cliente AWS KMS per la crittografia.
Il seguente flusso di lavoro spiega come Amazon Inspector utilizza la chiave configurata per crittografare il codice:
1. Fornisci una AWS KMS chiave ad Amazon Inspector utilizzando l'API Amazon [UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEncryptionKey.html)Inspector.
1. Amazon Inspector inoltra le informazioni sulla tua chiave AWS KMS ad Amazon Q e Amazon Q le memorizza per utilizzi futuri.
1. Amazon Q utilizza la chiave KMS configurata in Amazon Inspector tramite la policy chiave.
1. Amazon Q crea una chiave dati crittografata a partire dalla tua AWS KMS chiave e la archivia. Questa chiave dati viene utilizzata per crittografare i dati del codice archiviati da Amazon Q.
1. Quando Amazon Inspector richiede dati da scansioni di codice, Amazon Q utilizza la chiave KMS per decrittografare la chiave dati. Quando disabiliti la scansione del codice Lambda, Amazon Q elimina la chiave dati associata.
## Autorizzazioni per la crittografia del codice con una chiave gestita dal cliente
Per la crittografia, è necessario creare una chiave KMS con [una politica](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) che includa un'istruzione che consenta ad Amazon Inspector e Amazon Q di eseguire le seguenti azioni.
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:Encrypt`
+ `kms:GenerateDataKey`
+ `kms:GenerateDataKeyWithoutPlainText`
**Dichiarazione delle policy**
È possibile utilizzare la seguente dichiarazione di politica durante la creazione della chiave KMS.
**Nota**
`account-id`Sostituiscila con il tuo ID a 12 cifre Account AWS . `Region`Sostituiscilo con quello Regione AWS in cui hai abilitato Amazon Inspector e la scansione del codice Lambda. Sostituiscilo `role-ARN` con Amazon Resource Name per il tuo ruolo IAM.
```
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
},
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:GenerateDataKey"
],
"Principal": {
"AWS": "role-ARN"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "inspector2.Region.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Principal": {
"AWS": "role-ARN"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "inspector2.Region.amazonaws.com"
}
}
}
```
La dichiarazione politica è formattata in JSON. Dopo aver incluso l'istruzione, rivedi la politica per assicurarti che la sintassi sia valida. Se l'istruzione è l'ultima dichiarazione della politica, inserisci una virgola dopo la parentesi di chiusura dell'istruzione precedente. Se l'istruzione è la prima dichiarazione o tra due istruzioni esistenti nella politica, inserisci una virgola dopo la parentesi che chiude la dichiarazione.
**Nota**
Amazon Inspector non supporta più le [sovvenzioni](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per crittografare frammenti di codice estratti dai pacchetti. Se utilizzi una politica basata sulle sovvenzioni, puoi comunque accedere ai risultati. Tuttavia, se aggiorni o reimposti la tua chiave KMS o disabiliti la scansione del codice Lambda, dovrai utilizzare la politica delle chiavi KMS descritta in questa sezione.
Se imposti, aggiorni o reimposti la chiave di crittografia per il tuo account, devi utilizzare una politica di amministratore di Amazon Inspector, ad esempio la politica AWS gestita. `AmazonInspector2FullAccess`
## Configurazione della crittografia con una chiave gestita dal cliente
Per configurare la crittografia per il tuo account utilizzando una chiave gestita dal cliente, devi essere un amministratore di Amazon Inspector con le autorizzazioni descritte in. [Autorizzazioni per la crittografia del codice con una chiave gestita dal cliente](#cmk-permissions) [Inoltre, avrai bisogno di una AWS KMS chiave nella stessa AWS regione dei risultati o di una chiave multiregionale.](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) Puoi utilizzare una chiave simmetrica esistente nel tuo account o creare una chiave simmetrica gestita dal cliente utilizzando la Console di AWS gestione o il. AWS KMS APIs Per ulteriori informazioni, vedere [Creazione di chiavi di crittografia AWS KMS simmetriche](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella guida per l'utente. AWS KMS
**Nota**
A partire dal 13 giugno 2025, il principale servizio nelle AWS KMS richieste registrate CloudTrail durante lo snippet encryption/decryption di codice passerà da «codeguru-reviewer» a «q».
### Utilizzo dell'API Amazon Inspector per configurare la crittografia
Per impostare una chiave per la crittografia, il [UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEncryptionKey.html)funzionamento dell'API Amazon Inspector dopo aver effettuato l'accesso come amministratore di Amazon Inspector. Nella richiesta API, utilizza il `kmsKeyId` campo per specificare l'ARN della AWS KMS chiave che desideri utilizzare. Per `scanType` entrare `CODE` e per `resourceType` entrare`AWS_LAMBDA_FUNCTION`.
Puoi utilizzare l'[UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_GetEncryptionKey.html)API per verificare la visualizzazione della AWS KMS chiave utilizzata da Amazon Inspector per la crittografia.
**Nota**
Se tenti di utilizzare `GetEncryptionKey` quando non hai impostato una chiave gestita dal cliente, l'operazione restituisce un `ResourceNotFoundException` errore, il che significa che per la crittografia viene utilizzata una chiave di AWS proprietà.
Se elimini la chiave o ne modifichi la politica per negare l'accesso ad Amazon Inspector o Amazon Q, non sarai in grado di accedere ai risultati delle vulnerabilità del codice e la scansione del codice Lambda non riuscirà per il tuo account.
Puoi utilizzare `ResetEncryptionKey` per riprendere a utilizzare una chiave AWS proprietaria per crittografare il codice estratto come parte dei risultati di Amazon Inspector.
# Crittografia dei dati in transito
AWS crittografa tutti i dati in transito tra sistemi AWS interni e altri AWS servizi. AWS Systems Manager raccoglie i dati di telemetria dalle istanze EC2 di proprietà del cliente a cui vengono inviati AWS tramite un canale protetto da Transport Layer Security (TLS) per la valutazione. I risultati delle scansioni delle funzioni Amazon ECR e AWS Lambda inviati a Security Hub CSPM vengono crittografati utilizzando un canale protetto da TLS. Per ulteriori informazioni, vedere [Protezione dei dati in Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/data-protection.html) per capire come SSM crittografa i dati in transito.
# Identity and Access Management per Amazon Inspector
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuare l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Amazon Inspector. IAM è uno strumento Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona Amazon Inspector con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per Amazon Inspector](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per Amazon Inspector](security-iam-awsmanpol.md)
+ [Utilizzo di ruoli collegati ai servizi per Amazon Inspector](using-service-linked-roles.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Inspector](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Inspector](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Amazon Inspector con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per Amazon Inspector](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Amazon Inspector con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon Inspector, scopri quali funzionalità IAM sono disponibili per l'uso con Amazon Inspector.
**Funzionalità IAM che puoi utilizzare con Amazon Inspector**
| Funzionalità IAM | Supporto per Amazon Inspector |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Parziale |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una panoramica generale del funzionamento di Amazon Inspector e Servizi AWS altri con la maggior parte delle funzionalità IAM, [Servizi AWS consulta la sezione dedicata alla compatibilità con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM nella IAM User *Guide*.
## Politiche basate sull'identità per Amazon Inspector
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate sull'identità per Amazon Inspector
Per visualizzare esempi di politiche basate sull'identità di Amazon Inspector, consulta. [Esempi di policy basate sull'identità per Amazon Inspector](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di Amazon Inspector
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per Amazon Inspector
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l’accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni di eseguire l’operazione associata.
*Per visualizzare un elenco delle azioni di Amazon Inspector, consulta [Azioni definite da Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions) nel Service Authorization Reference.*
Le azioni politiche in Amazon Inspector utilizzano il seguente prefisso prima dell'azione:
```
inspector2
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"inspector2:action1",
"inspector2:action2"
]
```
Per visualizzare esempi di politiche basate sull'identità di Amazon Inspector, consulta. [Esempi di policy basate sull'identità per Amazon Inspector](security_iam_id-based-policy-examples.md)
## Risorse relative alle policy per Amazon Inspector
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
*Per visualizzare un elenco dei tipi di risorse di Amazon Inspector e relativi ARNs, consulta [Risorse definite da Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-resources-for-iam-policies) nel Service Authorization Reference.* Per sapere con quali azioni è possibile specificare l'ARN di ogni risorsa, consulta [Azioni definite da Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità di Amazon Inspector, consulta. [Esempi di policy basate sull'identità per Amazon Inspector](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle politiche per Amazon Inspector
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
*Per visualizzare un elenco dei codici di condizione di Amazon Inspector, consulta [Condition keys for Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-policy-keys) nel Service Authorization Reference.* Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità di Amazon Inspector, consulta. [Esempi di policy basate sull'identità per Amazon Inspector](security_iam_id-based-policy-examples.md)
## ACLs in Amazon Inspector
**Supporti ACLs: no**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con Amazon Inspector
**Supporta ABAC (tag nelle policy):** parzialmente
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con Amazon Inspector
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per Amazon Inspector
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale che chiama an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Amazon Inspector
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta la sezione [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di Amazon Inspector. Modifica i ruoli di servizio solo quando Amazon Inspector fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per Amazon Inspector
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati al servizio, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Esempi di policy basate sull'identità per Amazon Inspector
Per impostazione predefinita, gli utenti e i ruoli non sono autorizzati a creare o modificare risorse Amazon Inspector. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
*Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da Amazon Inspector, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html) nel Service Authorization Reference.*
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Amazon Inspector](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Consenti l'accesso in sola lettura a tutte le risorse Amazon Inspector](#security_iam_id-based-policy-examples-read-only)
+ [Consenti l'accesso completo a tutte le risorse di Amazon Inspector](#security_iam_id-based-policy-examples-full-access)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Inspector nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Amazon Inspector
Per accedere alla console Amazon Inspector, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Amazon Inspector presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano continuare a utilizzare la console Amazon Inspector, collega anche Amazon `ConsoleAccess` Inspector `ReadOnly` AWS o la policy gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l'API o. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Consenti l'accesso in sola lettura a tutte le risorse Amazon Inspector
Questo esempio mostra una policy che consente l'accesso in sola lettura a tutte le risorse di Amazon Inspector.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"inspector2:Describe*",
"inspector2:Get*",
"inspector2:BatchGet*",
"inspector2:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
------
## Consenti l'accesso completo a tutte le risorse di Amazon Inspector
Questo esempio mostra una policy che consente l'accesso completo a tutte le risorse di Amazon Inspector.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "inspector2:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "inspector2.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
------
# AWS politiche gestite per Amazon Inspector
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d’uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l’utente di IAM*.
## AWS politica gestita: AmazonInspector2FullAccess\$1v2
È possibile allegare la policy `AmazonInspector2FullAccess_v2` alle identità IAM.
Questa politica garantisce l'accesso completo ad Amazon Inspector e l'accesso ad altri servizi correlati.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `inspector2`— Consente l'accesso completo ad Amazon Inspector APIs.
+ `codeguru-security`— Consente agli amministratori di recuperare i risultati di sicurezza e le impostazioni di configurazione per un account.
+ `iam`— Consente ad Amazon Inspector di creare ruoli collegati ai servizi e. `AWSServiceRoleForAmazonInspector2` `AWSServiceRoleForAmazonInspector2Agentless` `AWSServiceRoleForAmazonInspector2`è necessario per Amazon Inspector per eseguire operazioni come il recupero di informazioni sulle istanze Amazon EC2, i repository Amazon ECR e le immagini dei contenitori Amazon ECR. È inoltre necessario decrittografare gli snapshot di Amazon EBS crittografati con chiavi. AWS KMS Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon Inspector](using-service-linked-roles.md).
+ `organizations`— `AllowServicePrincipalBasedAccessToOrganizationApis` consente solo ai responsabili del servizio di creare ruoli collegati ai servizi per Account AWS, registrarne uno Account AWS come amministratore delegato per un'organizzazione ed elencare gli amministratori delegati di un'organizzazione. `AllowOrganizationalBasedAccessToOrganizationApis`consente al titolare della polizza di recuperare informazioni, in particolare a livello di risorsa, su un'unità organizzativa. ARNs `AllowAccountsBasedAccessToOrganizationApis`consente al titolare della polizza di recuperare informazioni, in particolare a livello di risorsa, su un. ARNs Account AWS`AllowAccessToOrganizationApis`consente al titolare della polizza di visualizzare le informazioni Servizi AWS integrate con un'organizzazione e con l'organizzazione. La politica consente di elencare le politiche organizzative di Inspector filtrando in base ai tipi di criteri di Inspector, di visualizzare le politiche delle risorse di delega stabilite dagli account di gestione e di visualizzare le politiche di Inspector efficaci applicate agli account.
**Nota**
Amazon Inspector non esegue più scansioni CodeGuru Lambda. AWS interromperà il supporto il 20 CodeGuru novembre 2025. Per ulteriori informazioni, consulta [Fine del supporto per la CodeGuru sicurezza](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html). Amazon Inspector ora utilizza Amazon Q per eseguire scansioni Lambda e non richiede le autorizzazioni descritte in questa sezione.
*Per esaminare le autorizzazioni per questa politica, consulta [AmazonInspector2 FullAccess \$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess_v2.html) nella Managed Policy Reference Guide.AWS *
## AWS politica gestita: AWSInspector2OrganizationsAccess
È possibile allegare la policy `AWSInspector2OrganizationsAccess` alle identità IAM.
Questa politica concede le autorizzazioni amministrative per abilitare e gestire Amazon Inspector per un'organizzazione in. AWS Organizations Le autorizzazioni per questa politica consentono all'account di gestione dell'organizzazione di designare l'account amministratore delegato per Amazon Inspector. Consentono inoltre all'account amministratore delegato di abilitare gli account dell'organizzazione come account membro.
Questa politica fornisce solo le autorizzazioni per. AWS Organizations L'account di gestione dell'organizzazione e l'account amministratore delegato richiedono inoltre le autorizzazioni per le azioni associate. Queste autorizzazioni possono essere concesse utilizzando la politica gestita`AmazonInspector2FullAccess_v2`.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `organizations:ListAccounts`— Consente ai responsabili di recuperare l'elenco degli account che fanno parte di un'organizzazione.
+ `organizations:DescribeOrganization`— Consente ai dirigenti di recuperare informazioni sull'organizzazione.
+ `organizations:ListRoots`— Consente ai dirigenti di elencare la radice di un'organizzazione.
+ `organizations:ListDelegatedAdministrators`— Consente ai dirigenti di elencare l'amministratore delegato di un'organizzazione.
+ `organizations:ListAWSServiceAccessForOrganization`— Consente ai dirigenti di elencare le informazioni utilizzate da un' Servizi AWS organizzazione.
+ `organizations:ListOrganizationalUnitsForParent`— Consente ai responsabili di elencare le unità organizzative (OU) secondarie di un'unità organizzativa principale.
+ `organizations:ListAccountsForParent`— Consente ai responsabili di elencare gli account secondari di un'unità organizzativa principale.
+ `organizations:ListParents`— Elenca le unità principali o organizzative (OUs) che fungono da elemento principale dell'unità organizzativa o dell'account figlio specificato.
+ `organizations:DescribeAccount`: consente ai principali di recuperare informazioni su un account nell’organizzazione.
+ `organizations:DescribeOrganizationalUnit`— Consente ai responsabili di recuperare informazioni su un'unità organizzativa all'interno dell'organizzazione.
+ `organizations:ListPolicies`— Recupera l'elenco di tutte le politiche di un'organizzazione di un tipo specificato.
+ `organizations:ListPoliciesForTarget`— Elenca le politiche direttamente collegate alla radice, all'unità organizzativa (OU) o all'account di destinazione specificati.
+ `organizations:ListTargetsForPolicy`— Elenca tutte le radici, le unità organizzative (OUs) e gli account a cui è associata la politica specificata.
+ `organizations:DescribeResourcePolicy`— Recupera informazioni su una politica delle risorse.
+ `organizations:EnableAWSServiceAccess`— Consente ai presidi di abilitare l'integrazione con Organizations.
+ `organizations:RegisterDelegatedAdministrator`— Consente ai responsabili di designare l'account amministratore delegato.
+ `organizations:DeregisterDelegatedAdministrator`— Consente ai responsabili di rimuovere l'account di amministratore delegato.
+ `organizations:DescribePolicy`— Recupera informazioni su una politica.
+ `organizations:DescribeEffectivePolicy`— Restituisce il contenuto della politica effettiva per il tipo di politica e l'account specificati.
+ `organizations:CreatePolicy`— Crea una politica di un tipo specifico che è possibile allegare a una radice, a un'unità organizzativa (OU) o a un individuo Account AWS.
+ `organizations:UpdatePolicy`— Aggiorna una politica esistente con un nuovo nome, descrizione o contenuto.
+ `organizations:DeletePolicy`— Elimina la politica specificata dall'organizzazione.
+ `organizations:AttachPolicy`— Associa una policy a una root, a un'unità organizzativa (OU) o a un account individuale.
+ `organizations:DetachPolicy`— Scollega una politica da una radice, un'unità organizzativa (OU) o un account di destinazione.
+ `organizations:EnablePolicyType`— Abilita un tipo di policy in una radice.
+ `organizations:DisablePolicyType`— Disattiva un tipo di politica organizzativa in una radice.
+ `organizations:TagResource`— Aggiunge uno o più tag a una risorsa specificata.
+ `organizations:UntagResource`— Rimuove tutti i tag con le chiavi specificate da una risorsa specificata.
+ `organizations:ListTagsForResource`— Elenca i tag allegati a una risorsa specificata.
Per esaminare le autorizzazioni relative a questa policy, consulta [AWSInspector2OrganizationsAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSInspector2OrganizationsAccess.html)la *AWS Managed Policy Reference Guide*.
## AWS politica gestita: AmazonInspector2FullAccess
È possibile allegare la policy `AmazonInspector2FullAccess` alle identità IAM.
Questa politica concede autorizzazioni amministrative che consentono l'accesso completo ad Amazon Inspector.
**Importante**
[Per una maggiore sicurezza e autorizzazioni restrittive per i principali servizi di Inspector 2, si consiglia di utilizzare 2 \$1v2. AmazonInspector FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess_v2.html)
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `inspector2`— Consente l'accesso completo alle funzionalità di Amazon Inspector.
+ `iam`— Consente ad Amazon Inspector di creare ruoli collegati ai servizi e. `AWSServiceRoleForAmazonInspector2` `AWSServiceRoleForAmazonInspector2Agentless` `AWSServiceRoleForAmazonInspector2`è necessario per consentire ad Amazon Inspector di eseguire operazioni come il recupero di informazioni sulle istanze Amazon EC2, i repository Amazon ECR e le immagini dei contenitori. È inoltre necessario che Amazon Inspector analizzi la tua rete VPC e descriva gli account associati alla tua organizzazione. `AWSServiceRoleForAmazonInspector2Agentless`è necessario per consentire ad Amazon Inspector di eseguire operazioni, come il recupero di informazioni sulle istanze Amazon EC2 e sugli snapshot di Amazon EBS. È inoltre necessario decrittografare gli snapshot di Amazon EBS crittografati con chiavi. AWS KMS Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon Inspector](using-service-linked-roles.md).
+ `organizations`— Consente agli amministratori di utilizzare Amazon Inspector per un'organizzazione in. AWS Organizations Quando [attivi l'accesso affidabile](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) per Amazon Inspector in AWS Organizations, i membri dell'account amministratore delegato possono gestire le impostazioni e visualizzare i risultati in tutta l'organizzazione.
+ `codeguru-security`— Consente agli amministratori di utilizzare Amazon Inspector per recuperare frammenti di codice informativo e modificare le impostazioni di crittografia per il codice archiviato da Security. CodeGuru Per ulteriori informazioni, consulta [Crittografia inattiva per il codice contenuto nei risultati](encryption-rest.md#encryption-code-snippets).
*Per esaminare le autorizzazioni relative a questa politica, consulta la sezione [AmazonInspector2 FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess.html) nella Managed Policy Reference Guide.AWS *
## AWS politica gestita: AmazonInspector2ReadOnlyAccess
È possibile allegare la policy `AmazonInspector2ReadOnlyAccess` alle identità IAM.
Questa politica concede autorizzazioni che consentono l'accesso in sola lettura ad Amazon Inspector.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `inspector2`— Consente l'accesso in sola lettura alle funzionalità di Amazon Inspector.
+ `organizations`— Consente di visualizzare i dettagli sulla copertura di Amazon Inspector per un'organizzazione. AWS Organizations Inoltre, consente la visualizzazione delle politiche organizzative di Inspector tramite il filtraggio in base `ListPolicies` ai tipi di policy di Inspector, la visualizzazione delle politiche relative alle risorse di delega `DescribeResourcePolicy` e la visualizzazione delle politiche di Inspector efficaci applicate agli account tramite. `DescribeEffectivePolicy` Ciò consente agli utenti di comprendere l'attivazione centralizzata degli ispettori stabilita attraverso le politiche organizzative senza la possibilità di modificarle.
+ `codeguru-security`— Consente di recuperare frammenti di codice da Security. CodeGuru Consente inoltre di visualizzare le impostazioni di crittografia per il codice memorizzato in CodeGuru Security.
Per esaminare le autorizzazioni per questa politica, vedere [AmazonInspector2 ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ReadOnlyAccess.html) nella *AWS Managed Policy Reference Guide*.
## AWS politica gestita: AmazonInspector2ManagedCisPolicy
Puoi collegare la policy `AmazonInspector2ManagedCisPolicy` anche alle tue entità IAM. Questa policy deve essere associata a un ruolo che concede le autorizzazioni alle istanze Amazon EC2 per eseguire scansioni CIS dell'istanza. Puoi utilizzare un ruolo IAM per gestire le credenziali temporanee per le applicazioni in esecuzione su un'istanza EC2 e che effettuano richieste API. AWS CLI AWS Ciò è preferibile all’archiviazione delle chiavi di accesso nell’istanza EC2. Per assegnare un AWS ruolo a un'istanza EC2 e renderlo disponibile per tutte le sue applicazioni, crei un profilo di istanza collegato all'istanza. Un profilo dell’istanza contiene il ruolo e consente ai programmi in esecuzione sull’istanza EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consulta [Utilizzare un ruolo IAM per concedere autorizzazioni alle applicazioni che eseguono istanze Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) nella *Guida per l'utente IAM*.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `inspector2`— Consente l'accesso alle azioni utilizzate per eseguire scansioni CIS.
Per esaminare le autorizzazioni per questa politica, vedere [AmazonInspector2 ManagedCisPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ManagedCisPolicy.html) nella *AWS Managed* Policy Reference Guide.
## AWS politica gestita: AmazonInspector2ServiceRolePolicy
Non è possibile allegare la policy `AmazonInspector2ServiceRolePolicy` alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente ad Amazon Inspector di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon Inspector](using-service-linked-roles.md).
## AWS politica gestita: AmazonInspector2AgentlessServiceRolePolicy
Non è possibile allegare la policy `AmazonInspector2AgentlessServiceRolePolicy` alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente ad Amazon Inspector di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon Inspector](using-service-linked-roles.md).
## AWS politica gestita: AmazonInspector2ManagedTelemetryPolicy
Puoi collegare la policy `AmazonInspector2ManagedTelemetryPolicy` anche alle tue entità IAM. Questa politica concede le autorizzazioni per le operazioni di telemetria di Amazon Inspector, consentendo al servizio di raccogliere e trasmettere i dati di inventario dei pacchi per la scansione delle vulnerabilità.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `inspector2-telemetry`— Consente l'accesso alle azioni per la trasmissione dei dati relativi all'inventario dei pacchetti.
Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, vedi [AmazonInspector2 ManagedTelemetryPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ManagedTelemetryPolicy.html) nella *AWS Managed* Policy Reference Guide.
## Amazon Inspector si aggiorna alle AWS politiche gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon Inspector da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti di Amazon [Inspector](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSInspector2OrganizationsAccess](#security-iam-awsmanpol-AWSInspector2OrganizationsAccess): nuova policy | Amazon Inspector ha aggiunto una nuova policy gestita che concede le autorizzazioni necessarie per abilitare e gestire Amazon Inspector tramite policy. AWS Organizations | 3 marzo 2026 |
| [AmazonInspector2 ManagedTelemetryPolicy](#security-iam-awsmanpol-AmazonInspector2ManagedTelemetryPolicy) — Nuova politica | Amazon Inspector ha aggiunto una nuova policy gestita che concede le autorizzazioni per le operazioni di telemetria di Amazon Inspector, consentendo al servizio di raccogliere e trasmettere i dati di inventario dei pacchi per la scansione delle vulnerabilità. | 5 febbraio 2026 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/slr-permissions.html) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto una nuova autorizzazione che consente ad Amazon Inspector di descrivere i metadati del firewall per l'analisi della raggiungibilità della rete. Inoltre, Amazon Inspector ha aggiunto un ulteriore ambito delle risorse per consentire ad Amazon Inspector di creare, aggiornare e avviare associazioni SSM con documenti SSM. `AWS-ConfigureAWSPackage` | 3 febbraio 2026 |
| [AmazonInspector2 FullAccess \$1v2 e [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess)](#security-iam-awsmanpol-AmazonInspector2FullAccessV2) — Aggiornamenti alle politiche esistenti | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono ai titolari delle polizze di visualizzare le politiche organizzative e le configurazioni di delega di Inspector. Ciò supporta la gestione e la visibilità centralizzate dell'abilitazione di Inspector tramite policy AWS Organizations . | 14 novembre 2025 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/slr-permissions.html) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono alla AWS Organizations policy di Amazon Inspector di imporre l'attivazione e la disabilitazione di Amazon Inspector. | 10 novembre 2025 |
| [AmazonInspector2 FullAccess \$1v2](#security-iam-awsmanpol-AmazonInspector2FullAccessV2) — Nuova politica | Amazon Inspector ha aggiunto una nuova policy gestita che fornisce l'accesso completo ad Amazon Inspector e l'accesso ad altri servizi correlati. | 3 luglio 2025 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto una nuova autorizzazione che consente ad Amazon Inspector di descrivere indirizzi IP e gateway Internet. | 29 aprile 2025 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono l'accesso in sola lettura alle azioni di Amazon ECS e Amazon EKS. | 25 marzo 2025 |
| [AmazonInspector2 ServiceRolePolicy — Aggiornamenti](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) a una policy esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono ad Amazon Inspector di restituire i tag di funzione. AWS Lambda | 31 luglio 2024 |
| [AmazonInspector2 FullAccess](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2FullAccess) — Aggiornamenti a una politica esistente | [Amazon Inspector ha aggiunto autorizzazioni che consentono ad Amazon Inspector di creare il ruolo collegato al servizio. `AWSServiceRoleForAmazonInspector2Agentless` Ciò consente agli utenti di eseguire scansioni [basate su agenti e scansioni senza agenti](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agent-based) quando abilitano Amazon Inspector.](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agentless) | 24 aprile 2024 |
| [AmazonInspector2 — Nuova politica ManagedCisPolicy](#security-iam-awsmanpol-AmazonInspector2ManagedCisPolicy) | Amazon Inspector ha aggiunto una nuova policy gestita che puoi utilizzare come parte di un profilo di istanza per consentire le scansioni CIS su un'istanza. | 23 gennaio 2024 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono ad Amazon Inspector di avviare scansioni CIS sulle istanze di destinazione. | 23 gennaio 2024 |
| [AmazonInspector2 AgentlessServiceRolePolicy](using-service-linked-roles.md) — Nuova politica | Amazon Inspector ha aggiunto una nuova policy relativa ai ruoli collegati ai servizi per consentire la scansione senza agenti dell'istanza EC2. | 27 novembre 2023 |
| [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Aggiornamenti a una policy esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono agli utenti di sola lettura di recuperare i dettagli di vulnerability intelligence per rilevare le vulnerabilità dei pacchetti. | 22 settembre 2023 |
| [AmazonInspector2 — Aggiornamenti a una policy esistente ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono ad Amazon Inspector di scansionare le configurazioni di rete delle istanze Amazon EC2 che fanno parte dei gruppi target Elastic Load Balancing. | 31 agosto 2023 |
| [AmazonInspector2 — Aggiornamenti a una policy esistente ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono agli utenti di sola lettura di esportare Software Bill of Materials (SBOM) per le proprie risorse. | 29 giugno 2023 |
| [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono agli utenti di sola lettura di recuperare i dettagli delle impostazioni di crittografia per i risultati della scansione del codice Lambda per il proprio account. | 13 giugno 2023 |
| [AmazonInspector2 FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono agli utenti di configurare una chiave KMS gestita dal cliente per crittografare il codice nei risultati della scansione del codice Lambda. | 13 giugno 2023 |
| [AmazonInspector2 ReadOnlyAccess — Aggiornamenti](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono agli utenti di sola lettura di recuperare i dettagli dello stato e dei risultati della scansione del codice Lambda per il proprio account. | 02 maggio 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono ad Amazon Inspector di creare canali AWS CloudTrail collegati ai servizi nel tuo account quando attivi la scansione Lambda. Ciò consente ad Amazon Inspector di monitorare CloudTrail gli eventi nel tuo account. | 30 aprile 2023 |
| [AmazonInspector2 FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono agli utenti di recuperare i dettagli delle vulnerabilità del codice rilevate dalla scansione del codice Lambda. | 21 aprile 2023 |
| [AmazonInspector2 ServiceRolePolicy — Aggiornamenti](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono ad Amazon Inspector di inviare informazioni ad Amazon EC2 Systems Manager sui percorsi personalizzati definiti da un cliente per l'ispezione approfondita di Amazon EC2. | 17 aprile 2023 |
| [AmazonInspector2 ServiceRolePolicy — Aggiornamenti](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) a una policy esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono ad Amazon Inspector di creare canali AWS CloudTrail collegati ai servizi nel tuo account quando attivi la scansione Lambda. Ciò consente ad Amazon Inspector di monitorare CloudTrail gli eventi nel tuo account. | 30 aprile 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono ad Amazon Inspector di richiedere scansioni del codice di sviluppo nelle AWS Lambda funzioni e ricevere dati di scansione da Amazon Security. CodeGuru Inoltre, Amazon Inspector ha aggiunto le autorizzazioni per la revisione delle politiche IAM. Amazon Inspector utilizza queste informazioni per scansionare le funzioni Lambda alla ricerca di vulnerabilità del codice. | 28 febbraio 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto una nuova istruzione che consente ad Amazon Inspector di recuperare informazioni CloudWatch sull'ultima volta che AWS Lambda una funzione è stata richiamata. Amazon Inspector utilizza queste informazioni per concentrare le scansioni sulle funzioni Lambda del tuo ambiente che sono state attive negli ultimi 90 giorni. | 20 febbraio 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto una nuova dichiarazione che consente ad Amazon Inspector di recuperare informazioni AWS Lambda sulle funzioni, inclusa ogni versione di livello associata a ciascuna funzione. Amazon Inspector utilizza queste informazioni per scansionare le funzioni Lambda alla ricerca di vulnerabilità di sicurezza. | 28 novembre 2022 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto una nuova azione per consentire ad Amazon Inspector di descrivere le esecuzioni delle associazioni SSM. Inoltre, Amazon Inspector ha aggiunto un ulteriore ambito delle risorse per consentire ad Amazon Inspector di creare, aggiornare, eliminare e avviare associazioni SSM con documenti SSM di proprietà. `AmazonInspector2` | 31 agosto 2022 |
| [AmazonInspector2 Aggiornamenti ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) a una policy esistente | Amazon Inspector ha aggiornato l'ambito delle risorse della policy per consentire ad Amazon Inspector di raccogliere l'inventario del software in altre partizioni. AWS | 12 agosto 2022 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha ristrutturato l'ambito delle risorse delle azioni che consentono ad Amazon Inspector di creare, eliminare e aggiornare le associazioni SSM. | 10 agosto 2022 |
| [AmazonInspector2 — Nuova politica ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) | Amazon Inspector ha aggiunto una nuova policy per consentire l'accesso in sola lettura alle funzionalità di Amazon Inspector. | 21 gennaio 2022 |
| [AmazonInspector2 — Nuova politica FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) | Amazon Inspector ha aggiunto una nuova policy per consentire l'accesso completo alle funzionalità di Amazon Inspector. | 29 novembre 2021 |
| [AmazonInspector2 ServiceRolePolicy — Nuova](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) politica | Amazon Inspector ha aggiunto una nuova politica per consentire ad Amazon Inspector di eseguire azioni in altri servizi per tuo conto. | 29 novembre 2021 |
| Amazon Inspector ha iniziato a tracciare le modifiche | Amazon Inspector ha iniziato a tracciare le modifiche per le sue politiche AWS gestite. | 29 novembre 2021 |
# Utilizzo di ruoli collegati ai servizi per Amazon Inspector
Amazon Inspector utilizza un ruolo collegato al [servizio AWS Identity and Access Management (IAM) denominato](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). `AWSServiceRoleForAmazonInspector2` Questo ruolo collegato al servizio è un ruolo IAM collegato direttamente ad Amazon Inspector. È predefinito da Amazon Inspector e include tutte le autorizzazioni richieste da Amazon Inspector per chiamare altri utenti per tuo conto. Servizi AWS
Un ruolo collegato al servizio semplifica la configurazione di Amazon Inspector perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Amazon Inspector definisce le autorizzazioni del suo ruolo collegato al servizio e, se non diversamente definito, solo Amazon Inspector può assumere il ruolo. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
È necessario configurare le autorizzazioni per consentire a un'entità IAM (come un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*. È possibile eliminare un ruolo collegato al servizio solo dopo aver eliminato le relative risorse. In questo modo proteggi le tue risorse Amazon Inspector perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano ruoli collegati ai servizi, consulta i [AWS servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli un **Sì** con un link per consultare la documentazione relativa ai ruoli collegati ai servizi per quel servizio.
# Autorizzazioni di ruolo collegate ai servizi per Amazon Inspector
Amazon Inspector utilizza la policy gestita denominata. [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html) Questo ruolo collegato al servizio si fida che il `inspector2.amazonaws.com` servizio assuma il ruolo.
La politica di autorizzazione per il ruolo, denominato [https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy), consente ad Amazon Inspector di eseguire attività come:
+ Usa le azioni di Amazon Elastic Compute Cloud (Amazon EC2) per recuperare informazioni sulle tue istanze e sui percorsi di rete.
+ Utilizza AWS Systems Manager le azioni per recuperare l'inventario dalle tue istanze Amazon EC2 e per recuperare informazioni sui pacchetti di terze parti da percorsi personalizzati.
+ Usa l' AWS Systems Manager `SendCommand`azione per richiamare le scansioni CIS per le istanze di destinazione.
+ Utilizza le azioni di Amazon Elastic Container Registry per recuperare informazioni sulle immagini dei contenitori.
+ Usa AWS Lambda le azioni per recuperare informazioni sulle tue funzioni Lambda.
+ Usa AWS Organizations le azioni per descrivere gli account associati.
+ Usa CloudWatch le azioni per recuperare informazioni sull'ultima volta che le tue funzioni Lambda sono state richiamate.
+ Utilizza azioni IAM selezionate per recuperare informazioni sulle policy IAM che potrebbero creare vulnerabilità di sicurezza nel codice Lambda.
+ Usa le azioni di Amazon Q per eseguire scansioni del codice nelle tue funzioni Lambda. Amazon Inspector utilizza le seguenti azioni Amazon Q:
+ codeguru-security: CreateScan — Concede l'autorizzazione a creare Amazon Q; scan.
+ codeguru-security: GetScan — Concede l'autorizzazione a recuperare i metadati di scansione di Amazon Q.
+ codeguru-security: ListFindings — Concede l'autorizzazione a recuperare i risultati generati da Amazon Q.
+ codeguru-security: DeleteScansByCategory — Autorizza Amazon Q a eliminare le scansioni avviate da Amazon Inspector.
+ codeguru-security: BatchGetFindings — Concede l'autorizzazione a recuperare un batch di risultati specifici generati da Amazon Q.
+ Utilizza determinate azioni Elastic Load Balancing per eseguire scansioni di rete delle istanze EC2 che fanno parte dei gruppi target di Elastic Load Balancing.
+ Utilizza le azioni Amazon ECS e Amazon EKS per consentire l'accesso in sola lettura per visualizzare cluster e attività e descrivere le attività.
+ Utilizza AWS Organizations le azioni per elencare gli amministratori delegati di Amazon Inspector in tutte le organizzazioni.
+ Utilizza le azioni di Amazon Inspector per abilitare e disabilitare Amazon Inspector in tutte le organizzazioni.
+ Utilizza le azioni di Amazon Inspector per designare account amministratori delegati e associare gli account dei membri tra le organizzazioni.
**Nota**
Amazon Inspector non esegue più scansioni CodeGuru Lambda. AWS interromperà il supporto il 20 CodeGuru novembre 2025. Per ulteriori informazioni, consulta [Fine del supporto per la CodeGuru sicurezza](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html). Amazon Inspector ora utilizza Amazon Q per eseguire scansioni Lambda e non richiede le autorizzazioni descritte in questa sezione.
*Per esaminare le autorizzazioni relative a questa politica, consulta la sezione [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html) nella Managed Policy Reference Guide.AWS *
## Creazione di un ruolo collegato ai servizi per Amazon Inspector
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando attivi Amazon Inspector nell'API Console di gestione AWS, nella o nell' AWS API AWS CLI, Amazon Inspector crea il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per Amazon Inspector
Amazon Inspector non consente di modificare il ruolo collegato al `AWSServiceRoleForAmazonInspector2` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificare il nome del ruolo perché diverse entità potrebbero fare riferimento al ruolo. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Amazon Inspector
Se non hai più bisogno di utilizzare Amazon Inspector, ti consigliamo di eliminare il ruolo collegato al `AWSServiceRoleForAmazonInspector2` servizio. Prima di poter eliminare il ruolo, devi disattivare Amazon Inspector in Regione AWS ogni luogo in cui è attivato. Quando disattivi Amazon Inspector, il ruolo non viene eliminato per te. Pertanto, se attivi nuovamente Amazon Inspector, può utilizzare il ruolo esistente. In questo modo puoi evitare di avere un'entità inutilizzata che non viene monitorata o gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
Se devi ricreare un ruolo collegato ai servizi che hai precedentemente eliminato, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account. Quando attivi Amazon Inspector, Amazon Inspector ricrea per te il ruolo collegato al servizio.
**Nota**
Se il servizio Amazon Inspector utilizza il ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe non riuscire. In tal caso, attendi qualche minuto e poi riprova a eseguire l'operazione.
Puoi utilizzare la console IAM AWS CLI, o l' AWS API per eliminare il ruolo `AWSServiceRoleForAmazonInspector2` collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
# Autorizzazioni di ruolo collegate ai servizi per le scansioni senza agenti di Amazon Inspector
La scansione senza agenti di Amazon Inspector utilizza il ruolo collegato al servizio denominato. `AWSServiceRoleForAmazonInspector2Agentless` Questa reflex consente ad Amazon Inspector di creare uno snapshot del volume Amazon EBS nel tuo account e quindi accedere ai dati da tale snapshot. Questo ruolo collegato al servizio si fida che il servizio assuma il ruolo. `agentless.inspector2.amazonaws.com`
**Importante**
Le istruzioni in questo ruolo collegato al servizio impediscono ad Amazon Inspector di eseguire scansioni senza agenti su qualsiasi istanza EC2 che hai escluso dalle scansioni utilizzando il tag. `InspectorEc2Exclusion` Inoltre, le istruzioni impediscono ad Amazon Inspector di accedere ai dati crittografati da un volume quando la chiave KMS utilizzata per crittografarli ha il tag. `InspectorEc2Exclusion` Per ulteriori informazioni, consulta [Esclusione delle istanze dalle scansioni di Amazon Inspector](scanning-ec2.md#exclude-ec2).
La politica di autorizzazione per il ruolo, che è denominato`AmazonInspector2AgentlessServiceRolePolicy`, consente ad Amazon Inspector di eseguire attività come:
+ Usa le azioni di Amazon Elastic Compute Cloud (Amazon EC2) per recuperare informazioni sulle istanze, i volumi e gli snapshot EC2.
+ Usa le azioni di tagging di Amazon EC2 per etichettare gli snapshot per le scansioni con la chiave tag. `InspectorScan`
+ Utilizza le azioni snapshot di Amazon EC2 per creare istantanee, etichettarle con la chiave `InspectorScan` tag e quindi eliminare le istantanee dei volumi Amazon EBS a cui è stato assegnato il tag key. `InspectorScan`
+ Utilizza le azioni di Amazon EBS per recuperare informazioni dagli snapshot contrassegnati con la `InspectorScan` chiave tag.
+ Utilizza azioni di decrittografia selezionate per AWS KMS decrittografare istantanee crittografate con chiavi gestite dal cliente. AWS KMS Amazon Inspector non decrittografa le istantanee quando la chiave KMS utilizzata per crittografarle è contrassegnata con il tag. `InspectorEc2Exclusion`
Il ruolo è configurato con la seguente politica di autorizzazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InstanceIdentification",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Sid": "GetSnapshotData",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/InspectorScan": "*"
}
}
},
{
"Sid": "CreateSnapshotsAnyInstanceOrVolume",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Sid": "DenyCreateSnapshotsOnExcludedInstances",
"Effect": "Deny",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/InspectorEc2Exclusion": "true"
}
}
},
{
"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "InspectorScan"
}
}
},
{
"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"ec2:CreateAction": "CreateSnapshots"
},
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "InspectorScan"
}
}
},
{
"Sid": "DeleteOnlySnapshotsTaggedForScanning",
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/InspectorScan": "*"
}
}
},
{
"Sid": "DenyKmsDecryptForExcludedKeys",
"Effect": "Deny",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/InspectorEc2Exclusion": "true"
}
}
},
{
"Sid": "DecryptSnapshotBlocksVolContext",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com",
"kms:EncryptionContext:aws:ebs:id": "vol-*"
}
}
},
{
"Sid": "DecryptSnapshotBlocksSnapContext",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com",
"kms:EncryptionContext:aws:ebs:id": "snap-*"
}
}
},
{
"Sid": "DescribeKeysForEbsOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com"
}
}
},
{
"Sid": "ListKeyResourceTags",
"Effect": "Allow",
"Action": "kms:ListResourceTags",
"Resource": "arn:aws:kms:*:*:key/*"
}
]
}
```
------
## Creazione di un ruolo collegato al servizio per la scansione senza agenti
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando attivi Amazon Inspector nell'API Console di gestione AWS, nella o nell' AWS API AWS CLI, Amazon Inspector crea il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per una scansione senza agenti
Amazon Inspector non consente di modificare il ruolo collegato al `AWSServiceRoleForAmazonInspector2Agentless` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificare il nome del ruolo perché diverse entità potrebbero fare riferimento al ruolo. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per la scansione senza agenti
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.
**Importante**
Per eliminare il `AWSServiceRoleForAmazonInspector2Agentless` ruolo, è necessario impostare la modalità di scansione su basata su agenti in tutte le regioni in cui è disponibile la scansione senza agenti.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al servizio 2Agentless. AWSService RoleForAmazonInspector Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
# Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Inspector
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Amazon Inspector e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Amazon Inspector](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Desidero consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon Inspector](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Amazon Inspector
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `inspector2:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: inspector2:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `inspector2:GetWidget`.
Se hai bisogno di assistenza, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo ad Amazon Inspector.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Amazon Inspector. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Desidero consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon Inspector
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon Inspector supporta queste funzionalità, consulta. [Come funziona Amazon Inspector con IAM](security_iam_service-with-iam.md)
+ Per sapere come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.
# Monitoraggio di Amazon Inspector
Il monitoraggio è una parte importante per mantenere la disponibilità, l'affidabilità e le prestazioni di Amazon Inspector e di altre AWS soluzioni. AWS fornisce strumenti per monitorare Amazon Inspector, segnalare i problemi che si verificano e intraprendere azioni per porvi rimedio:
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) è un AWS servizio che utilizza gli eventi per connettere tra loro i componenti delle applicazioni, semplificando la creazione di applicazioni scalabili basate sugli eventi. EventBridge offre un flusso di dati in tempo reale dalle applicazioni, dalle applicazioni Software-as-a-Service (SaaS), dai AWS servizi e dai percorsi, in modo da poter monitorare gli eventi che si verificano nei servizi e creare architetture basate sugli eventi.
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)è un AWS servizio che acquisisce le chiamate API e gli eventi correlati effettuati da o per conto dell'utente. Account AWS CloudTrail invia i file di log a un bucket Amazon S3 da te specificato, in modo da poter identificare quali utenti e account hanno chiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate.
# Registrazione delle chiamate API di Amazon Inspector tramite AWS CloudTrail
Amazon Inspector è integrato con AWS CloudTrail un servizio che fornisce una registrazione delle azioni intraprese da un utente o ruolo IAM o da un Servizio AWS utente in Amazon Inspector. CloudTrail acquisisce tutte le chiamate API per Amazon Inspector come eventi. Le chiamate acquisite includono chiamate dalla console Amazon Inspector e chiamate alle operazioni dell'API Amazon Inspector. Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per Amazon Inspector. Se non configuri un trail, è comunque possibile visualizzare gli eventi più recenti nella console di CloudTrail in **Event history (Cronologia eventi)**. Utilizzando le informazioni raccolte da CloudTrail, puoi determinare:
+ La richiesta che è stata fatta ad Amazon Inspector.
+ Indirizzo IP dal quale è stata effettuata la richiesta.
+ Chi ha effettuato la richiesta.
+ Quando è stata effettuata la richiesta.
Per ulteriori informazioni CloudTrail, consulta la *[Guida AWS CloudTrail per l'utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)*.
## Informazioni su Amazon Inspector in CloudTrail
CloudTrail è abilitato sul tuo account al Account AWS momento della creazione dell'account. **Quando si verifica un'attività in Amazon Inspector, tale attività viene registrata in un CloudTrail evento insieme ad altri Servizio AWS eventi nella cronologia degli eventi.** Puoi visualizzare, cercare e scaricare eventi recenti in. Account AWS Per ulteriori informazioni, consulta [Visualizzazione degli eventi con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi del tuo Account AWS, compresi gli eventi per Amazon Inspector, crea un percorso. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando si crea un percorso nella console, questo sarà valido in tutte le Regioni AWS. Il percorso registra gli eventi di tutte le Regioni nella partizione AWS e distribuisce i file di log nel bucket Amazon S3 specificato. Inoltre, puoi configurarne altri Servizi AWS per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei CloudTrail log. Per ulteriori informazioni, consulta i seguenti argomenti:
+ [Panoramica della creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Ricezione di file di CloudTrail registro da più account](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)
Tutte le azioni di Amazon Inspector vengono registrate da. CloudTrail Tutte le azioni che Amazon Inspector può eseguire sono documentate nell'[Amazon](https://docs.aws.amazon.com/inspector/latest/APIReference/) Inspector API Reference. Ad esempio, le chiamate alle operazioni `CreateFindingsReport`, `ListCoverage` e `UpdateOrganizationConfiguration` generano voci nei file di log CloudTrail .
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con le credenziali utente root o utente IAM.
+ Se la richiesta è stata effettuata con credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro Servizio AWS.
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Informazioni sulle voci dei file di log di Amazon Inspector
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta da un'origine. Gli eventi includono informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.
## Amazon Inspector Scansiona le informazioni in CloudTrail
Amazon Inspector Scan è integrato con. CloudTrail Tutte le operazioni dell'API Amazon Inspector Scan vengono registrate come eventi di gestione. Per un elenco delle operazioni dell'API Amazon Inspector Scan a cui Amazon Inspector accede, CloudTrail consulta Amazon Inspector [Scan nel riferimento alle API di Amazon Inspector](https://docs.aws.amazon.com/inspector/v2/APIReference/API_Operations_Inspector_Scan.html).
L'esempio seguente mostra una voce di CloudTrail registro che dimostra l'azione: `ScanSbom`
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:akua_mansa",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/akua_mansa",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-10-17T15:22:59Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-10-17T16:02:34Z",
"eventSource": "gamma-inspector-scan.amazonaws.com",
"eventName": "ScanSbom",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.0",
"userAgent": "aws-sdk-java/2.20.162 Mac_OS_X/13.5.2 OpenJDK_64-Bit_Server_VM/17.0.8+7-LTS Java/17.0.8 vendor/Amazon.com_Inc. io/sync http/UrlConnection cfg/retry-mode/legacy",
"requestParameters": {
"sbom": {
"specVersion": "1.5",
"metadata": {
"component": {
"name": "debian",
"type": "operating-system",
"version": "9"
}
},
"components": [
{
"name": "packageOne",
"purl": "pkg:deb/debian/packageOne@1.0.0?arch=x86_64&distro=9",
"type": "application"
}
],
"bomFormat": "CycloneDX"
}
},
"responseElements": null,
"requestID": "f041a27f-f33e-4f70-b09b-5fbc5927282a",
"eventID": "abc8d1e4-d214-4f07-bc56-8a31be6e36fe",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Convalida della conformità per Amazon Inspector
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza in Amazon Inspector
L'infrastruttura AWS globale è costruita attorno Regioni AWS a zone di disponibilità. Regioni AWS forniscono zone di disponibilità multiple, fisicamente separate e isolate, collegate a reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità è possibile progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
# Sicurezza dell'infrastruttura in Amazon Inspector
In quanto servizio gestito, Amazon Inspector è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizza chiamate API AWS pubblicate per accedere ad Amazon Inspector attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# Risposta agli incidenti in Amazon Inspector
Per AWS, la sicurezza ha la massima priorità. Come indicato nel [modello di responsabilitàAWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model) alla voce «Security of the Cloud», AWS è responsabile della protezione dell'infrastruttura che gestisce tutti i servizi nel AWS Cloud. AWS è inoltre responsabile di qualsiasi risposta agli incidenti associata al servizio Amazon Inspector.
In qualità di AWS cliente, condividi la responsabilità di mantenere la sicurezza nel AWS cloud. Ciò significa che sei tu a controllare la sicurezza che scegli di implementare, che include tutti AWS gli strumenti e le funzionalità a cui accedi. Significa anche che sei responsabile della risposta agli incidenti dalla tua parte del modello di responsabilità condivisa.
Stabilendo una linea di base di sicurezza che soddisfi tutti gli obiettivi delle applicazioni eseguite nel AWS cloud, puoi rilevare le deviazioni a cui puoi rispondere. Poiché la risposta agli incidenti è un argomento complesso, consulta le seguenti risorse per comprendere meglio l'impatto della risposta agli incidenti e come le tue scelte potrebbero influenzare gli obiettivi aziendali: [AWS Security Incident Response Guide,AWS Security](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) [Best Practices](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc) e [AWS Cloud Adoption Framework: Security](https://d1.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf) Perspective.
# Accedi ad Amazon Inspector utilizzando un endpoint di interfaccia (AWS PrivateLink
Puoi utilizzarlo AWS PrivateLink per creare una connessione privata tra il tuo VPC e Amazon Inspector. Puoi accedere ad Amazon Inspector come se fosse nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per accedere ad Amazon Inspector.
Stabilisci questa connessione privata creando un *endpoint di interfaccia* attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato ad Amazon Inspector.
*Per ulteriori informazioni, consulta [Access Servizi AWS](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) through nella Guida. AWS PrivateLinkAWS PrivateLink *
## Considerazioni per Amazon Inspector
*Prima di configurare un endpoint di interfaccia per Amazon Inspector, [consulta](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) le considerazioni nella Guida.AWS PrivateLink *
Amazon Inspector supporta l'esecuzione di chiamate a tutte le sue azioni API tramite l'endpoint dell'interfaccia.
Le policy degli endpoint VPC non sono supportate per Amazon Inspector. Per impostazione predefinita, l'accesso completo ad Amazon Inspector è consentito tramite l'endpoint dell'interfaccia. In alternativa, puoi associare un gruppo di sicurezza alle interfacce di rete degli endpoint per controllare il traffico verso Amazon Inspector attraverso l'endpoint dell'interfaccia.
## Crea un endpoint di interfaccia per Amazon Inspector
Puoi creare un endpoint di interfaccia per Amazon Inspector utilizzando la console Amazon VPC o (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta la sezione [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) nella *Guida per l'utente di AWS PrivateLink *.
Quando crei un endpoint di interfaccia per Amazon Inspector, utilizza uno dei seguenti nomi di servizio:
```
com.amazonaws.region.inspector2
```
```
com.amazonaws.region.inspector-scan
```
Sostituiscilo *region* con il Regione AWS codice applicabile. Regione AWS
Se abiliti il DNS privato per l'endpoint dell'interfaccia, puoi effettuare richieste API ad Amazon Inspector utilizzando il nome DNS regionale predefinito, ad esempio`service-name.us-east-1.amazonaws.com `, `service-name.us-east-1.api.aws.com` o per gli Stati Uniti orientali (Virginia settentrionale).