As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Permissões de perfil vinculadas ao serviço para verificações sem agente do Amazon Inspector A verificação sem agente do Amazon Inspector usa o perfil vinculado ao serviço chamada `AWSServiceRoleForAmazonInspector2Agentless`. Essa SLR permite que o Amazon Inspector crie um snapshot de volume do Amazon EBS na conta e acesse os dados desse snapshot. Essa função vinculada a serviços confia no serviço `agentless.inspector2.amazonaws.com` para assumir a função. **Importante** As instruções neste perfil vinculada ao serviço evitam que o Amazon Inspector execute verificações sem agente em qualquer instância do EC2 que você tenha excluído das verificações usando a tag `InspectorEc2Exclusion`. Além disso, as instruções impedem que o Amazon Inspector acesse dados criptografados de um volume quando a chave KMS usada para criptografá-lo tiver a tag `InspectorEc2Exclusion`. Para obter mais informações, consulte [Excluir instâncias das verificações do Amazon Inspector](scanning-ec2.md#exclude-ec2). A política de permissões para a função, que é chamada de `AmazonInspector2AgentlessServiceRolePolicy`, permite que o Amazon Inspector execute tarefas como: + Use ações do Amazon Elastic Compute Cloud (Amazon EC2) para recuperar informações sobre instâncias, volumes e snapshots do EC2. + Use ações de marcação do Amazon EC2 para marcar snapshots para verificações com a chave de tag `InspectorScan`. + Use ações de snapshot do Amazon EC2 para criar snapshots, marcá-los com a chave de tag `InspectorScan` e, em seguida, excluir snapshots de volumes do Amazon EBS que foram marcados com a chave de tag `InspectorScan`. + Use ações do Amazon EBS para recuperar informações de snapshots marcados com a chave de tag `InspectorScan`. + Use ações de AWS KMS descriptografia selecionadas para descriptografar instantâneos criptografados com chaves gerenciadas pelo cliente. AWS KMS O Amazon Inspector não descriptografa snapshots quando a chave KMS usada para criptografá-los é marcada com a tag `InspectorEc2Exclusion`. A função está configurada com a seguinte política de permissões: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "InstanceIdentification", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource": "*" }, { "Sid": "GetSnapshotData", "Effect": "Allow", "Action": [ "ebs:ListSnapshotBlocks", "ebs:GetSnapshotBlock" ], "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "aws:ResourceTag/InspectorScan": "*" } } }, { "Sid": "CreateSnapshotsAnyInstanceOrVolume", "Effect": "Allow", "Action": "ec2:CreateSnapshots", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Sid": "DenyCreateSnapshotsOnExcludedInstances", "Effect": "Deny", "Action": "ec2:CreateSnapshots", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringEquals": { "ec2:ResourceTag/InspectorEc2Exclusion": "true" } } }, { "Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag", "Effect": "Allow", "Action": "ec2:CreateSnapshots", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "Null": { "aws:TagKeys": "false" }, "ForAllValues:StringEquals": { "aws:TagKeys": "InspectorScan" } } }, { "Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:CreateAction": "CreateSnapshots" }, "Null": { "aws:TagKeys": "false" }, "ForAllValues:StringEquals": { "aws:TagKeys": "InspectorScan" } } }, { "Sid": "DeleteOnlySnapshotsTaggedForScanning", "Effect": "Allow", "Action": "ec2:DeleteSnapshot", "Resource": "arn:aws:ec2:*:*:snapshot/*", "Condition": { "StringLike": { "ec2:ResourceTag/InspectorScan": "*" } } }, { "Sid": "DenyKmsDecryptForExcludedKeys", "Effect": "Deny", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceTag/InspectorEc2Exclusion": "true" } } }, { "Sid": "DecryptSnapshotBlocksVolContext", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" }, "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com", "kms:EncryptionContext:aws:ebs:id": "vol-*" } } }, { "Sid": "DecryptSnapshotBlocksSnapContext", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" }, "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com", "kms:EncryptionContext:aws:ebs:id": "snap-*" } } }, { "Sid": "DescribeKeysForEbsOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" }, "StringLike": { "kms:ViaService": "ec2.*.amazonaws.com" } } }, { "Sid": "ListKeyResourceTags", "Effect": "Allow", "Action": "kms:ListResourceTags", "Resource": "arn:aws:kms:*:*:key/*" } ] } ``` ------