终止支持通知:2026年5月20日, AWS 将终止对Amazon Inspector Classic的支持。2026 年 5 月 20 日之后,您将无法再访问亚马逊 Inspector Classic 控制台或亚马逊 Inspector Classic 资源。Amazon Inspector Classic 不再适用于新账户和在过去 6 个月内未完成评估的账户。对于所有其他账户,访问权限将在 2026 年 5 月 20 日之前有效,之后您将无法再访问亚马逊 Inspector Classic 控制台或 Amazon Inspector Classic 资源。有关更多信息,请参阅 [Amazon Inspector Classic 终止支持](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon Inspector Classic 如何与 IAM 配合使用
在使用 IAM 管理对 Amazon Inspector 的访问权限之前,您应该了解哪些 IAM 功能可用于 Amazon Inspector。
**可与 Amazon Inspector Classic 结合使用的 IAM 功能**
| IAM 功能 | Amazon Inspector 支持 |
| --- | --- |
| [Identity-based 政策](#security_iam_service-with-iam-id-based-policies) | 是 |
| [Resource-based 政策](#security_iam_service-with-iam-resource-based-policies) | 否 |
| [策略操作](#security_iam_service-with-iam-id-based-policies-actions) | 是 |
| [策略资源](security-iam.md#security_iam_service-with-iam-id-based-policies-resources) | 是 |
| [策略条件键(特定于服务)](security-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys) | 是 |
| [ACL](security-iam.md#security_iam_service-with-iam-acls) | 否 |
| [ABAC(策略中的标签)](security-iam.md#security_iam_service-with-iam-tags) | 部分 |
| [临时凭证](security-iam.md#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [主体权限](security-iam.md#security_iam_service-with-iam-principal-permissions) | 是 |
| [服务角色](security-iam.md#security_iam_service-with-iam-roles-service) | 否 |
| [Service-linked 角色](security-iam.md#security_iam_service-with-iam-roles-service-linked) | 是 |
要全面了解 Amazon Inspector 和其他 AWS 服务如何与大多数 IAM 功能配合使用,请参阅 [IAM *用户指南中与 IAM* 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## Identity-based Amazon Inspector 的政策
**支持基于身份的策略:**是
Identity-based 策略是您可以附加到身份(例如 IAM 用户、用户组或角色)的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。要了解可在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素引用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### Identity-based Amazon Inspector 的政策示例
要查看 Amazon Inspector 基于身份的策略的示例,请参阅[Identity-based Amazon Inspector 经典版的政策示例](security_iam_id-based-policy-examples.md)。
## Resource-based 亚马逊 Inspector 中的政策
**支持基于资源的策略:**否
Resource-based 策略是您附加到资源的 JSON 策略文档。基于资源的策略的示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。对于在其中附加策略的资源,策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委托人可以包括账户、用户、角色、联合用户或 AWS 服务。
要启用跨账户访问,您可以将整个账户或其他账户中的 IAM 实体指定为基于资源的策略中的主体。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## Amazon Inspector 的策略操作
**支持策略操作:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
有关 Amazon Inspector 操作的列表,请参阅《服务授权参考》中的 [Amazon Inspector 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector.html#amazoninspector-actions-as-permissions)**。
Amazon Inspector 中的策略操作在操作前使用以下前缀:
```
inspector
```
要在单个语句中指定多项操作,请使用逗号将它们隔开。
```
"Action": [
"inspector:{{action1}}",
"inspector:{{action2}}"
]
```
以下权限策略向用户授予运行以 `Describe` 和 `List` 开头的所有操作的权限。这些操作显示有关 Amazon Inspector 资源(如评估目标或结果)的信息。`Resource` 元素中的通配符 (\*) 表示可对该账户拥有的所有 Amazon Inspector 资源执行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action": [
"inspector:Describe*",
"inspector:List*"
],
"Resource":"*"
}
]
}
```
------