本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Inspector 的服务相关角色权限
<a name="slr-permissions"></a>

 Amazon Inspector 使用名为 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html) 的托管式策略。该服务相关角色信任 `inspector2.amazonaws.com` 服务担任该角色。

该角色的权限策略名为 [https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy)，允许 Amazon Inspector 执行以下任务：
+ 使用 Amazon Elastic Compute Cloud (Amazon EC2) 操作检索有关实例和网络路径的信息。
+ 使用 AWS Systems Manager 操作从您的 Amazon EC2 实例中检索库存，并从自定义路径中检索有关第三方包裹的信息。
+ 使用 AWS Systems Manager `SendCommand`操作调用目标实例的 CIS 扫描。
+ 使用 Amazon Elastic Container Registry 操作检索有关您的容器映像的信息。
+ 使用 AWS Lambda 操作来检索有关您的 Lambda 函数的信息。
+ 使用 AWS Organizations 操作来描述关联的账户。
+ 使用 CloudWatch 操作来检索有关上次调用 Lambda 函数的时间的信息。
+ 使用“选择 IAM”操作检索可能在您的 Lambda 代码中造成安全漏洞的 IAM policy 的相关信息。
+ 使用 Amazon Q 操作对您的 Lambda 函数中的代码执行扫描。Amazon Inspector 使用以下 Amazon Q 操作：
  + codeguru-security: CreateScan — 授予创建 Amazon Q; 扫描的权限。
  + codeguru-security：GetScan — 授予检索 Amazon Q 扫描元数据的权限。
  + codeguru-security：ListFindings — 授予检索 Amazon Q 生成的调查结果的权限
  + codeguru-security：DeleteScansByCategory — 授予 Amazon Q 删除由 Amazon Inspector 启动的扫描的权限。
  + codeguru-security：BatchGetFindings — 授予检索 Amazon Q 生成的一批特定调查结果的权限
+ 使用“选择 Elastic Load Balancing”操作对属于 Elastic Load Balancing 目标组的 EC2 实例执行网络扫描。
+ 使用 Amazon ECS 和 Amazon EKS 操作允许进行只读访问，以查看集群和任务并描述任务。
+ 使用 AWS Organizations 操作列出跨组织的 Amazon Inspector 的委托管理员。
+ 使用 Amazon Inspector 操作可跨组织启用和禁用 Amazon Inspector。
+ 使用 Amazon Inspector 操作可跨组织指定委派管理员账户并关联成员账户。

**注意**  
 Amazon Inspector 不再使用它 CodeGuru 来执行 Lambda 扫描。 AWS 将于 2025 年 11 月 20 CodeGuru 日停止提供支持。有关更多信息，请参阅[终止对 CodeGuru 安全的支持](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html)。Amazon Inspector 现在使用 Amazon Q 执行 Lambda 扫描，不需要本节中描述的权限。

 要查看此策略的权限，请参阅《*AWS 托管策略参考指南》ServiceRolePolicy*中的 [AmazonInspector2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html)。