Permissões de perfil vinculado a serviço para o Amazon Inspector.

O Amazon Inspector usa a política gerenciada chamada AWSServiceRoleForAmazonInspector2. Essa função vinculada a serviço confia no serviço inspector2.amazonaws.com para assumir a função.

A política de permissões do perfil, que é chamada de AmazonInspector2ServiceRolePolicy, permite que o Amazon Inspector execute tarefas como:

Use ações do Amazon Elastic Compute Cloud (Amazon EC2) para recuperar informações sobre instâncias e caminhos de rede.
Use ações do AWS Systems Manager para recuperar o inventário das instâncias do Amazon EC2 e para recuperar informações sobre pacotes de terceiros a partir de caminhos personalizados.
Use a ação SendCommand do AWS Systems Manager para invocar verificações do CIS para instâncias de destino.
Use as ações do Amazon Elastic Container Registry para recuperar informações sobre suas imagens de contêiner.
Use ações do AWS Lambda para recuperar informações sobre funções e tags do Lambda.
Use ações do AWS Organizations para descrever contas associadas.
Use as ações do CloudWatch para recuperar informações sobre a última vez que as funções do Lambda foram invocadas.
Use ações selecionadas do IAM para recuperar informações sobre as políticas do IAM que poderiam criar vulnerabilidades de segurança no código do Lambda.
Use as ações do Amazon Q para fazer verificações de código nas funções do Lambda. O Amazon Inspector usa as seguintes ações do Amazon Q:
- codeguru-security:CreateScan: concede permissão para criar uma verificação do Amazon Q.
- codeguru-security:GetScan: concede permissão para recuperar metadados de verificação do Amazon Q.
- codeguru-security:ListFindings: concede permissão para recuperar descobertas geradas pelo Amazon Q.
- codeguru-security:DeleteScansByCategory: concede permissão para o Amazon Q excluir escaneamentos iniciados pelo Amazon Inspector.
- codeguru-security:BatchGetFindings: concede permissão para recuperar em lote descobertas específicas geradas pelo Amazon Q.
Use ações selecionadas do Elastic Load Balancing para realizar varreduras de rede de instâncias do EC2 que fazem parte dos grupos-alvo do Elastic Load Balancing.
Use as ações do Amazon ECS e do Amazon EKS para conceder acesso somente leitura para visualizar clusters e tarefas e descrever tarefas.
Use ações do AWS Organizations para listar administradores delegados para o Amazon Inspector em todas as organizações.
Use as ações do Amazon Inspector para ativar e desativar o Amazon Inspector em todas as organizações.
Use as ações do Amazon Inspector para designar contas de administrador delegado e associar contas de membros em todas as organizações.

nota

O Amazon Inspector não usa mais o CodeGuru para fazer verificações do Lambda. A AWS interromperá o suporte ao CodeGuru em 20 de novembro de 2025. Consulte mais informações em Fim do suporte para o CodeGuru Security. O Amazon Inspector agora usa o Amazon Q para fazer verificações do Lambda e não exige as permissões descritas nesta seção.

Para revisar as permissões dessa política, consulte AmazonInspector2ServiceRolePolicy no Guia de referência de políticas gerenciadas pela AWS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Uso de perfis vinculados ao serviço

Permissões de perfil vinculadas ao serviço para verificações sem agente do Amazon Inspector