Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de rôles liés à un service pour Amazon Inspector
Amazon Inspector utilise un rôle Gestion des identités et des accès AWS (IAM) [lié à un service nommé](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). `AWSServiceRoleForAmazonInspector2` Ce rôle lié à un service est un rôle IAM directement lié à Amazon Inspector. Il est prédéfini par Amazon Inspector et inclut toutes les autorisations dont Amazon Inspector a besoin pour appeler d'autres Services AWS personnes en votre nom.
Un rôle lié à un service facilite la configuration d'Amazon Inspector, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Amazon Inspector définit les autorisations associées à son rôle lié à un service et, sauf indication contraire, seul Amazon Inspector peut assumer ce rôle. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous devez configurer les autorisations pour autoriser une entité IAM (telle qu'un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*. Vous ne pouvez supprimer un rôle lié à un service qu'après avoir supprimé les ressources associées. Cela protège vos ressources Amazon Inspector car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Cliquez sur **Oui** avec un lien pour consulter la documentation relative aux rôles liés à un service pour ce service.
# Autorisations de rôle liées à un service pour Amazon Inspector
Amazon Inspector utilise la politique gérée nommée [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html). Ce rôle lié au service fait confiance au `inspector2.amazonaws.com` service pour assumer le rôle.
La politique d'autorisation pour le rôle, qui est nommé [https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy), permet à Amazon Inspector d'effectuer des tâches telles que :
+ Utilisez les actions Amazon Elastic Compute Cloud (Amazon EC2) pour récupérer des informations sur vos instances et les chemins réseau.
+ Utilisez AWS Systems Manager des actions pour récupérer l'inventaire de vos instances Amazon EC2 et pour récupérer des informations sur les packages tiers à partir de chemins personnalisés.
+ Utilisez cette AWS Systems Manager `SendCommand` action pour appeler des scans CIS pour les instances cibles.
+ Utilisez les actions Amazon Elastic Container Registry pour récupérer des informations sur les images de vos conteneurs.
+ Utilisez AWS Lambda des actions pour récupérer des informations sur vos fonctions Lambda.
+ Utilisez AWS Organizations des actions pour décrire les comptes associés.
+ Utilisez CloudWatch des actions pour récupérer des informations sur la dernière fois que vos fonctions Lambda ont été invoquées.
+ Utilisez certaines actions IAM pour récupérer des informations sur vos politiques IAM susceptibles de créer des failles de sécurité dans votre code Lambda.
+ Utilisez les actions Amazon Q pour scanner le code de vos fonctions Lambda. Amazon Inspector utilise les actions Amazon Q suivantes :
+ codeguru-security : CreateScan — Autorise la création d'Amazon Q ; scan.
+ codeguru-security : GetScan — Accorde l'autorisation de récupérer les métadonnées de scan Amazon Q.
+ codeguru-security : ListFindings — Autorise à récupérer les résultats générés par Amazon Q.
+ codeguru-security : DeleteScansByCategory — Autorise Amazon Q à supprimer les scans initiés par Amazon Inspector.
+ codeguru-security : BatchGetFindings — Autorise à récupérer un lot de résultats spécifiques générés par Amazon Q.
+ Utilisez certaines actions Elastic Load Balancing pour effectuer des scans du réseau des instances EC2 qui font partie des groupes cibles d'Elastic Load Balancing.
+ Utilisez les actions Amazon ECS et Amazon EKS pour autoriser un accès en lecture seule afin de visualiser les clusters et les tâches et de décrire les tâches.
+ Utilisez AWS Organizations des actions pour répertorier les administrateurs délégués pour Amazon Inspector dans toutes les organisations.
+ Utilisez les actions Amazon Inspector pour activer et désactiver Amazon Inspector dans toutes les organisations.
+ Utilisez les actions Amazon Inspector pour désigner des comptes d'administrateurs délégués et des comptes de membres associés dans toutes les organisations.
**Note**
Amazon Inspector n'est plus utilisé CodeGuru pour effectuer des scans Lambda. AWS cessera le support jusqu' CodeGuru au 20 novembre 2025. Pour plus d'informations, voir [Fin du support pour CodeGuru la sécurité](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html). Amazon Inspector utilise désormais Amazon Q pour effectuer des scans Lambda et ne nécessite pas les autorisations décrites dans cette section.
Pour consulter les autorisations associées à cette politique, reportez-vous ServiceRolePolicy à la section [AmazonInspector2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html) du *Guide de référence des politiques AWS gérées*.
## Création d'un rôle lié à un service pour Amazon Inspector
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous activez Amazon Inspector dans l'API AWS Management Console, dans le AWS CLI ou dans l' AWS API, Amazon Inspector crée pour vous le rôle lié au service.
## Modification d'un rôle lié à un service pour Amazon Inspector
Amazon Inspector ne vous permet pas de modifier le rôle `AWSServiceRoleForAmazonInspector2` lié au service. Une fois qu'un rôle lié à un service est créé, vous ne pouvez pas modifier le nom du rôle car différentes entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour Amazon Inspector
Si vous n'avez plus besoin d'utiliser Amazon Inspector, nous vous recommandons de supprimer le rôle `AWSServiceRoleForAmazonInspector2` lié au service. Avant de pouvoir supprimer le rôle, vous devez désactiver Amazon Inspector dans chaque Région AWS cas où il est activé. Lorsque vous désactivez Amazon Inspector, le rôle n'est pas supprimé pour vous. Par conséquent, si vous réactivez Amazon Inspector, celui-ci pourra utiliser le rôle existant. De cette façon, vous pouvez éviter d'avoir une entité inutilisée qui n'est pas activement surveillée ou maintenue. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
Si vous supprimez ce rôle lié à un service et que vous devez ensuite le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous activez Amazon Inspector, Amazon Inspector recrée le rôle lié au service pour vous.
**Note**
Si le service Amazon Inspector utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Dans ce cas, attendez quelques minutes, puis recommencez l'opération.
Vous pouvez utiliser la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForAmazonInspector2` service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
# Autorisations de rôle liées à un service pour les scans sans agent Amazon Inspector
Le scan sans agent Amazon Inspector utilise le rôle lié au service nommé. `AWSServiceRoleForAmazonInspector2Agentless` Ce reflex permet à Amazon Inspector de créer un instantané du volume Amazon EBS dans votre compte, puis d'accéder aux données de cet instantané. Ce rôle lié au service fait confiance au `agentless.inspector2.amazonaws.com` service pour assumer le rôle.
**Important**
Les instructions de ce rôle lié au service empêchent Amazon Inspector d'effectuer des scans sans agent sur toute instance EC2 que vous avez exclue des scans à l'aide de la balise. `InspectorEc2Exclusion` En outre, les instructions empêchent Amazon Inspector d'accéder aux données chiffrées d'un volume lorsque la clé KMS utilisée pour le chiffrer possède le `InspectorEc2Exclusion` tag. Pour de plus amples informations, veuillez consulter [Exclure les instances des scans Amazon Inspector](scanning-ec2.md#exclude-ec2).
La politique d'autorisation pour le rôle, qui est nommé`AmazonInspector2AgentlessServiceRolePolicy`, permet à Amazon Inspector d'effectuer des tâches telles que :
+ Utilisez les actions Amazon Elastic Compute Cloud (Amazon EC2) pour récupérer des informations sur vos instances, volumes et instantanés EC2.
+ Utilisez les actions de balisage Amazon EC2 pour étiqueter les instantanés à numériser à l'aide de la clé de balise. `InspectorScan`
+ Utilisez les actions de capture instantanée Amazon EC2 pour créer des instantanés, les étiqueter avec la clé de `InspectorScan` balise, puis supprimer les instantanés des volumes Amazon EBS marqués avec la clé de balise. `InspectorScan`
+ Utilisez les actions Amazon EBS pour récupérer des informations à partir de clichés marqués avec la `InspectorScan` clé de balise.
+ Utilisez certaines actions de AWS KMS déchiffrement pour déchiffrer les instantanés chiffrés à l'aide de clés gérées par AWS KMS le client. Amazon Inspector ne déchiffre pas les instantanés lorsque la clé KMS utilisée pour les chiffrer est étiquetée avec la balise. `InspectorEc2Exclusion`
Le rôle est configuré selon la politique d'autorisation suivante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InstanceIdentification",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Sid": "GetSnapshotData",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/InspectorScan": "*"
}
}
},
{
"Sid": "CreateSnapshotsAnyInstanceOrVolume",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Sid": "DenyCreateSnapshotsOnExcludedInstances",
"Effect": "Deny",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/InspectorEc2Exclusion": "true"
}
}
},
{
"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "InspectorScan"
}
}
},
{
"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"ec2:CreateAction": "CreateSnapshots"
},
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "InspectorScan"
}
}
},
{
"Sid": "DeleteOnlySnapshotsTaggedForScanning",
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/InspectorScan": "*"
}
}
},
{
"Sid": "DenyKmsDecryptForExcludedKeys",
"Effect": "Deny",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/InspectorEc2Exclusion": "true"
}
}
},
{
"Sid": "DecryptSnapshotBlocksVolContext",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com",
"kms:EncryptionContext:aws:ebs:id": "vol-*"
}
}
},
{
"Sid": "DecryptSnapshotBlocksSnapContext",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com",
"kms:EncryptionContext:aws:ebs:id": "snap-*"
}
}
},
{
"Sid": "DescribeKeysForEbsOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com"
}
}
},
{
"Sid": "ListKeyResourceTags",
"Effect": "Allow",
"Action": "kms:ListResourceTags",
"Resource": "arn:aws:kms:*:*:key/*"
}
]
}
```
------
## Création d'un rôle lié à un service pour le scan sans agent
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous activez Amazon Inspector dans l'API AWS Management Console, dans le AWS CLI ou dans l' AWS API, Amazon Inspector crée pour vous le rôle lié au service.
## Modification d'un rôle lié à un service pour une analyse sans agent
Amazon Inspector ne vous permet pas de modifier le rôle `AWSServiceRoleForAmazonInspector2Agentless` lié au service. Une fois qu'un rôle lié à un service est créé, vous ne pouvez pas modifier le nom du rôle car différentes entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Suppression d'un rôle lié à un service pour une analyse sans agent
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement.
**Important**
Pour supprimer le `AWSServiceRoleForAmazonInspector2Agentless` rôle, vous devez définir votre mode de numérisation sur un mode agent dans toutes les régions où le scan sans agent est disponible.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM AWS CLI, le ou l' AWS API pour supprimer le rôle lié au service AWSService RoleForAmazonInspector 2Agentless. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.