Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Permisos de roles vinculados a servicios para análisis sin agente de Amazon Inspector El análisis sin agente de Amazon Inspector usa el rol vinculado a servicios denominado `AWSServiceRoleForAmazonInspector2Agentless`. Este SLR permite a Amazon Inspector crear una instantánea del volumen de Amazon EBS en su cuenta y, a continuación, acceder a los datos de dicha instantánea. Este rol vinculado a servicios confía en el servicio `agentless.inspector2.amazonaws.com` para asumir el rol. **importante** Las instrucciones de este rol vinculado a un servicio impiden que Amazon Inspector realice análisis sin agente en cualquier instancia de EC2 que el usuario haya excluido de las exploraciones mediante la etiqueta `InspectorEc2Exclusion`. Además, las instrucciones impiden que Amazon Inspector acceda a los datos cifrados de un volumen cuando la clave de KMS utilizada para cifrarlos tiene la etiqueta `InspectorEc2Exclusion`. Para obtener más información, consulte [Exclusión de instancias de los análisis de Amazon Inspector](scanning-ec2.md#exclude-ec2). La política de permisos del rol, que se denomina `AmazonInspector2AgentlessServiceRolePolicy`, permite a Amazon Inspector realizar tareas como las siguientes: + Utilizar las acciones de Amazon Elastic Compute Cloud (Amazon EC2) para recuperar información sobre las instancias, los volúmenes y las instantáneas de EC2. + Utilizar las acciones de etiquetado de Amazon EC2 para etiquetar las instantáneas para los análisis con la clave de la etiqueta `InspectorScan`. + Utilizar las acciones de instantáneas de Amazon EC2 para crear instantáneas, etiquetarlas con la clave de la etiqueta `InspectorScan` y, a continuación, eliminar las instantáneas de los volúmenes de Amazon EBS que se hayan etiquetado con la clave de la etiqueta `InspectorScan`. + Utilizar las acciones de Amazon EBS para recuperar información de las instantáneas etiquetadas con la clave de la etiqueta `InspectorScan`. + Utilice determinadas acciones de AWS KMS descifrado para descifrar las instantáneas cifradas con claves gestionadas por el cliente. AWS KMS Amazon Inspector no descifra las instantáneas cuando la clave de KMS utilizada para cifrarlas está etiquetada con la etiqueta `InspectorEc2Exclusion`. El rol se configura con la siguiente política de permisos. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "InstanceIdentification", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Sid": "GetSnapshotData", "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "aws:ResourceTag/InspectorScan": "*" } } }, { "Sid": "CreateSnapshotsAnyInstanceOrVolume", "Effect": "Allow", "Action": "ec2:CreateSnapshots", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Sid": "DenyCreateSnapshotsOnExcludedInstances", "Effect": "Deny", "Action": "ec2:CreateSnapshots", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringEquals": { "ec2:ResourceTag/InspectorEc2Exclusion": "true" } } }, { "Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag", "Effect": "Allow", "Action": "ec2:CreateSnapshots", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "Null": { "aws:TagKeys": "false" }, "ForAllValues:StringEquals": { "aws:TagKeys": "InspectorScan" } } }, { "Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:CreateAction": "CreateSnapshots" }, "Null": { "aws:TagKeys": "false" }, "ForAllValues:StringEquals": { "aws:TagKeys": "InspectorScan" } } }, { "Sid": "DeleteOnlySnapshotsTaggedForScanning", "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/InspectorScan": "*" } } }, { "Sid": "DenyKmsDecryptForExcludedKeys", "Effect": "Deny", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceTag/InspectorEc2Exclusion": "true" } } }, { "Sid": "DecryptSnapshotBlocksVolContext", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" }, "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com", "kms:EncryptionContext:aws:ebs:id": "vol-*" } } }, { "Sid": "DecryptSnapshotBlocksSnapContext", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" }, "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com", "kms:EncryptionContext:aws:ebs:id": "snap-*" } } }, { "Sid": "DescribeKeysForEbsOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" }, "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" } } }, { "Sid": "ListKeyResourceTags", "Effect": "Allow", "Action": "kms:ListResourceTags", "Resource": "arn:aws:kms:*:*:key/*" } ] } ``` ------