As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança no Amazon Inspector
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de data centers e arquiteturas de rede criados para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade que se aplicam ao Amazon Inspector, consulte [AWS Serviços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Esta documentação te ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Amazon Inspector. Os tópicos a seguir mostram como configurar o Amazon Inspector para atender aos seus objetivos de segurança e conformidade. Você também aprende a usar outros AWS serviços que ajudam você a monitorar e proteger seus recursos do Amazon Inspector.
**Topics**
+ [Proteção de dados no Amazon Inspector](data-protection.md)
+ [Identity and Access Management para o Amazon Inspector](security-iam.md)
+ [Monitorar o Amazon Inspector](monitoring-overview.md)
+ [Validação de conformidade do Amazon Inspector](inspector-compliance.md)
+ [Resiliência no Amazon Inspector](disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura no Amazon Inspector](infrastructure-security.md)
+ [Resposta a incidentes no Amazon Inspector](security-incident-response.md)
+ [Acesso ao Amazon Inspector usando um endpoint de interface (AWS PrivateLink)](vpc-interface-endpoints-inspector.md)
# Proteção de dados no Amazon Inspector
O [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados no Amazon Inspector. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o Amazon Inspector ou outro Serviços da AWS usando o console, a API ou. AWS CLI AWS SDKs Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
**Topics**
+ [Criptografia em repouso](encryption-rest.md)
+ [Criptografia em trânsito](encryption-transit.md)
# Criptografia em repouso
Por padrão, o Amazon Inspector armazena dados em repouso usando soluções de AWS criptografia. O Amazon Inspector criptografa dados, como os seguintes:
+ Inventário de recursos coletado com AWS Systems Manager.
+ Inventário de recursos analisado com base em imagens do Amazon Elastic Container Registry
+ Descobertas de segurança geradas usando chaves de criptografia AWS próprias da AWS Key Management Service
Você não pode gerenciar, usar ou visualizar chaves AWS de propriedade. No entanto, você não precisa realizar nenhuma ação nem alterar programas para proteger as chaves que criptografam os dados. Para ter mais informações, consulte [AWS owned keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys).
Se você desabilitar o Amazon Inspector, ele excluirá permanentemente todos os recursos que armazena ou mantém para você, como inventário coletado e descobertas de segurança.
## Criptografia em repouso para código em suas descobertas
Para a verificação de código do Lambda do Amazon Inspector, este funciona em parceria com o Amazon Q para verificar o código em busca de vulnerabilidades. Quando uma vulnerabilidade é detectada, o Amazon Q extrai um trecho do código que contém a vulnerabilidade e o armazena esse código até que o Amazon Inspector solicite acesso. Por padrão, o Amazon Q usa uma chave AWS própria para criptografar o código extraído. No entanto, você pode configurar o Amazon Inspector para usar sua própria chave gerenciada pelo cliente AWS KMS para criptografia.
O fluxo de trabalho a seguir explica como o Amazon Inspector usa a chave que você configura para criptografar o código:
1. Você fornece uma AWS KMS chave para o Amazon Inspector usando a API do Amazon [UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEncryptionKey.html)Inspector.
1. O Amazon Inspector encaminha as informações sobre sua chave AWS KMS para o Amazon Q, e o Amazon Q armazena as informações para uso futuro.
1. O Amazon Q usa a chave do KMS configurada no Amazon Inspector por meio da política de chave.
1. O Amazon Q cria uma chave de dados criptografada a partir da sua AWS KMS chave e a armazena. Essa chave de dados é usada para criptografar os dados do código armazenados pelo Amazon Q.
1. Quando o Amazon Inspector solicita dados das verificações de código, o Amazon Q usa a chave do KMS para descriptografar a chave de dados. Quando você desabilita a verificação de código do Lambda, o Amazon Q exclui a chave de dados associada.
## É possível usar uma chave gerenciada pelo cliente para criptografar um volume.
Para criptografia, você deve criar uma chave do KMS com [uma política](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) que inclua uma declaração permitindo que o Amazon Inspector e o Amazon Q executem as ações a seguir.
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:Encrypt`
+ `kms:GenerateDataKey`
+ `kms:GenerateDataKeyWithoutPlainText`
**Declaração da política**
Você pode usar a seguinte declaração de política ao criar a chave do KMS.
**nota**
`account-id`Substitua pelo seu ID de 12 dígitos. Conta da AWS `Region`Substitua pelo Região da AWS local em que você ativou a digitalização de código do Amazon Inspector e do Lambda. Substitua `role-ARN` pelo nome do recurso da Amazon do perfil do IAM.
```
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
},
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:GenerateDataKey"
],
"Principal": {
"AWS": "role-ARN"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "inspector2.Region.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Principal": {
"AWS": "role-ARN"
},
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "inspector2.Region.amazonaws.com"
}
}
}
```
A declaração da política é formatada em JSON. Depois de incluir a declaração, revise a política para garantir a validade da sintaxe. Se a declaração for a última da política, coloque uma vírgula depois de fechar o colchete da declaração anterior. Se a declaração for a primeira ou estiver entre duas outras já existentes na política, coloque uma vírgula depois de fechar o colchete da declaração.
**nota**
O Amazon Inspector não permite mais [concessões](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para criptografar trechos de código extraídos de pacotes. Se você estiver usando uma política baseada em concessões, ainda poderá acessar suas descobertas. No entanto, se atualizar ou redefinir a chave do KMS ou desabilitar a verificação de código do Lambda, você precisará usar a política de chave do KMS descrita nesta seção.
Se você definir, atualizar ou redefinir a chave de criptografia da sua conta, deverá usar uma política de administrador do Amazon Inspector, como a política AWS gerenciada. `AmazonInspector2FullAccess`
## É possível usar uma chave gerenciada pelo cliente para criptografar um volume.
Para configurar a criptografia para sua conta usando uma chave gerenciada pelo cliente, você deve ser um administrador do Amazon Inspector com as permissões descritas em [É possível usar uma chave gerenciada pelo cliente para criptografar um volume.](#cmk-permissions). Além disso, você precisará de uma AWS KMS chave na mesma AWS região de suas descobertas ou de uma [chave multirregional](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html). Você pode usar uma chave simétrica existente em sua conta ou criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS KMS APIs Para obter mais informações, consulte [Criação de AWS KMS chaves de criptografia simétricas](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) no guia do AWS KMS usuário.
**nota**
A partir de 13 de junho de 2025, o principal de serviço nas AWS KMS solicitações registradas CloudTrail durante o trecho de código encryption/decryption está mudando de “codeguru-reviewer” para “q”.
### Usando a API do Amazon Inspector para configurar a criptografia
Para definir uma chave para criptografia, a [UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEncryptionKey.html)operação da API do Amazon Inspector enquanto estiver conectado como administrador do Amazon Inspector. Na solicitação da API, use o `kmsKeyId` campo para especificar o ARN da AWS KMS chave que você deseja usar. Para `scanType` digitar o `CODE` e para `resourceType` digitar o `AWS_LAMBDA_FUNCTION`.
Você pode usar a [UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_GetEncryptionKey.html)API para verificar qual AWS KMS chave o Amazon Inspector está usando para criptografia.
**nota**
Se você tentar `GetEncryptionKey` usar sem definir uma chave gerenciada pelo cliente, a operação retornará um `ResourceNotFoundException` erro, o que significa que uma AWS chave própria está sendo usada para criptografia.
Se excluir a chave ou alterar a política para negar acesso ao Amazon Inspector ou ao Amazon Q, você não conseguirá acessar as descobertas de vulnerabilidade de código e a verificação de código do Lambda falhará para a conta.
Você pode usar `ResetEncryptionKey` para continuar usando uma chave AWS própria para criptografar o código extraído como parte das descobertas do Amazon Inspector.
# Criptografia em trânsito
AWS criptografa todos os dados em trânsito entre sistemas AWS internos e outros AWS serviços. AWS Systems Manager reúne dados de telemetria de instâncias EC2 de propriedade do cliente que são enviados por meio de um canal protegido pelo Transport Layer Security (TLS) para AWS avaliação. As descobertas de escaneamento de funções do Amazon ECR e AWS Lambda que são enviadas ao CSPM do Security Hub são criptografadas usando um canal protegido por TLS. Para ter mais informações, consulte [Proteção de dados no Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/data-protection.html) para entender como o SSM criptografa dados em trânsito.
# Identity and Access Management para o Amazon Inspector
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (ter permissões) para usar os recursos do Amazon Inspector. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como o Amazon Inspector funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para o Amazon Inspector](security_iam_id-based-policy-examples.md)
+ [AWS políticas gerenciadas para o Amazon Inspector](security-iam-awsmanpol.md)
+ [Uso de funções vinculadas a serviço para o Amazon Inspector](using-service-linked-roles.md)
+ [Solução de problemas de identidade e acesso do Amazon Inspector](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso do Amazon Inspector](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Amazon Inspector funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para o Amazon Inspector](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como o Amazon Inspector funciona com o IAM
Antes de usar o IAM para gerenciar o acesso ao Amazon Inspector, entenda quais são os atributos do IAM que estão disponíveis para uso com o Amazon Inspector.
**Recursos do IAM que você pode usar com o Amazon Inspector**
| Recurso do IAM | Suporte do Amazon Inspector |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies) | Não |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de política (específicas do serviço)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim |
| [ACLs](#security_iam_service-with-iam-acls) | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Parcial |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Permissões de entidade principal](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Não |
| [Perfis vinculados ao serviço](#security_iam_service-with-iam-roles-service-linked) | Sim |
Para obter uma visão de alto nível de como o Amazon Inspector e Serviços da AWS outros funcionam com a maioria dos recursos do IAM, [Serviços da AWS veja esse trabalho com o IAM no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) do usuário *do IAM*.
## Políticas baseadas em identidade do Amazon Inspector
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para o Amazon Inspector
Para ver exemplos de políticas baseadas em identidade do Amazon Inspector, consulte [Exemplos de políticas baseadas em identidade para o Amazon Inspector](security_iam_id-based-policy-examples.md).
## Políticas baseadas em recursos no Amazon Inspector
**Compatibilidade com políticas baseadas em recursos:** não
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Ações de políticas para o Amazon Inspector
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista de ações do Amazon Inspector, consulte [Ações definidas pelo Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions) na *Referência de autorização do serviço*.
As ações de políticas no Amazon Inspector usam o seguinte prefixo antes da ação:
```
inspector2
```
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
```
"Action": [
"inspector2:action1",
"inspector2:action2"
]
```
Para ver exemplos de políticas baseadas em identidade do Amazon Inspector, consulte [Exemplos de políticas baseadas em identidade para o Amazon Inspector](security_iam_id-based-policy-examples.md).
## Recursos de política do Amazon Inspector
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
*Para ver uma lista dos tipos de recursos do Amazon Inspector e seus ARNs, consulte [Recursos definidos pelo Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-resources-for-iam-policies) na Referência de Autorização de Serviço.* Para saber com quais ações é possível especificar o ARN de cada recurso, consulte [Ações definidas pelo Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions).
Para ver exemplos de políticas baseadas em identidade do Amazon Inspector, consulte [Exemplos de políticas baseadas em identidade para o Amazon Inspector](security_iam_id-based-policy-examples.md).
## Chaves de condição de políticas do Amazon Inspector.
**Compatível com chaves de condição de política específicas de serviço:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista de chaves de condição do Amazon Inspector, consulte [Chaves de condição do Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-policy-keys) na *Referência de autorização do serviço*. Para saber com quais ações e recursos é possível usar a chave de condição, consulte [Ações definidas pelo Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions).
Para ver exemplos de políticas baseadas em identidade do Amazon Inspector, consulte [Exemplos de políticas baseadas em identidade para o Amazon Inspector](security_iam_id-based-policy-examples.md).
## ACLs no Amazon Inspector
**Suportes ACLs:** Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
## ABAC com o Amazon Inspector
**Compatível com ABAC (tags em políticas):** parcial
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
## Usar credenciais temporárias com o Amazon Inspector
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Permissões de entidades principais entre serviços para o Amazon Inspector
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Perfis de serviço do Amazon Inspector
**Compatível com perfis de serviço:** não
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
**Atenção**
Mudar as permissões para um perfil de serviço pode interromper a funcionalidade do Amazon Inspector. Edite perfis de serviço somente quando o Amazon Inspector fornecer orientação para isso.
## Perfis vinculados a serviço do Amazon Inspector
**Compatibilidade com perfis vinculados a serviços:** sim
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar funções vinculadas a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Função vinculada ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.
# Exemplos de políticas baseadas em identidade para o Amazon Inspector
Por padrão, usuários e funções não têm permissão para criar ou modificar recursos do Amazon Inspector. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
*Para obter detalhes sobre ações e tipos de recursos definidos pelo Amazon Inspector, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição para o Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html) na Referência de Autorização de Serviço.*
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usar o console do Amazon Inspector](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Permitir acesso somente leitura a todos os recursos do Amazon Inspector](#security_iam_id-based-policy-examples-read-only)
+ [Permitir acesso total a todos os recursos do Amazon Inspector](#security_iam_id-based-policy-examples-full-access)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Amazon Inspector na sua conta. Essas ações podem incorrer em custos para seu Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usar o console do Amazon Inspector
Para acessar o console do Amazon Inspector, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e veja detalhes sobre os recursos do Amazon Inspector em sua Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para garantir que usuários e funções ainda possam usar o console do Amazon Inspector, anexe também o Amazon `ConsoleAccess` Inspector `ReadOnly` AWS ou a política gerenciada às entidades. Para obter informações, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Permitir acesso somente leitura a todos os recursos do Amazon Inspector
Este exemplo exibe uma política que permite acesso somente de leitura a todos os recursos do Amazon Inspector.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"inspector2:Describe*",
"inspector2:Get*",
"inspector2:BatchGet*",
"inspector2:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
------
## Permitir acesso total a todos os recursos do Amazon Inspector
Este exemplo exibe uma política que permite acesso total a todos os recursos do Amazon Inspector.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "inspector2:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "inspector2.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
------
# AWS políticas gerenciadas para o Amazon Inspector
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: AmazonInspector2FullAccess\$1v2
É possível anexar a política `AmazonInspector2FullAccess_v2` às suas identidades do IAM.
Essa política garante acesso total ao Amazon Inspector e a outros serviços relacionados.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `inspector2`— Permite acesso completo ao Amazon Inspector APIs.
+ `codeguru-security`: permite que os administradores recuperem as descobertas de segurança e as configurações de uma conta.
+ `iam`: permite que o Amazon Inspector crie os perfis vinculados ao serviço `AWSServiceRoleForAmazonInspector2` e `AWSServiceRoleForAmazonInspector2Agentless`. `AWSServiceRoleForAmazonInspector2` é necessário para que o Amazon Inspector realize operações como recuperar informações sobre as instâncias do Amazon EC2, repositórios do Amazon ECR e imagens de contêiner do Amazon ECR. Também é necessário descriptografar snapshots do Amazon EBS criptografados com chaves. AWS KMS Para obter mais informações, consulte [Uso de funções vinculadas a serviço para o Amazon Inspector](using-service-linked-roles.md).
+ `organizations`— `AllowServicePrincipalBasedAccessToOrganizationApis` permite que somente diretores de serviços criem funções vinculadas a serviços Contas da AWS, registrem uma Conta da AWS como administrador delegado de uma organização e listem administradores delegados em uma organização. `AllowOrganizationalBasedAccessToOrganizationApis`permite que o detentor da apólice recupere informações, especificamente em nível de recursos ARNs, sobre uma unidade organizacional. `AllowAccountsBasedAccessToOrganizationApis`permite que o detentor da apólice recupere informações, especificamente em nível de recurso ARNs, sobre um. Conta da AWS`AllowAccessToOrganizationApis`permite que o detentor da apólice visualize informações Serviços da AWS integradas à organização e à organização. A política permite listar as políticas organizacionais do Inspector com filtragem por tipos de políticas do Inspector, visualizar as políticas de recursos de delegação estabelecidas pelas contas de gerenciamento e visualizar as políticas efetivas do Inspector aplicadas às contas.
**nota**
O Amazon Inspector não usa mais para realizar CodeGuru escaneamentos Lambda. AWS interromperá o suporte CodeGuru em 20 de novembro de 2025. Para obter mais informações, consulte [Fim do suporte para CodeGuru segurança](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html). O Amazon Inspector agora usa o Amazon Q para fazer verificações do Lambda e não exige as permissões descritas nesta seção.
Para revisar as permissões dessa política, consulte [AmazonInspector2 FullAccess \$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess_v2.html) no Guia de *referência de políticas AWS gerenciadas*.
## AWS política gerenciada: AWSInspector2OrganizationsAccess
É possível anexar a política `AWSInspector2OrganizationsAccess` às suas identidades do IAM.
Esta política concede permissões administrativas para habilitar e gerenciar o Amazon Inspector para uma organização em. AWS Organizations As permissões para esta política permitem que a conta de gerenciamento da organização designe a conta de administrador delegado para o Amazon Inspector. Elas também permitem que a conta de administrador delegado habilite outras contas da organização como sendo contas de membro.
Essa política só fornece permissões para AWS Organizations. A conta gerencial da organização e a conta de administrador delegado também exigem permissões para as ações associadas. Essas permissões podem ser concedidas usando a política gerenciada do `AmazonInspector2FullAccess_v2`.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `organizations:ListAccounts`: permite que as entidades principais recuperem a lista de contas que sejam parte de uma organização.
+ `organizations:DescribeOrganization`: permite que as entidades principais recuperem informações sobre a organização.
+ `organizations:ListRoots`: permite que as entidades principais listem a raiz de uma organização.
+ `organizations:ListDelegatedAdministrators`: permite que as entidades principais listem o administrador delegado de uma organização.
+ `organizations:ListAWSServiceAccessForOrganization`— Permite que os diretores listem o Serviços da AWS que uma organização usa.
+ `organizations:ListOrganizationalUnitsForParent`: permite que as entidades principais listem as unidades organizacionais (UO) filha de uma UO pai.
+ `organizations:ListAccountsForParent`: permite que as entidades principais listem as contas filhas de uma UO pai.
+ `organizations:ListParents`— Lista as unidades raiz ou organizacionais (OUs) que servem como mãe imediata da OU ou conta secundária especificada.
+ `organizations:DescribeAccount`: permite que as entidades principais recuperem informações sobre uma conta na organização.
+ `organizations:DescribeOrganizationalUnit`: permite que as entidades principais recuperem informações sobre uma UO na organização.
+ `organizations:ListPolicies`: recupera a lista de todas as políticas de um tipo especificado de uma organização.
+ `organizations:ListPoliciesForTarget`: lista as políticas que são anexadas diretamente à raiz do destino, unidade organizacional (UO) ou conta especificada.
+ `organizations:ListTargetsForPolicy`— Lista todas as raízes, unidades organizacionais (OUs) e contas às quais a política especificada está anexada.
+ `organizations:DescribeResourcePolicy`— Recupera informações sobre uma política de recursos.
+ `organizations:EnableAWSServiceAccess`: permite que as entidades principais habilitem a integração com o Organizations.
+ `organizations:RegisterDelegatedAdministrator`: permite que as entidades principais designem a conta de administrador delegado.
+ `organizations:DeregisterDelegatedAdministrator`: permite que as entidades principais removam a conta de administrador delegado.
+ `organizations:DescribePolicy`: recupera as informações sobre uma política.
+ `organizations:DescribeEffectivePolicy`: retorna o conteúdo da política efetiva para o tipo de política e conta especificados.
+ `organizations:CreatePolicy`— Cria uma política de um tipo específico que você pode anexar a uma raiz, a uma unidade organizacional (OU) ou a um indivíduo Conta da AWS.
+ `organizations:UpdatePolicy`: atualiza uma política existente com um novo nome, descrição ou conteúdo.
+ `organizations:DeletePolicy`: exclui a política especificada de sua organização.
+ `organizations:AttachPolicy`: anexa uma política a uma raiz, uma unidade organizacional (UO) ou uma conta individual.
+ `organizations:DetachPolicy`: desanexa uma política de uma raiz, de uma unidade organizacional (UO) ou de uma conta de destino.
+ `organizations:EnablePolicyType`: habilita um tipo de política em uma raiz.
+ `organizations:DisablePolicyType`: desabilita um tipo de política organizacional em uma raiz.
+ `organizations:TagResource`: adiciona uma ou mais tags a um recurso especificado.
+ `organizations:UntagResource`: remove todas as tags com as chaves especificadas de um recurso especificado.
+ `organizations:ListTagsForResource`: lista as tags que estão anexadas a um recurso especificado.
Para verificar as permissões para esta política, consulte [AWSInspector2OrganizationsAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSInspector2OrganizationsAccess.html) no *Guia de referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: AmazonInspector2FullAccess
É possível anexar a política `AmazonInspector2FullAccess` às suas identidades do IAM.
Essa política concede permissões administrativas ao Amazon Inspector.
**Importante**
[Para maior segurança e permissões restritivas aos diretores de serviço do Inspector 2, recomendamos que você AmazonInspector use 2 \$1v2. FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess_v2.html)
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `inspector2`: oferece acesso total à funcionalidade do Amazon Inspector.
+ `iam`: permite que o Amazon Inspector crie os perfis vinculados ao serviço `AWSServiceRoleForAmazonInspector2` e `AWSServiceRoleForAmazonInspector2Agentless`. `AWSServiceRoleForAmazonInspector2` é necessário para que o Amazon Inspector realize operações como recuperar informações sobre as instâncias do Amazon EC2, repositórios do Amazon ECR e imagens de contêiner. Também é necessário para que o Amazon Inspector analise sua rede de VPC e descreva contas associadas à sua organização. `AWSServiceRoleForAmazonInspector2Agentless` é necessário para que o Amazon Inspector realize operações como recuperar informações sobre as instâncias do Amazon EC2 e snapshots do Amazon EBS. Também é necessário descriptografar snapshots do Amazon EBS que são criptografados com chaves. AWS KMS Para obter mais informações, consulte [Uso de funções vinculadas a serviço para o Amazon Inspector](using-service-linked-roles.md).
+ `organizations`: permite que os administradores usem o Amazon Inspector para uma organização no AWS Organizations. Quando você [ativa o acesso confiável](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) para o Amazon Inspector em AWS Organizations, os membros da conta de administrador delegado podem gerenciar configurações e visualizar descobertas em toda a organização.
+ `codeguru-security`— Permite que os administradores usem o Amazon Inspector para recuperar trechos de código de informações e alterar as configurações de criptografia do código que a Segurança armazena. CodeGuru Para obter mais informações, consulte [Criptografia em repouso para código em suas descobertas](encryption-rest.md#encryption-code-snippets).
Para revisar as permissões dessa política, consulte [AmazonInspector2 FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess.html) no *Guia de referência de políticas AWS gerenciadas*.
## AWS política gerenciada: AmazonInspector2ReadOnlyAccess
É possível anexar a política `AmazonInspector2ReadOnlyAccess` às suas identidades do IAM.
Essa política concede permissões de acesso somente leitura ao Amazon Inspector.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `inspector2`: oferece acesso somente de leitura à funcionalidade do Amazon Inspector.
+ `organizations`— Permite que detalhes sobre a cobertura do Amazon Inspector para uma organização sejam AWS Organizations visualizados. Além disso, permite a visualização das políticas organizacionais do Inspector através da `ListPolicies` filtragem por tipos de políticas do Inspector, a visualização das políticas de recursos de delegação `DescribeResourcePolicy` e a visualização de políticas eficazes do Inspector aplicadas às contas através. `DescribeEffectivePolicy` Isso permite que os usuários entendam a capacitação centralizada de inspetores estabelecida por meio de políticas organizacionais sem a capacidade de modificá-las.
+ `codeguru-security`— Permite que trechos de código sejam recuperados da Segurança. CodeGuru Também permite que as configurações de criptografia do seu código armazenado em CodeGuru Segurança sejam visualizadas.
Para revisar as permissões dessa política, consulte [AmazonInspector2 ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ReadOnlyAccess.html) no *Guia de referência de políticas AWS gerenciadas*.
## AWS política gerenciada: AmazonInspector2ManagedCisPolicy
Também é possível anexar a política `AmazonInspector2ManagedCisPolicy` às suas entidades do IAM. Essa política deve ser anexada a um perfil que conceda permissões às suas instâncias do Amazon EC2 para executar verificações do CIS para a instância. Você pode usar uma função do IAM para gerenciar credenciais temporárias para aplicativos que estão sendo executados em uma instância do EC2 e fazendo solicitações AWS CLI de AWS API. É preferível fazer isso a armazenar chaves de acesso na instância do EC2. Para atribuir uma AWS função a uma instância do EC2 e disponibilizá-la para todos os seus aplicativos, você cria um perfil de instância anexado à instância. Um perfil de instância contém o perfil e permite que os programas em execução na instância do EC2 obtenham credenciais temporárias. Para mais informações, consulte [Utilizar um perfil do IAM para conceder permissões a aplicações em execução nas instâncias do Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) no *Guia do usuário do IAM*.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `inspector2`: permite acesso às ações usadas para executar verificações do CIS.
Para revisar as permissões dessa política, consulte [AmazonInspector2 ManagedCisPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ManagedCisPolicy.html) no *Guia de referência de políticas AWS gerenciadas*.
## AWS política gerenciada: AmazonInspector2ServiceRolePolicy
Não é possível anexar a política `AmazonInspector2ServiceRolePolicy` às suas entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Amazon Inspector realize ações em seu nome. Para obter mais informações, consulte [Uso de funções vinculadas a serviço para o Amazon Inspector](using-service-linked-roles.md).
## AWS política gerenciada: AmazonInspector2AgentlessServiceRolePolicy
Não é possível anexar a política `AmazonInspector2AgentlessServiceRolePolicy` às suas entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Amazon Inspector realize ações em seu nome. Para obter mais informações, consulte [Uso de funções vinculadas a serviço para o Amazon Inspector](using-service-linked-roles.md).
## AWS política gerenciada: AmazonInspector2ManagedTelemetryPolicy
Também é possível anexar a política `AmazonInspector2ManagedTelemetryPolicy` às suas entidades do IAM. Essa política concede permissões para operações de telemetria do Amazon Inspector, permitindo que o serviço colete e transmita dados de inventário de pacotes para verificação de vulnerabilidades.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `inspector2-telemetry`— Permite acesso a ações para transmissão de dados de inventário de pacotes.
Para ver mais detalhes sobre a política, incluindo a versão mais recente do documento de política JSON, consulte [AmazonInspector2 ManagedTelemetryPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ManagedTelemetryPolicy.html) no *Guia de referência de políticas AWS gerenciadas*.
## Atualizações do Amazon Inspector para AWS políticas gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Inspector desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre mudanças nesta página, assine o feed RSS na página [Histórico de documentos](doc-history.md) do Amazon Inspector.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSInspector2OrganizationsAccess](#security-iam-awsmanpol-AWSInspector2OrganizationsAccess) – Nova política | O Amazon Inspector adicionou uma nova política gerenciada que concede as permissões necessárias para habilitar e gerenciar o Amazon AWS Organizations Inspector por meio de políticas. | 3 de março de 2026 |
| [AmazonInspector2 ManagedTelemetryPolicy](#security-iam-awsmanpol-AmazonInspector2ManagedTelemetryPolicy) — Nova política | O Amazon Inspector adicionou uma nova política gerenciada que concede permissões para operações de telemetria do Amazon Inspector, permitindo que o serviço colete e transmita dados de inventário de pacotes para verificação de vulnerabilidades. | 5 de fevereiro de 2026 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/slr-permissions.html) — Atualizações em uma política existente | O Amazon Inspector adicionou uma nova permissão que permite ao Amazon Inspector descrever metadados de firewall para análise de acessibilidade da rede. Além disso, o Amazon Inspector adicionou um escopo adicional de recursos para permitir que o Amazon Inspector crie, atualize e inicie associações de SSM com documentos de SSM. `AWS-ConfigureAWSPackage` | 3 de fevereiro de 2026 |
| [AmazonInspector2 FullAccess \$1v2 e [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess)](#security-iam-awsmanpol-AmazonInspector2FullAccessV2) — Atualizações das políticas existentes | O Amazon Inspector adicionou novas permissões, permitindo que os detentores da apólice visualizem as políticas organizacionais e as configurações de delegação do Inspector. Isso suporta o gerenciamento centralizado e a visibilidade da capacitação AWS Organizations do Inspector por meio de políticas. | 14 de novembro de 2025 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/slr-permissions.html) — Atualizações em uma política existente | O Amazon Inspector adicionou novas permissões, permitindo que a política do Amazon AWS Organizations Inspector imponha a ativação e desativação do Amazon Inspector. | 10 de novembro de 2025 |
| [AmazonInspector2 FullAccess \$1v2 — Nova](#security-iam-awsmanpol-AmazonInspector2FullAccessV2) política | O Amazon Inspector adicionou uma nova política gerenciada que concede acesso total ao Amazon Inspector e a outros serviços relacionados. | 03 de julho de 2025 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Atualizações em uma política existente | O Amazon Inspector adicionou uma nova permissão que permite ao Amazon Inspector descrever endereços IP e gateways da internet. | 29 de abril de 2025 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Atualizações em uma política existente | O Amazon Inspector adicionou novas permissões que concedem acesso somente leitura às ações do Amazon ECS e do Amazon EKS. | 25 de março de 2025 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Atualizações em uma política existente | O Amazon Inspector adicionou novas permissões para que o Amazon Inspector retorne etiquetas de funções no AWS Lambda. | 31 de julho de 2024 |
| [AmazonInspector2 FullAccess](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2FullAccess) — Atualizações em uma política existente | O Amazon Inspector adicionou permissões para que o Amazon Inspector crie o perfil vinculado ao serviço `AWSServiceRoleForAmazonInspector2Agentless`. Isso permite que os usuários realizem [verificações baseadas em agente](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agent-based) e [verificações sem agente](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agentless) quando habilitam o Amazon Inspector. | 24 de abril de 2024 |
| [AmazonInspector2 ManagedCisPolicy](#security-iam-awsmanpol-AmazonInspector2ManagedCisPolicy) — Nova política | O Amazon Inspector adicionou uma nova política gerenciada que você pode usar como parte de um perfil de instância para permitir verificações do CIS em uma instância. | 23 de janeiro de 2024 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Atualizações em uma política existente | O Amazon Inspector adicionou novas permissões para que o Amazon Inspector inicie verificações do CIS em instâncias de destino. | 23 de janeiro de 2024 |
| [AmazonInspector2 AgentlessServiceRolePolicy](using-service-linked-roles.md) — Nova política | O Amazon Inspector adicionou uma nova política de função vinculada ao serviço para permitir a verificação sem agente da instância do EC2. | 27 de novembro de 2023 |
| [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Atualizações em uma política existente | O Amazon Inspector adicionou novas permissões que permitem que usuários somente de leitura recuperem detalhes de inteligência de vulnerabilidade para descobertas de vulnerabilidades de pacotes. | 22 de setembro de 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Atualizações em uma política existente | O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector verifique as configurações de rede das instâncias do Amazon EC2 que fazem parte dos grupos-alvo do Elastic Load Balancing. | 31 de agosto de 2023 |
| [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Atualizações em uma política existente | O Amazon Inspector adicionou novas permissões que permitem que usuários somente para leitura exportem a SBOM (Lista de Materiais de Software) para seus recursos. | 29 de junho de 2023 |
| [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Atualizações em uma política existente | O Amazon Inspector adicionou novas permissões que permitem que usuários somente de leitura recuperem detalhes das configurações de criptografia das descobertas da digitalização de código Lambda em suas contas. | 13 de junho de 2023 |
| [AmazonInspector2 FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) — Atualizações em uma política existente | O Amazon Inspector adicionou novas permissões que permitem aos usuários configurar uma chave KMS gerenciada pelo cliente para criptografar o código nas descobertas da digitalização de código Lambda. | 13 de junho de 2023 |
| [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Atualizações em uma política existente | O Amazon Inspector adicionou novas permissões que permitem que usuários somente de leitura recuperem detalhes do status e descobertas da verificação de código Lambda para sua conta. | 2 de maio de 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Atualizações em uma política existente | O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector AWS CloudTrail crie canais vinculados a serviços em sua conta quando você ativa a digitalização Lambda. Isso permite que o Amazon Inspector monitore CloudTrail eventos em sua conta. | 30 de abril de 2023 |
| [AmazonInspector2 FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) — Atualizações em uma política existente | O Amazon Inspector adicionou novas permissões que permitem que usuários recuperem detalhes de descobertas de vulnerabilidade de código da verificação de código Lambda. | 21 de abril de 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Atualizações em uma política existente | O Amazon Inspector adicionou novas permissões para que o Amazon Inspector envie informações ao Amazon EC2 Systems Manager sobre os caminhos personalizados que um cliente definiu para a inspeção profunda do Amazon EC2. | 17 de abril de 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Atualizações em uma política existente | O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector AWS CloudTrail crie canais vinculados a serviços em sua conta quando você ativa a digitalização Lambda. Isso permite que o Amazon Inspector monitore CloudTrail eventos em sua conta. | 30 de abril de 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Atualizações em uma política existente | O Amazon Inspector adicionou novas permissões que permitem que o Amazon Inspector solicite escaneamentos do código do desenvolvedor AWS Lambda em funções e receba dados de escaneamento da Amazon Security. CodeGuru Além disso, o Amazon Inspector adicionou permissões para examinar as políticas do IAM. O Amazon Inspector usa essas informações para verificar as vulnerabilidades do código nas funções do Lambda. | 28 de fevereiro de 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Atualizações em uma política existente | O Amazon Inspector adicionou uma nova declaração que permite ao Amazon Inspector recuperar informações sobre quando AWS Lambda uma função foi invocada CloudWatch pela última vez. O Amazon Inspector usa essas informações para focar as varreduras nas funções do lambda em seu ambiente que estiveram ativas nos últimos 90 dias. | 20 de fevereiro de 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Atualizações em uma política existente | O Amazon Inspector adicionou uma nova declaração que permite ao Amazon Inspector recuperar informações AWS Lambda sobre funções, incluindo cada versão de camada associada a cada função. O Amazon Inspector usa essas informações para verificar se há vulnerabilidades de segurança nas funções do Lambda. | 28 de novembro de 2022 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Atualizações em uma política existente | O Amazon Inspector adicionou uma nova ação para permitir que o Amazon Inspector descreva execuções de associação do SSM. Além disso, o Amazon Inspector também adicionou um escopo adicional de recursos para permitir que o Amazon Inspector crie, atualize, exclua e inicie associações do SSM com documentos do SSM de propriedade do `AmazonInspector2`. | 31 de agosto de 2022 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) Atualizações em uma política existente | O Amazon Inspector atualizou o escopo dos recursos da política para permitir que o Amazon Inspector colete inventário de software em outras partições. AWS | 12 de agosto de 2022 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Atualizações em uma política existente | O Amazon Inspector estruturou novamente o escopo dos recursos das ações, permitindo que o Amazon Inspector crie, exclua e atualize associações de SSM. | 10 de agosto de 2022 |
| [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Nova política | O Amazon Inspector adicionou uma nova política para permitir acesso somente leitura à funcionalidade do Amazon Inspector. | 21 de janeiro de 2022 |
| [AmazonInspector2 FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) — Nova política | O Amazon Inspector adicionou uma nova política para permitir acesso total à funcionalidade do Amazon Inspector. | 29 de novembro de 2021 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Nova política | O Amazon Inspector adicionou uma nova política para permitir que o Amazon Inspector execute ações em outros serviços em seu nome. | 29 de novembro de 2021 |
| O Amazon Inspector passou a monitorar alterações | O Amazon Inspector começou a rastrear alterações em suas políticas AWS gerenciadas. | 29 de novembro de 2021 |
# Uso de funções vinculadas a serviço para o Amazon Inspector
O Amazon Inspector usa uma função [vinculada ao serviço AWS Identity and Access Management (IAM) chamada](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). `AWSServiceRoleForAmazonInspector2` Perfil vinculado a serviço é um tipo especial de perfil do IAM que é vinculado diretamente ao Amazon Inspector. É predefinido pelo Amazon Inspector e inclui todas as permissões que o Amazon Inspector exige para ligar Serviços da AWS para outras pessoas em seu nome.
O perfil vinculado a serviço facilita a configuração do Amazon Inspector porque você não precisa adicionar as permissões necessárias manualmente. O Amazon Inspector define as permissões dos perfis vinculados a serviço e, exceto se definido de outra forma, somente o Amazon Inspector pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
É necessário configurar permissões para que uma entidade do IAM (por exemplo, um grupo ou perfil) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*. Você pode excluir uma função vinculada ao serviço somente depois de excluir seus recursos relacionados. Isso protege seus recursos do Amazon Inspector, pois você não pode remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para revisar a documentação da função vinculada a esse serviço.
# Permissões de perfil vinculado a serviço para o Amazon Inspector.
O Amazon Inspector usa a política gerenciada chamada [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html). Essa função vinculada a serviço confia no serviço `inspector2.amazonaws.com` para assumir a função.
A política de permissões do perfil, que é chamada de [https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy), permite que o Amazon Inspector execute tarefas como:
+ Use ações do Amazon Elastic Compute Cloud (Amazon EC2) para recuperar informações sobre instâncias e caminhos de rede.
+ Use AWS Systems Manager ações para recuperar o inventário de suas instâncias do Amazon EC2 e para recuperar informações sobre pacotes de terceiros a partir de caminhos personalizados.
+ Use a AWS Systems Manager `SendCommand` ação para invocar escaneamentos do CIS para instâncias de destino.
+ Use as ações do Amazon Elastic Container Registry para recuperar informações sobre suas imagens de contêiner.
+ Use AWS Lambda ações para recuperar informações sobre suas funções do Lambda.
+ Use AWS Organizations ações para descrever contas associadas.
+ Use CloudWatch ações para recuperar informações sobre a última vez em que suas funções do Lambda foram invocadas.
+ Use ações selecionadas do IAM para recuperar informações sobre as políticas do IAM que poderiam criar vulnerabilidades de segurança no código do Lambda.
+ Use as ações do Amazon Q para fazer verificações de código nas funções do Lambda. O Amazon Inspector usa as seguintes ações do Amazon Q:
+ codeguru-security: CreateScan — Concede permissão para criar o Amazon Q; scan.
+ codeguru-security: GetScan — Concede permissão para recuperar metadados do Amazon Q scan.
+ codeguru-security: ListFindings — Concede permissão para recuperar descobertas geradas pelo Amazon Q.
+ codeguru-security: DeleteScansByCategory — Concede permissão para o Amazon Q excluir escaneamentos iniciados pelo Amazon Inspector.
+ codeguru-security: BatchGetFindings — Concede permissão para recuperar um lote de descobertas específicas geradas pelo Amazon Q.
+ Use ações selecionadas do Elastic Load Balancing para realizar varreduras de rede de instâncias do EC2 que fazem parte dos grupos-alvo do Elastic Load Balancing.
+ Use as ações do Amazon ECS e do Amazon EKS para conceder acesso somente leitura para visualizar clusters e tarefas e descrever tarefas.
+ Use AWS Organizations ações para listar administradores delegados para o Amazon Inspector em todas as organizações.
+ Use as ações do Amazon Inspector para ativar e desativar o Amazon Inspector em todas as organizações.
+ Use as ações do Amazon Inspector para designar contas de administrador delegado e associar contas de membros em todas as organizações.
**nota**
O Amazon Inspector não usa mais para realizar CodeGuru escaneamentos Lambda. AWS interromperá o suporte CodeGuru em 20 de novembro de 2025. Para obter mais informações, consulte [Fim do suporte para CodeGuru segurança](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html). O Amazon Inspector agora usa o Amazon Q para fazer verificações do Lambda e não exige as permissões descritas nesta seção.
Para revisar as permissões dessa política, consulte [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html) no *Guia de referência de políticas AWS gerenciadas*.
## Criação de um perfil vinculado a serviço para Amazon Inspector
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você ativa o Amazon Inspector na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o Amazon Inspector cria a função vinculada ao serviço para você.
## Editar um perfil vinculado a serviço do Amazon Inspector
O Amazon Inspector não permite que você edite a função vinculada ao serviço do `AWSServiceRoleForAmazonInspector2`. Após a criação da função vinculada a serviços, você não poderá alterar o nome da função, pois várias entidades podem fazer referência à função. No entanto, será possível editar a descrição da função usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluir um perfil vinculado a serviço do Amazon Inspector
Se você não precisa mais usar o Amazon Inspector, recomendamos que exclua a função vinculada a serviço do `AWSServiceRoleForAmazonInspector2`. Antes de excluir a função, você deve desativar o Amazon Inspector em Região da AWS cada local em que ela estiver ativada. Quando o Amazon Inspector é desativado, ele não exclui a função para você. Portanto, se você ativar o Amazon Inspector novamente, ele poderá usar a função existente. Dessa forma, você evita ter uma entidade não utilizada que não seja monitorada ou mantida ativamente. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
Se você excluir essa função vinculada ao serviço e precisar criá-la novamente, poderá usar esse mesmo processo para recriar a função em sua conta. Ao ativar o Amazon Inspector, ele cria novamente a função vinculada ao serviço para você.
**nota**
Se o serviço do Amazon Inspector estiver usando o perfil quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente fazer a operação novamente.
Você pode usar o console do IAM AWS CLI, o ou a AWS API para excluir a função `AWSServiceRoleForAmazonInspector2` vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
# Permissões de perfil vinculadas ao serviço para verificações sem agente do Amazon Inspector
A verificação sem agente do Amazon Inspector usa o perfil vinculado ao serviço chamada `AWSServiceRoleForAmazonInspector2Agentless`. Essa SLR permite que o Amazon Inspector crie um snapshot de volume do Amazon EBS na conta e acesse os dados desse snapshot. Essa função vinculada a serviços confia no serviço `agentless.inspector2.amazonaws.com` para assumir a função.
**Importante**
As instruções neste perfil vinculada ao serviço evitam que o Amazon Inspector execute verificações sem agente em qualquer instância do EC2 que você tenha excluído das verificações usando a tag `InspectorEc2Exclusion`. Além disso, as instruções impedem que o Amazon Inspector acesse dados criptografados de um volume quando a chave KMS usada para criptografá-lo tiver a tag `InspectorEc2Exclusion`. Para obter mais informações, consulte [Excluir instâncias das verificações do Amazon Inspector](scanning-ec2.md#exclude-ec2).
A política de permissões para a função, que é chamada de `AmazonInspector2AgentlessServiceRolePolicy`, permite que o Amazon Inspector execute tarefas como:
+ Use ações do Amazon Elastic Compute Cloud (Amazon EC2) para recuperar informações sobre instâncias, volumes e snapshots do EC2.
+ Use ações de marcação do Amazon EC2 para marcar snapshots para verificações com a chave de tag `InspectorScan`.
+ Use ações de snapshot do Amazon EC2 para criar snapshots, marcá-los com a chave de tag `InspectorScan` e, em seguida, excluir snapshots de volumes do Amazon EBS que foram marcados com a chave de tag `InspectorScan`.
+ Use ações do Amazon EBS para recuperar informações de snapshots marcados com a chave de tag `InspectorScan`.
+ Use ações de AWS KMS descriptografia selecionadas para descriptografar instantâneos criptografados com chaves gerenciadas pelo cliente. AWS KMS O Amazon Inspector não descriptografa snapshots quando a chave KMS usada para criptografá-los é marcada com a tag `InspectorEc2Exclusion`.
A função está configurada com a seguinte política de permissões:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InstanceIdentification",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Sid": "GetSnapshotData",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/InspectorScan": "*"
}
}
},
{
"Sid": "CreateSnapshotsAnyInstanceOrVolume",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Sid": "DenyCreateSnapshotsOnExcludedInstances",
"Effect": "Deny",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/InspectorEc2Exclusion": "true"
}
}
},
{
"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "InspectorScan"
}
}
},
{
"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"ec2:CreateAction": "CreateSnapshots"
},
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "InspectorScan"
}
}
},
{
"Sid": "DeleteOnlySnapshotsTaggedForScanning",
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/InspectorScan": "*"
}
}
},
{
"Sid": "DenyKmsDecryptForExcludedKeys",
"Effect": "Deny",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/InspectorEc2Exclusion": "true"
}
}
},
{
"Sid": "DecryptSnapshotBlocksVolContext",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com",
"kms:EncryptionContext:aws:ebs:id": "vol-*"
}
}
},
{
"Sid": "DecryptSnapshotBlocksSnapContext",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com",
"kms:EncryptionContext:aws:ebs:id": "snap-*"
}
}
},
{
"Sid": "DescribeKeysForEbsOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com"
}
}
},
{
"Sid": "ListKeyResourceTags",
"Effect": "Allow",
"Action": "kms:ListResourceTags",
"Resource": "arn:aws:kms:*:*:key/*"
}
]
}
```
------
## Criar um perfil vinculado ao serviço para verificação sem agente
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você ativa o Amazon Inspector na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o Amazon Inspector cria a função vinculada ao serviço para você.
## Editar um perfil vinculado ao serviço para verificação sem agente
O Amazon Inspector não permite que você edite a função vinculada ao serviço do `AWSServiceRoleForAmazonInspector2Agentless`. Após a criação da função vinculada a serviços, você não poderá alterar o nome da função, pois várias entidades podem fazer referência à função. No entanto, será possível editar a descrição da função usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluir um perfil vinculado ao serviço para verificação sem agente
Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida.
**Importante**
Para excluir o perfil `AWSServiceRoleForAmazonInspector2Agentless`, você deve definir o modo de verificação baseado em agente em todas as regiões onde a verificação sem agente está disponível.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função vinculada ao serviço AWSService RoleForAmazonInspector 2Agentless. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
# Solução de problemas de identidade e acesso do Amazon Inspector
Use as informações a seguir para ajudar a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com o Amazon Inspector e o IAM.
**Topics**
+ [Não tenho autorização para executar uma ação no Amazon Inspector](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas de fora da minha acessem meus Conta da AWS recursos do Amazon Inspector](#security_iam_troubleshoot-cross-account-access)
## Não tenho autorização para executar uma ação no Amazon Inspector
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `my-example-widget` fictício, mas não tem as permissões `inspector2:GetWidget` fictícias.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: inspector2:GetWidget on resource: my-example-widget
```
Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `my-example-widget` usando a ação `inspector2:GetWidget`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Não estou autorizado a realizar iam: PassRole
Caso receba uma mensagem de erro informando que você não tem autorização para executar a ação, `iam:PassRole` as políticas deverão ser atualizadas para permitir a transmissão de um perfil para o Amazon Inspector.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O erro exemplificado a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para executar uma ação no Amazon Inspector. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas de fora da minha acessem meus Conta da AWS recursos do Amazon Inspector
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Amazon Inspector é compatível com esses recursos, consulte [Como o Amazon Inspector funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Monitorar o Amazon Inspector
O monitoramento é uma parte importante da manutenção da disponibilidade, confiabilidade e desempenho do Amazon Inspector e de outras AWS soluções. AWS fornece ferramentas para monitorar o Amazon Inspector, relatar problemas que ocorrem e tomar medidas para remediar esses problemas:
+ EventBridgeA [Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) é um AWS serviço que usa eventos para conectar componentes do aplicativo, facilitando a criação de aplicativos escaláveis orientados por eventos. EventBridge fornece um fluxo de dados em tempo real de seus aplicativos, aplicativos Software-as-a-Service (SaaS), AWS serviços e rotas, para que você possa monitorar eventos que acontecem nos serviços e criar arquiteturas orientadas por eventos.
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)é um AWS serviço que captura chamadas de API e eventos relacionados feitos por ou em nome de você Conta da AWS. CloudTrail entrega os arquivos de log em um bucket do Amazon S3 que você especifica, para que você possa identificar quais usuários e contas ligaram AWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram.
# Registrando chamadas de API do Amazon Inspector usando AWS CloudTrail
O Amazon Inspector é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário ou função do IAM, ou um AWS service (Serviço da AWS), no Amazon Inspector. CloudTrail captura todas as chamadas de API para o Amazon Inspector como eventos. As chamadas capturadas incluem as chamadas do console do Amazon Inspector e as chamadas de código para as operações da API do Amazon Inspector. Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para o Amazon Inspector. Se não configurar uma trilha, você ainda poderá visualizar os eventos mais recentes no console do CloudTrail em **Event history**. Usando as informações coletadas por CloudTrail, você pode determinar:
+ A solicitação feita ao Amazon Inspector.
+ O endereço IP do qual a solicitação foi feita.
+ Quem fez a solicitação.
+ Quando a solicitação foi feita.
Para saber mais sobre isso CloudTrail, consulte o *[Guia AWS CloudTrail do usuário](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)*.
## Informações do Amazon Inspector em CloudTrail
CloudTrail é ativado no seu Conta da AWS quando você cria a conta. **Quando a atividade ocorre no Amazon Inspector, essa atividade é registrada em um CloudTrail evento junto com outros AWS service (Serviço da AWS) eventos no histórico de eventos.** Você pode visualizar, pesquisar e baixar eventos recentes no seu Conta da AWS. Para obter mais informações, consulte [Visualização de eventos com histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para um registro contínuo de eventos em seu Conta da AWS, incluindo eventos para o Amazon Inspector, crie uma trilha. Uma *trilha* permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as Regiões da AWS. A trilha registra eventos de todas as regiões na partição da AWS e entrega os arquivos de log no bucket do Amazon S3 que você especifica. Além disso, você pode configurar outros Serviços da AWS para analisar e agir com base nos dados do evento coletados nos CloudTrail registros. Para saber mais, consulte os seguintes tópicos:
+ [Visão geral da criação de uma trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail serviços e integrações suportados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Configurar notificações do Amazon SNS para o CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Recebendo arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ [Recebendo arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)
Todas as ações do Amazon Inspector são registradas por. CloudTrail Todas as ações que o Amazon Inspector pode realizar estão documentadas na [Referência da API do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/APIReference/). Por exemplo, as chamadas para as ações `CreateFindingsReport`, `ListCoverage` e `UpdateOrganizationConfiguration` geram entradas nos arquivos de log do CloudTrail .
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:
+ Se a solicitação foi feita com credenciais de usuário raiz ou de usuário do IAM.
+ Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS service (Serviço da AWS).
Para obter mais informações, consulte [Elemento userIdentity do CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Noções básicas sobre entradas de arquivos de log do Amazon Inspector
Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma solicitação única de qualquer fonte. Os eventos incluem informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, eles não aparecem em nenhuma ordem específica.
## Amazon Inspector Digitalize informações em CloudTrail
O Amazon Inspector Scan está integrado com o. CloudTrail Todas as operações da API Amazon Inspector Scan são registradas como eventos de gerenciamento. Para obter uma lista das operações da API do Amazon Inspector Scan nas quais o Amazon Inspector se CloudTrail registra, consulte Amazon [Inspector Scan na Referência da API do Amazon Inspector](https://docs.aws.amazon.com/inspector/v2/APIReference/API_Operations_Inspector_Scan.html).
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `ScanSbom` ação:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:akua_mansa",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/akua_mansa",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-10-17T15:22:59Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-10-17T16:02:34Z",
"eventSource": "gamma-inspector-scan.amazonaws.com",
"eventName": "ScanSbom",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.0",
"userAgent": "aws-sdk-java/2.20.162 Mac_OS_X/13.5.2 OpenJDK_64-Bit_Server_VM/17.0.8+7-LTS Java/17.0.8 vendor/Amazon.com_Inc. io/sync http/UrlConnection cfg/retry-mode/legacy",
"requestParameters": {
"sbom": {
"specVersion": "1.5",
"metadata": {
"component": {
"name": "debian",
"type": "operating-system",
"version": "9"
}
},
"components": [
{
"name": "packageOne",
"purl": "pkg:deb/debian/packageOne@1.0.0?arch=x86_64&distro=9",
"type": "application"
}
],
"bomFormat": "CycloneDX"
}
},
"responseElements": null,
"requestID": "f041a27f-f33e-4f70-b09b-5fbc5927282a",
"eventID": "abc8d1e4-d214-4f07-bc56-8a31be6e36fe",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# Validação de conformidade do Amazon Inspector
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [documentação AWS de segurança](https://docs.aws.amazon.com/security/).
# Resiliência no Amazon Inspector
A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. Regiões da AWS fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
# Segurança da infraestrutura no Amazon Inspector
Como um serviço gerenciado, o Amazon Inspector é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar o Amazon Inspector pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
# Resposta a incidentes no Amazon Inspector
A segurança é a maior prioridade na AWS. Conforme mencionado no [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model) em “Segurança da nuvem”, AWS é responsável por proteger a infraestrutura que executa todos os serviços na AWS nuvem. AWS também é responsável por qualquer resposta a incidentes associada ao serviço Amazon Inspector.
Como AWS cliente, você compartilha a responsabilidade de manter a segurança na AWS nuvem. Isso significa que você controla a segurança que você escolhe implementar, que inclui todas as AWS ferramentas e recursos que você acessa. Além disso, você é responsável pela resposta a incidentes do seu lado do modelo de responsabilidade compartilhada.
Ao estabelecer uma linha de base de segurança que atenda a todos os objetivos de seus aplicativos em execução na AWS nuvem, você pode detectar desvios aos quais pode responder. Como a resposta a incidentes é um tópico complexo, analise os seguintes recursos para entender melhor o impacto da resposta a incidentes e como suas escolhas podem influenciar suas metas corporativas: [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html), [AWS Security Best Practices](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc) e [AWS Cloud Adoption Framework: Security Perspective](https://d1.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf).
# Acesso ao Amazon Inspector usando um endpoint de interface (AWS PrivateLink)
Você pode usar AWS PrivateLink para criar uma conexão privada entre sua VPC e o Amazon Inspector. Você pode acessar o Amazon Inspector como se estivesse em sua VPC, sem o uso de um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect As instâncias na VPC não precisam de endereços IP públicos para acessar o Amazon Inspector.
Estabeleça essa conectividade privada criando um *endpoint de interface*, habilitado pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Essas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao Amazon Inspector.
Para obter mais informações, consulte [Acesso Serviços da AWS por meio AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) do *AWS PrivateLink Guia*.
## Considerações sobre o Amazon Inspector
Antes de configurar um endpoint de interface para o Amazon Inspector, analise as [Considerações](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) no *Guia do AWS PrivateLink *.
O Amazon Inspector permite fazer chamadas para todas as suas ações de API por meio do endpoint da interface.
As políticas de endpoint da VPC não são compatíveis com o Amazon Inspector. Por padrão, o acesso total ao Amazon Inspector é permitido por meio do endpoint de interface. Ou então, você pode associar um grupo de segurança às interfaces de rede de endpoint para controlar o tráfego para o Amazon Inspector por meio do endpoint de interface.
## Criar um endpoint de interface para o Amazon Inspector
Você pode criar um endpoint de interface para o Amazon Inspector usando o console Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) no *Guia do usuário do AWS PrivateLink *.
Ao criar um endpoint de interface para o Amazon Inspector, use um dos seguintes nomes de serviço:
```
com.amazonaws.region.inspector2
```
```
com.amazonaws.region.inspector-scan
```
*region*Substitua pelo Região da AWS código aplicável Região da AWS.
Se você habilitar o DNS privado para o endpoint da interface, poderá fazer solicitações de API para o Amazon Inspector usando seu nome DNS regional padrão, por exemplo, `service-name.us-east-1.amazonaws.com ` ou `service-name.us-east-1.api.aws.com` para Leste dos EUA (Norte da Virgínia).