[英]Which AWS Permissions are needed to see ECR Enhanced Image Scan Findings
我最近在 AWS 上為我的一個 ECR 存儲庫啟用了增強圖像掃描。
我的用戶可以看到存儲庫中的圖像,並且每個圖像旁邊都有一個“查看結果”鏈接。 當我單擊該鏈接時,將打開另一個頁面,其中顯示了該圖像的所有發現。
我正在嘗試授予其他 IAM 用戶查看這些發現的權限。 該用戶已經可以看到存儲庫和圖像。 用戶甚至可以看到每個圖像的“查看結果”鏈接。 單擊該鏈接將按預期打開新頁面,但該頁面為空。 它說“沒有掃描結果”
我為用戶提供了所有 ECR 列表和讀取權限,如下所示:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ecr:GetRegistryPolicy",
"ecr:DescribeImageScanFindings",
"ecr:GetLifecyclePolicyPreview",
"ecr:GetDownloadUrlForLayer",
"ecr:DescribeRegistry",
"ecr:DescribePullThroughCacheRules",
"ecr:DescribeImageReplicationStatus",
"ecr:GetAuthorizationToken",
"ecr:ListTagsForResource",
"ecr:ListImages",
"ecr:BatchGetRepositoryScanningConfiguration",
"ecr:GetRegistryScanningConfiguration",
"ecr:BatchGetImage",
"ecr:DescribeImages",
"ecr:DescribeRepositories",
"ecr:BatchCheckLayerAvailability",
"ecr:GetRepositoryPolicy",
"ecr:GetLifecyclePolicy"
],
"Resource": "*"
}
]
}
請注意,這些權限已經包含“ecr:DescribeImageScanFindings”,但用戶仍然看不到結果。
我應該向該用戶授予哪些 IAM 權限才能使這些發現可見?
通過反復試驗解決了它。 結果還需要檢查員和檢查員2服務的一些權限。 添加以下內容作為內聯策略使結果可見:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"inspector2:ListCoverageStatistics",
"inspector2:ListFindings",
"inspector2:ListFindingAggregations",
"inspector2:ListCoverage",
"inspector2:GetFindingsReportStatus",
"inspector:ListFindings",
"inspector:DescribeFindings"
],
"Resource": "*"
}
]
}
請注意,我的 IAM 用戶已經擁有 ECR 的讀取和列出權限。
如果您一直在努力確定腳本或應用程序正在使用哪些 IAM 操作,您始終可以使用“iamdump”作為開始: https://github.com/claranet/iamdump
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.