翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Inspector のエージェントレススキャンに対するサービスリンクロールのアクセス許可
<a name="slr-permissions-agentless"></a>

Amazon Inspector のエージェントレススキャンでは、`AWSServiceRoleForAmazonInspector2Agentless` という名前のサービスリンクロールを使用します。このサービスリンクロールにより、Amazon Inspector はアカウントに Amazon EBS ボリュームのスナップショットを作成し、そのスナップショットからデータにアクセスできるようになります。このサービスリンクロールは、ロールを引き受ける上で `agentless.inspector2.amazonaws.com` サービスを信頼します。

**重要**  
このサービスリンクロールのステートメントにより、Amazon Inspector は、`InspectorEc2Exclusion` タグを使用してスキャンから除外した EC2 インスタンスに対してエージェントレススキャンを実行できなくなります。さらに、このステートメントは、暗号化に使用される KMS キーに `InspectorEc2Exclusion` タグが付いている場合に、Amazon Inspector がボリュームの暗号化されたデータにアクセスできないようにします。詳細については、「[Amazon Inspector スキャンからのインスタンスの除外](scanning-ec2.md#exclude-ec2)」を参照してください。

`AmazonInspector2AgentlessServiceRolePolicy` という名前のロールのアクセス許可ポリシーにより、Amazon Inspector は次のようなタスクを実行することが許可されます。
+ Amazon Elastic Compute Cloud (Amazon EC2) アクションを使用して、EC2 インスタンス、ボリューム、スナップショットに関する情報を取得します。
  + Amazon EC2 のタグ付けアクションを使用して、`InspectorScan` タグキーでスキャンのスナップショットにタグを付けます。
  + Amazon EC2 のスナップショットアクションを使用してスナップショットを作成し、`InspectorScan` タグキーでタグ付けしてから、`InspectorScan` タグキーでタグ付けされた Amazon EBS ボリュームのスナップショットを削除します。
+ Amazon EBS アクションを使用して、`InspectorScan` タグキーでタグ付けされたスナップショットから情報を取得します。
+ Select AWS KMS 復号アクションを使用して、 AWS KMS カスタマーマネージドキーで暗号化されたスナップショットを復号します。Amazon Inspector は、スナップショットの暗号化に使用された KMS キーに `InspectorEc2Exclusion` タグが付いている場合、スナップショットを復号しません。

ロールは、次のアクセス許可ポリシーを使用して設定されます。

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "InstanceIdentification",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeVolumes",
				"ec2:DescribeSnapshots"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetSnapshotData",
			"Effect": "Allow",
			"Action": [
				"ebs:ListSnapshotBlocks",
				"ebs:GetSnapshotBlock"
			],
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"aws:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsAnyInstanceOrVolume",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:volume/*"
			]
		},
		{
			"Sid": "DenyCreateSnapshotsOnExcludedInstances",
			"Effect": "Deny",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:instance/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:CreateAction": "CreateSnapshots"
				},
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "DeleteOnlySnapshotsTaggedForScanning",
			"Effect": "Allow",
			"Action": "ec2:DeleteSnapshot",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "DenyKmsDecryptForExcludedKeys",
			"Effect": "Deny",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksVolContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "vol-*"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksSnapContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "snap-*"
				}
			}
		},
		{
			"Sid": "DescribeKeysForEbsOperations",
			"Effect": "Allow",
			"Action": "kms:DescribeKey",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListKeyResourceTags",
			"Effect": "Allow",
			"Action": "kms:ListResourceTags",
			"Resource": "arn:aws:kms:*:*:key/*"
		}
	]
}
```

------