Amazon Inspector 的服务相关角色权限

Amazon Inspector 使用名为 AWSServiceRoleForAmazonInspector2 的托管式策略。该服务相关角色信任 inspector2.amazonaws.com 服务担任该角色。

该角色的权限策略名为 AmazonInspector2ServiceRolePolicy，允许 Amazon Inspector 执行以下任务：

使用 Amazon Elastic Compute Cloud (Amazon EC2) 操作检索有关实例和网络路径的信息。
使用 AWS Systems Manager 操作从您的 Amazon EC2 实例中检索清单，并从自定义路径中检索有关第三方程序包的信息。
使用 AWS Systems Manager SendCommand 操作调用目标实例的 CIS 扫描。
使用 Amazon Elastic Container Registry 操作检索有关您的容器映像的信息。
使用 AWS Lambda 操作检索有关 Lambda 函数的信息。
使用 AWS Organizations 操作描述关联账户。
使用 CloudWatch 操作检索有关上次调用 Lambda 函数的信息。
使用“选择 IAM”操作检索可能在您的 Lambda 代码中造成安全漏洞的 IAM policy 的相关信息。
使用 Amazon Q 操作对您的 Lambda 函数中的代码执行扫描。Amazon Inspector 使用以下 Amazon Q 操作：
- codeguru-security:CreateScan – 授予创建 Amazon Q 扫描的权限。
- codeguru-security:GetScan – 授予检索 Amazon Q 扫描元数据的权限。
- codeguru-security:ListFindings – 授予检索由 Amazon Q 生成的扫描结果的权限。
- codeguru-security:DeleteScansByCategory – 授予 Amazon Q 删除由 Amazon Inspector 发起的扫描的权限。
- codeguru-security:BatchGetFindings – 授予检索一批由 Amazon Q 生成的特定扫描结果的权限。
使用“选择 Elastic Load Balancing”操作对属于 Elastic Load Balancing 目标组的 EC2 实例执行网络扫描。
使用 Amazon ECS 和 Amazon EKS 操作允许进行只读访问，以查看集群和任务并描述任务。
使用 AWS Organizations 操作可跨组织列出 Amazon Inspector 委派管理员。
使用 Amazon Inspector 操作可跨组织启用和禁用 Amazon Inspector。
使用 Amazon Inspector 操作可跨组织指定委派管理员账户并关联成员账户。

注意

Amazon Inspector 不再使用 CodeGuru 执行 Lambda 扫描。AWS 将于 2025 年 11 月 20 日终止对 CodeGuru 的支持。有关更多信息，请参阅终止支持 CodeGuru Security。Amazon Inspector 现在使用 Amazon Q 执行 Lambda 扫描，不需要本节中描述的权限。

要查看此策略的权限，请参阅《AWS 托管式策略参考指南》中的 AmazonInspector2ServiceRolePolicy。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

使用服务相关角色

Amazon Inspector 无代理扫描的服务相关角色权限