기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # Amazon Inspector 에이전트 없는 스캔을 위한 서비스 연결 역할 권한 Amazon Inspector 에이전트 없는 스캔은 `AWSServiceRoleForAmazonInspector2Agentless`라는 서비스 연결 역할을 사용합니다. 이 SLR을 사용하면 Amazon Inspector가 사용자 계정에서 Amazon EBS 볼륨 스냅샷을 생성한 다음 해당 스냅샷의 데이터에 액세스할 수 있습니다. 이 서비스 연결 역할은 `agentless.inspector2.amazonaws.com` 서비스에 해당 역할을 맡깁니다. **중요** 이 서비스 연결 역할의 문은 Amazon Inspector가 `InspectorEc2Exclusion` 태그를 사용하여 스캔에서 제외한 모든 EC2 인스턴스에 대해 에이전트 없는 스캔을 수행하는 것을 방지합니다. 또한 이 문은 암호화하는 데 사용된 KMS 키에 `InspectorEc2Exclusion` 태그가 있는 경우 Amazon Inspector가 볼륨의 암호화된 데이터에 액세스하는 것을 방지합니다. 자세한 내용은 [Amazon Inspector 스캔에서 인스턴스 제외](scanning-ec2.md#exclude-ec2) 단원을 참조하십시오. 역할에 대한 권한 정책(`AmazonInspector2AgentlessServiceRolePolicy`)을 통해 Amazon Inspector에서는 다음과 같은 작업을 수행할 수 있습니다. + Amazon Elastic Compute Cloud(Amazon EC2) 작업을 사용하여 EC2 인스턴스, 볼륨 및 스냅샷에 관한 정보를 검색합니다. + Amazon EC2 태그 지정 작업을 사용하여 스캔을 위해 `InspectorScan` 태그 키로 스냅샷에 태그를 지정합니다. + Amazon EC2 스냅샷 작업을 사용하여 스냅샷을 생성하고, `InspectorScan` 태그 키로 스냅샷에 태그를 지정한 다음, `InspectorScan` 태그 키로 태그가 지정된 Amazon EBS 볼륨의 스냅샷을 삭제합니다. + Amazon EBS 작업을 사용하면 `InspectorScan` 태그 키로 태그가 지정된 스냅샷에서 정보를 검색합니다. + 선택 AWS KMS 복호화 작업을 사용하여 AWS KMS 고객 관리형 키로 암호화된 스냅샷을 복호화합니다. Amazon Inspector는 스냅샷을 암호화하는 데 사용된 KMS 키에 `InspectorEc2Exclusion` 태그가 지정된 경우 스냅샷을 복호화하지 않습니다. 역할은 다음과 같은 권한 정책으로 구성됩니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "InstanceIdentification", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Sid": "GetSnapshotData", "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "aws:ResourceTag/InspectorScan": "*" } } }, { "Sid": "CreateSnapshotsAnyInstanceOrVolume", "Effect": "Allow", "Action": "ec2:CreateSnapshots", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Sid": "DenyCreateSnapshotsOnExcludedInstances", "Effect": "Deny", "Action": "ec2:CreateSnapshots", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringEquals": { "ec2:ResourceTag/InspectorEc2Exclusion": "true" } } }, { "Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag", "Effect": "Allow", "Action": "ec2:CreateSnapshots", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "Null": { "aws:TagKeys": "false" }, "ForAllValues:StringEquals": { "aws:TagKeys": "InspectorScan" } } }, { "Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:CreateAction": "CreateSnapshots" }, "Null": { "aws:TagKeys": "false" }, "ForAllValues:StringEquals": { "aws:TagKeys": "InspectorScan" } } }, { "Sid": "DeleteOnlySnapshotsTaggedForScanning", "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/InspectorScan": "*" } } }, { "Sid": "DenyKmsDecryptForExcludedKeys", "Effect": "Deny", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceTag/InspectorEc2Exclusion": "true" } } }, { "Sid": "DecryptSnapshotBlocksVolContext", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" }, "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com", "kms:EncryptionContext:aws:ebs:id": "vol-*" } } }, { "Sid": "DecryptSnapshotBlocksSnapContext", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" }, "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com", "kms:EncryptionContext:aws:ebs:id": "snap-*" } } }, { "Sid": "DescribeKeysForEbsOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" }, "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" } } }, { "Sid": "ListKeyResourceTags", "Effect": "Allow", "Action": "kms:ListResourceTags", "Resource": "arn:aws:kms:*:*:key/*" } ] } ``` ------