Amazon Inspector의 서비스 연결 역할 권한
Amazon Inspector는 AWSServiceRoleForAmazonInspector2라는 관리형 정책을 사용합니다. 이 서비스 연결 역할은 inspector2.amazonaws.com 서비스에 해당 역할을 맡깁니다.
역할에 대한 권한 정책(AmazonInspector2ServiceRolePolicy)을 통해 Amazon Inspector에서는 다음과 같은 작업을 수행할 수 있습니다.
-
Amazon Elastic Compute Cloud(Amazon EC2) 작업을 사용하여 인스턴스 및 네트워크 경로에 대한 정보를 검색합니다.
-
AWS Systems Manager 작업을 사용하여 Amazon EC2 인스턴스에서 인벤토리를 검색하고 사용자 지정 경로에서 타사 패키지에 대한 정보를 검색합니다.
-
AWS Systems Manager
SendCommand작업을 사용하여 대상 인스턴스에 대한 CIS 스캔을 간접적으로 호출합니다. -
Amazon Elastic Container Registry 작업을 사용하여 컨테이너 이미지에 대한 정보를 검색합니다.
-
AWS Lambda 작업을 사용하여 Lambda 함수에 대한 정보를 검색합니다.
-
AWS Organizations 작업을 사용하여 연결된 계정을 설명합니다.
-
CloudWatch 작업을 사용하여 Lambda 함수가 마지막으로 간접적으로 호출된 시간에 대한 정보를 검색합니다.
-
일부 IAM 작업을 사용하여 Lambda 코드에 보안 취약성을 일으킬 수 있는 IAM 정책에 대한 정보를 검색합니다.
-
Amazon Q 작업을 사용하여 Lambda 함수의 코드 스캔을 수행합니다. Amazon Inspector는 다음 Amazon Q 작업을 사용합니다.
codeguru-security:CreateScan – Amazon Q 스캔을 생성할 수 있는 권한을 부여합니다.
codeguru-security:GetScan – Amazon Q 스캔 메타데이터를 검색할 수 있는 권한을 부여합니다.
codeguru-security:ListFindings – Amazon Q에서 생성한 조사 결과를 검색할 수 있는 권한을 부여합니다.
codeguru-security:DeleteScansByCategory – Amazon Inspector에서 시작한 스캔을 삭제할 수 있는 권한을 Amazon Q에 부여합니다.
codeguru-security:BatchGetFindings – Amazon Q에서 생성한 특정 조사 결과를 일괄 검색할 수 있는 권한을 부여합니다.
일부 Elastic Load Balancing 작업을 사용하여 Elastic Load Balancing 대상 그룹에 속하는 EC2 인스턴스의 네트워크 스캔을 수행합니다.
Amazon ECS 및 Amazon EKS 작업을 사용하여 클러스터 및 작업을 보고 작업을 설명할 수 있는 읽기 전용 액세스를 허용합니다.
AWS Organizations 작업을 사용하여 조직 전체에서 Amazon Inspector의 위임된 관리자를 나열합니다.
Amazon Inspector 작업을 사용하여 조직 전체에서 Amazon Inspector를 활성화 및 비활성화합니다.
Amazon Inspector 작업을 사용하여 위임된 관리자 계정을 지정하고 조직 전체에서 멤버 계정을 연결합니다.
참고
Amazon Inspector는 더 이상 CodeGuru를 사용하여 Lambda 스캔을 수행하지 않습니다. AWS는 2025년 11월 20일에 CodeGuru에 대한 지원을 중단할 예정입니다. 자세한 내용은 CodeGuru 보안에 대한 지원 종료를 참조하세요. Amazon Inspector는 이제 Amazon Q를 사용하여 Lambda 스캔을 수행하며 이 섹션에 설명된 권한이 필요하지 않습니다.
이 정책에 대한 권한을 보려면 AWS 관리형 정책 참조 가이드에서 AmazonInspector2ServiceRolePolicy를 참조하세요.
