기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon Inspector에 서비스 연결 역할 사용
<a name="using-service-linked-roles"></a>

Amazon Inspector는 라는 AWS Identity and Access Management (IAM) [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다`AWSServiceRoleForAmazonInspector2`. 이 서비스 연결 역할은 Amazon Inspector에 직접 연결되는 IAM 역할입니다. Amazon Inspector에서 사전 정의하며 Amazon Inspector가 AWS 서비스 사용자를 대신하여 다른를 호출하는 데 필요한 모든 권한을 포함합니다.

서비스 연결 역할을 사용하면 필요한 권한을 수동으로 추가할 필요가 없으므로 Amazon Inspector를 더 쉽게 설정할 수 있습니다. Amazon Inspector는 서비스 연결 역할의 권한을 정의하며, 다르게 정의되지 않는 한 Amazon Inspector만 해당 역할을 맡을 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.

IAM 엔터티(예: 그룹 또는 역할)가 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 권한을 구성해야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요. 먼저 관련 리소스를 삭제해야만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스 액세스 권한을 실수로 삭제할 수 없기 때문에 Amazon Inspector 리소스가 보호됩니다.

서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하고 **서비스 연결 역할** 열에서 **예**인 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 검토하려면 **예** 링크를 선택합니다.

# Amazon Inspector의 서비스 연결 역할 권한
<a name="slr-permissions"></a>

 Amazon Inspector는 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html)라는 관리형 정책을 사용합니다. 이 서비스 연결 역할은 `inspector2.amazonaws.com` 서비스에 해당 역할을 맡깁니다.

역할에 대한 권한 정책([https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy))을 통해 Amazon Inspector에서는 다음과 같은 작업을 수행할 수 있습니다.
+ Amazon Elastic Compute Cloud(Amazon EC2) 작업을 사용하여 인스턴스 및 네트워크 경로에 대한 정보를 검색합니다.
+  AWS Systems Manager 작업을 사용하여 Amazon EC2 인스턴스에서 인벤토리를 검색하고 사용자 지정 경로에서 타사 패키지에 대한 정보를 검색합니다.
+ 작업을 사용하여 대상 인스턴스에 AWS Systems Manager `SendCommand` 대한 CIS 스캔을 호출합니다.
+ Amazon Elastic Container Registry 작업을 사용하여 컨테이너 이미지에 대한 정보를 검색합니다.
+  AWS Lambda 작업을 사용하여 Lambda 함수에 대한 정보를 검색합니다.
+  AWS Organizations 작업을 사용하여 연결된 계정을 설명합니다.
+ CloudWatch 작업을 사용하여 Lambda 함수가 마지막으로 간접적으로 호출된 시간에 대한 정보를 검색합니다.
+ 일부 IAM 작업을 사용하여 Lambda 코드에 보안 취약성을 일으킬 수 있는 IAM 정책에 대한 정보를 검색합니다.
+ Amazon Q 작업을 사용하여 Lambda 함수의 코드 스캔을 수행합니다. Amazon Inspector는 다음 Amazon Q 작업을 사용합니다.
  + codeguru-security:CreateScan – Amazon Q 스캔을 생성할 수 있는 권한을 부여합니다.
  + codeguru-security:GetScan – Amazon Q 스캔 메타데이터를 검색할 수 있는 권한을 부여합니다.
  + codeguru-security:ListFindings – Amazon Q에서 생성한 조사 결과를 검색할 수 있는 권한을 부여합니다.
  + codeguru-security:DeleteScansByCategory – Amazon Inspector에서 시작한 스캔을 삭제할 수 있는 권한을 Amazon Q에 부여합니다.
  + codeguru-security:BatchGetFindings – Amazon Q에서 생성한 특정 조사 결과를 일괄 검색할 수 있는 권한을 부여합니다.
+ 일부 Elastic Load Balancing 작업을 사용하여 Elastic Load Balancing 대상 그룹에 속하는 EC2 인스턴스의 네트워크 스캔을 수행합니다.
+ Amazon ECS 및 Amazon EKS 작업을 사용하여 클러스터 및 작업을 보고 작업을 설명할 수 있는 읽기 전용 액세스를 허용합니다.
+  AWS Organizations 작업을 사용하여 조직 전체에서 Amazon Inspector의 위임된 관리자를 나열합니다.
+ Amazon Inspector 작업을 사용하여 조직 전체에서 Amazon Inspector를 활성화 및 비활성화합니다.
+ Amazon Inspector 작업을 사용하여 위임된 관리자 계정을 지정하고 조직 전체에서 멤버 계정을 연결합니다.

**참고**  
 Amazon Inspector는 더 이상 CodeGuru를 사용하여 Lambda 스캔을 수행하지 않습니다. AWS 는 2025년 11월 20일에 CodeGuru에 대한 지원을 중단할 예정입니다. 자세한 내용은 [CodeGuru 보안에 대한 지원 종료](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html)를 참조하세요. Amazon Inspector는 이제 Amazon Q를 사용하여 Lambda 스캔을 수행하며 이 섹션에 설명된 권한이 필요하지 않습니다.

 이 정책에 대한 권한을 보려면 *AWS 관리형 정책 참조 가이드*에서 [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html)를 참조하세요.

## Amazon Inspector의 서비스 연결 역할 생성
<a name="create-slr"></a>

서비스 연결 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console AWS CLI, 또는 AWS API에서 Amazon Inspector를 활성화하면 Amazon Inspector가 서비스 연결 역할을 생성합니다.

## Amazon Inspector의 서비스 연결 역할 편집
<a name="edit-slr"></a>

Amazon Inspector에서는 `AWSServiceRoleForAmazonInspector2` 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있으므로 역할 이름을 변경할 수 없습니다. 그러나 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

## Amazon Inspector의 서비스 연결 역할 삭제
<a name="delete-slr"></a>

Amazon Inspector를 더 이상 사용하지 않을 경우에는 `AWSServiceRoleForAmazonInspector2` 서비스 연결 역할을 삭제하는 것이 좋습니다. 역할을 삭제하려면 먼저 역할 AWS 리전 이 활성화된 각에서 Amazon Inspector를 비활성화해야 합니다. Amazon Inspector를 비활성화해도 역할은 삭제되지 않습니다. 따라서 Amazon Inspector를 다시 활성화하면 기존 역할을 사용할 수 있습니다. 이렇게 하면 적극적으로 모니터링되거나 유지 관리되지 않는 미사용 개체를 방지할 수 있습니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

이 서비스 연결 역할을 삭제한 다음 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. Amazon Inspector를 활성화하면 Amazon Inspector에서 서비스 연결 역할을 자동으로 다시 생성합니다.

**참고**  
리소스를 삭제하려고 할 때 Amazon Inspector 서비스에서 해당 역할을 사용 중이면 삭제가 실패할 수 있습니다. 이 경우 몇 분 정도 기다렸다가 작업을 다시 시도하세요.

IAM 콘솔, AWS CLI또는 AWS API를 사용하여 `AWSServiceRoleForAmazonInspector2` 서비스 연결 역할을 삭제할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.

# Amazon Inspector 에이전트 없는 스캔을 위한 서비스 연결 역할 권한
<a name="slr-permissions-agentless"></a>

Amazon Inspector 에이전트 없는 스캔은 `AWSServiceRoleForAmazonInspector2Agentless`라는 서비스 연결 역할을 사용합니다. 이 SLR을 사용하면 Amazon Inspector가 사용자 계정에서 Amazon EBS 볼륨 스냅샷을 생성한 다음 해당 스냅샷의 데이터에 액세스할 수 있습니다. 이 서비스 연결 역할은 `agentless.inspector2.amazonaws.com` 서비스에 해당 역할을 맡깁니다.

**중요**  
이 서비스 연결 역할의 문은 Amazon Inspector가 `InspectorEc2Exclusion` 태그를 사용하여 스캔에서 제외한 모든 EC2 인스턴스에 대해 에이전트 없는 스캔을 수행하는 것을 방지합니다. 또한 이 문은 암호화하는 데 사용된 KMS 키에 `InspectorEc2Exclusion` 태그가 있는 경우 Amazon Inspector가 볼륨의 암호화된 데이터에 액세스하는 것을 방지합니다. 자세한 내용은 [Amazon Inspector 스캔에서 인스턴스 제외](scanning-ec2.md#exclude-ec2) 단원을 참조하십시오.

역할에 대한 권한 정책(`AmazonInspector2AgentlessServiceRolePolicy`)을 통해 Amazon Inspector에서는 다음과 같은 작업을 수행할 수 있습니다.
+ Amazon Elastic Compute Cloud(Amazon EC2) 작업을 사용하여 EC2 인스턴스, 볼륨 및 스냅샷에 관한 정보를 검색합니다.
  + Amazon EC2 태그 지정 작업을 사용하여 스캔을 위해 `InspectorScan` 태그 키로 스냅샷에 태그를 지정합니다.
  + Amazon EC2 스냅샷 작업을 사용하여 스냅샷을 생성하고, `InspectorScan` 태그 키로 스냅샷에 태그를 지정한 다음, `InspectorScan` 태그 키로 태그가 지정된 Amazon EBS 볼륨의 스냅샷을 삭제합니다.
+ Amazon EBS 작업을 사용하면 `InspectorScan` 태그 키로 태그가 지정된 스냅샷에서 정보를 검색합니다.
+ 선택 AWS KMS 복호화 작업을 사용하여 AWS KMS 고객 관리형 키로 암호화된 스냅샷을 복호화합니다. Amazon Inspector는 스냅샷을 암호화하는 데 사용된 KMS 키에 `InspectorEc2Exclusion` 태그가 지정된 경우 스냅샷을 복호화하지 않습니다.

역할은 다음과 같은 권한 정책으로 구성됩니다.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "InstanceIdentification",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeVolumes",
				"ec2:DescribeSnapshots"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetSnapshotData",
			"Effect": "Allow",
			"Action": [
				"ebs:ListSnapshotBlocks",
				"ebs:GetSnapshotBlock"
			],
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"aws:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsAnyInstanceOrVolume",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:volume/*"
			]
		},
		{
			"Sid": "DenyCreateSnapshotsOnExcludedInstances",
			"Effect": "Deny",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:instance/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:CreateAction": "CreateSnapshots"
				},
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "DeleteOnlySnapshotsTaggedForScanning",
			"Effect": "Allow",
			"Action": "ec2:DeleteSnapshot",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "DenyKmsDecryptForExcludedKeys",
			"Effect": "Deny",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksVolContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "vol-*"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksSnapContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "snap-*"
				}
			}
		},
		{
			"Sid": "DescribeKeysForEbsOperations",
			"Effect": "Allow",
			"Action": "kms:DescribeKey",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListKeyResourceTags",
			"Effect": "Allow",
			"Action": "kms:ListResourceTags",
			"Resource": "arn:aws:kms:*:*:key/*"
		}
	]
}
```

------

## 에이전트 없는 스캔을 위한 서비스 연결 역할 생성
<a name="create-slr"></a>

서비스 연결 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console AWS CLI, 또는 AWS API에서 Amazon Inspector를 활성화하면 Amazon Inspector가 서비스 연결 역할을 생성합니다.

## 에이전트 없는 스캔을 위한 서비스 연결 역할 편집
<a name="edit-slr"></a>

Amazon Inspector에서는 `AWSServiceRoleForAmazonInspector2Agentless` 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있으므로 역할 이름을 변경할 수 없습니다. 그러나 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

## 에이전트 없는 스캔을 위한 서비스 연결 역할 삭제
<a name="delete-slr"></a>

서비스 연결 역할이 필요한 특성 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔티티가 없도록 합니다.

**중요**  
`AWSServiceRoleForAmazonInspector2Agentless` 역할을 삭제하려면 에이전트 없는 스캔을 사용할 수 있는 모든 리전에서 스캔 모드를 에이전트 기반으로 설정해야 합니다.

**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**

IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 AWSServiceRoleForAmazonInspector2Agentless 서비스 연결 역할을 삭제합니다. 자세한 내용은 *IAM 사용 설명서*에서 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)를 참조하세요.