3

我最近在 AWS 上为我的一个 ECR 存储库启用了增强图像扫描。

我的用户可以看到存储库中的图像,并且每个图像旁边都有一个“查看结果”链接。当我单击该链接时,将打开另一个页面,其中显示了该图像的所有发现。

我正在尝试授予其他 IAM 用户查看这些发现的权限。该用户已经可以看到存储库和图像。用户甚至可以看到每个图像的“查看结果”链接。单击该链接将按预期打开新页面,但该页面为空。它说“没有扫描结果”

在此处输入图像描述

我为用户提供了所有 ECR 列表和读取权限,如下所示:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ecr:GetRegistryPolicy",
                "ecr:DescribeImageScanFindings",
                "ecr:GetLifecyclePolicyPreview",
                "ecr:GetDownloadUrlForLayer",
                "ecr:DescribeRegistry",
                "ecr:DescribePullThroughCacheRules",
                "ecr:DescribeImageReplicationStatus",
                "ecr:GetAuthorizationToken",
                "ecr:ListTagsForResource",
                "ecr:ListImages",
                "ecr:BatchGetRepositoryScanningConfiguration",
                "ecr:GetRegistryScanningConfiguration",
                "ecr:BatchGetImage",
                "ecr:DescribeImages",
                "ecr:DescribeRepositories",
                "ecr:BatchCheckLayerAvailability",
                "ecr:GetRepositoryPolicy",
                "ecr:GetLifecyclePolicy"
            ],
            "Resource": "*"
        }
    ]
}

请注意,这些权限已经包含“ecr:DescribeImageScanFindings”,但用户仍然看不到结果。

我应该向该用户授予哪些 IAM 权限才能使这些发现可见?

4

2 回答 2

1

通过反复试验解决了它。结果还需要检查员检查员2服务的一些权限。添加以下内容作为内联策略使结果可见:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "inspector2:ListCoverageStatistics",
                "inspector2:ListFindings",
                "inspector2:ListFindingAggregations",
                "inspector2:ListCoverage",
                "inspector2:GetFindingsReportStatus",
                "inspector:ListFindings",
                "inspector:DescribeFindings"
            ],
            "Resource": "*"
        }
    ]
}

请注意,我的 IAM 用户已经拥有ECR 的读取列出权限。

于 2021-12-17T11:47:23.507 回答
0

如果您一直在努力确定脚本或应用程序正在使用哪些 IAM 操作,您始终可以使用“iamdump”作为开始:https ://github.com/claranet/iamdump

于 2022-01-13T23:40:55.433 回答