本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Inspector 的服務連結角色許可
Amazon Inspector 使用名為 的受管政策AWSServiceRoleForAmazonInspector2。此服務連結角色信任inspector2.amazonaws.com服務擔任該角色。
名為 的角色的許可政策AmazonInspector2ServiceRolePolicy允許 Amazon Inspector 執行任務,例如:
-
使用 Amazon Elastic Compute Cloud (Amazon EC2) 動作來擷取執行個體和網路路徑的相關資訊。
-
使用 AWS Systems Manager 動作從 Amazon EC2 執行個體擷取庫存,以及從自訂路徑擷取第三方套件的相關資訊。
-
使用 AWS Systems Manager
SendCommand動作來叫用目標執行個體的 CIS 掃描。 -
使用 Amazon Elastic Container Registry 動作來擷取容器映像的相關資訊。
-
使用 AWS Lambda 動作來擷取 Lambda 函數的相關資訊。
-
使用 AWS Organizations 動作來描述相關聯的帳戶。
-
使用 CloudWatch 動作擷取有關上次叫用 Lambda 函數的資訊。
-
使用選取 IAM 動作擷取 IAM 政策的相關資訊,這些政策可能會在 Lambda 程式碼中建立安全漏洞。
-
使用 Amazon Q 動作在 Lambda 函數中執行程式碼掃描。Amazon Inspector 使用以下 Amazon Q 動作:
codeguru-security:CreateScan – 准許建立 Amazon Q; 掃描。
codeguru-security:GetScan – 准許擷取 Amazon Q 掃描中繼資料。
codeguru-security:ListFindings – 准許擷取 Amazon Q 產生的問題清單。
codeguru-security:DeleteScansByCategory – 准許 Amazon Q 刪除由 Amazon Inspector 啟動的掃描。
codeguru-security:BatchGetFindings – 准許擷取 Amazon Q 產生的一批特定問題清單。
使用選取 Elastic Load Balancing 動作,對屬於 Elastic Load Balancing 目標群組的 EC2 執行個體執行網路掃描。
使用 Amazon ECS 和 Amazon EKS 動作允許唯讀存取以檢視叢集和任務並描述任務。
使用 AWS Organizations 動作列出跨組織的 Amazon Inspector 委派管理員。
使用 Amazon Inspector 動作來啟用和停用跨組織的 Amazon Inspector。
使用 Amazon Inspector 動作來指定委派的管理員帳戶,並將成員帳戶跨組織建立關聯。
注意
Amazon Inspector 不再使用 CodeGuru 執行 Lambda 掃描。 AWS 將於 2025 年 11 月 20 日停止對 CodeGuru 的支援。如需詳細資訊,請參閱 CodeGuru Security 的終止支援。Amazon Inspector 現在使用 Amazon Q 執行 Lambda 掃描,不需要本節所述的許可。
若要檢閱此政策的許可,請參閱《 AWS 受管政策參考指南》中的 AmazonInspector2ServiceRolePolicy。
