yamoryで通常のクラウド連携(CSPM)とクラウドアセットスキャンを有効にする場合に必要な権限の違いは以下の通り
CSPM | クラウドアセットスキャン |
---|---|
ReadOnlyAccess | |
SecurityAudit | ReadOnlyAccess |
SecurityAudit | |
ssm:SendCommand | |
ssm:CancelCommand | |
ec2:CreateSnapshots | |
ec2:CreateSnapshot | |
ec2:DeleteSnapshot | |
ec2:CreateTags | |
ebs:ListSnapshotBlocks | |
ebs:GetSnapshotBlock | |
kms:Decrypt |
実行中のEC2のインスタンスにマウントされているAmazon Elastic Block Store (EBS)ボリュームのスナップショットを作成し、スナップショットをスキャンします。
EC2のクラウドアセットスキャンでは以下の情報を取得します。
<aside> ⚠️ インスタンスのカーネル情報を取得するためには、インスタンスにAWS Systems Manager エージェント (SSM Agent)がインストールされている必要があります。 SSM Agentがインストールされていない場合は、カーネル情報が取得できずカーネルの脆弱性情報が正確に判定できません。
</aside>