本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Amazon Inspector 的服務連結角色
Amazon Inspector 使用名為 的 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)`AWSServiceRoleForAmazonInspector2`。此服務連結角色是直接連結至 Amazon Inspector 的 IAM 角色。它由 Amazon Inspector 預先定義,並包含 Amazon Inspector AWS 服務 代表您呼叫其他 所需的所有許可。
服務連結角色可讓您更輕鬆地設定 Amazon Inspector,因為您不必手動新增必要的許可。Amazon Inspector 會定義其服務連結角色的許可,除非另有定義,否則只有 Amazon Inspector 可以擔任該角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須設定許可,以允許 IAM 實體 (例如群組或角色) 建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。只有在刪除其相關資源之後,您才能刪除服務連結角色。這可保護您的 Amazon Inspector 資源,因為您不會不小心移除存取資源的許可。
如需有關支援服務連結角色的其他 服務的資訊,請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並在**服務連結角色**欄中尋找具有**是**的服務。選擇有連結的**是**,以檢閱該服務的服務連結角色文件。
# Amazon Inspector 的服務連結角色許可
Amazon Inspector 使用名為 的受管政策[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html)。此服務連結角色信任`inspector2.amazonaws.com`服務擔任該角色。
名為 的角色的許可政策[https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy)允許 Amazon Inspector 執行任務,例如:
+ 使用 Amazon Elastic Compute Cloud (Amazon EC2) 動作來擷取執行個體和網路路徑的相關資訊。
+ 使用 AWS Systems Manager 動作從 Amazon EC2 執行個體擷取庫存,以及從自訂路徑擷取第三方套件的相關資訊。
+ 使用 AWS Systems Manager `SendCommand`動作來叫用目標執行個體的 CIS 掃描。
+ 使用 Amazon Elastic Container Registry 動作來擷取容器映像的相關資訊。
+ 使用 AWS Lambda 動作來擷取 Lambda 函數的相關資訊。
+ 使用 AWS Organizations 動作來描述相關聯的帳戶。
+ 使用 CloudWatch 動作擷取有關上次叫用 Lambda 函數的資訊。
+ 使用選取 IAM 動作擷取 IAM 政策的相關資訊,這些政策可能會在 Lambda 程式碼中建立安全漏洞。
+ 使用 Amazon Q 動作在 Lambda 函數中執行程式碼掃描。Amazon Inspector 使用以下 Amazon Q 動作:
+ codeguru-security:CreateScan – 准許建立 Amazon Q; 掃描。
+ codeguru-security:GetScan – 准許擷取 Amazon Q 掃描中繼資料。
+ codeguru-security:ListFindings – 准許擷取 Amazon Q 產生的問題清單。
+ codeguru-security:DeleteScansByCategory – 准許 Amazon Q 刪除由 Amazon Inspector 啟動的掃描。
+ codeguru-security:BatchGetFindings – 准許擷取 Amazon Q 產生的一批特定問題清單。
+ 使用選取 Elastic Load Balancing 動作,對屬於 Elastic Load Balancing 目標群組的 EC2 執行個體執行網路掃描。
+ 使用 Amazon ECS 和 Amazon EKS 動作允許唯讀存取以檢視叢集和任務並描述任務。
+ 使用 AWS Organizations 動作列出跨組織的 Amazon Inspector 委派管理員。
+ 使用 Amazon Inspector 動作來啟用和停用跨組織的 Amazon Inspector。
+ 使用 Amazon Inspector 動作來指定委派的管理員帳戶,並將成員帳戶跨組織建立關聯。
**注意**
Amazon Inspector 不再使用 CodeGuru 執行 Lambda 掃描。 AWS 將於 2025 年 11 月 20 日停止對 CodeGuru 的支援。如需詳細資訊,請參閱 [ CodeGuru Security 的終止支援](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html)。Amazon Inspector 現在使用 Amazon Q 執行 Lambda 掃描,不需要本節所述的許可。
若要檢閱此政策的許可,請參閱《 *AWS 受管政策參考指南*》中的 [AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html)。
## 為 Amazon Inspector 建立服務連結角色
您不需要手動建立服務連結角色,當您在 AWS 管理主控台、 AWS CLI或 AWS API 中啟用 Amazon Inspector 時,Amazon Inspector 會為您建立服務連結角色。
## 編輯 Amazon Inspector 的服務連結角色
Amazon Inspector 不允許您編輯`AWSServiceRoleForAmazonInspector2`服務連結角色。建立服務連結角色之後,您就無法變更角色的名稱,因為各種實體可能會參考角色。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Amazon Inspector 的服務連結角色
如果您不再需要使用 Amazon Inspector,我們建議您刪除`AWSServiceRoleForAmazonInspector2`服務連結角色。您必須先在啟用角色的每個 AWS 區域 中停用 Amazon Inspector,才能刪除角色。當您停用 Amazon Inspector 時,不會為您刪除角色。因此,如果您再次啟用 Amazon Inspector,則可以使用現有的角色。如此一來,您就可以避免擁有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您啟用 Amazon Inspector 時,Amazon Inspector 會為您重新建立服務連結角色。
**注意**
如果您嘗試刪除資源時,Amazon Inspector 服務正在使用 角色,刪除可能會失敗。如果發生這種情況,請等待幾分鐘,然後再次嘗試操作。
您可以使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForAmazonInspector2`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
# Amazon Inspector 無代理程式掃描的服務連結角色許可
Amazon Inspector 無代理程式掃描使用名為 的服務連結角色`AWSServiceRoleForAmazonInspector2Agentless`。此 SLR 允許 Amazon Inspector 在您的帳戶中建立 Amazon EBS 磁碟區快照,然後從該快照存取資料。此服務連結角色信任`agentless.inspector2.amazonaws.com`服務擔任該角色。
**重要**
此服務連結角色中的陳述式可防止 Amazon Inspector 對您使用 `InspectorEc2Exclusion`標籤從掃描中排除的任何 EC2 執行個體執行無代理程式掃描。此外,當用於加密磁碟區的 KMS 金鑰具有 `InspectorEc2Exclusion`標籤時,陳述式會防止 Amazon Inspector 從磁碟區存取加密的資料。如需詳細資訊,請參閱[從 Amazon Inspector 掃描排除執行個體](scanning-ec2.md#exclude-ec2)。
名為 的角色的許可政策`AmazonInspector2AgentlessServiceRolePolicy`允許 Amazon Inspector 執行任務,例如:
+ 使用 Amazon Elastic Compute Cloud (Amazon EC2) 動作來擷取 EC2 執行個體、磁碟區和快照的相關資訊。
+ 使用 Amazon EC2 標記動作來標記快照,以便使用`InspectorScan`標籤金鑰進行掃描。
+ 使用 Amazon EC2 快照動作建立快照、使用`InspectorScan`標籤金鑰標記快照,然後刪除已使用`InspectorScan`標籤金鑰標記的 Amazon EBS 磁碟區的快照。
+ 使用 Amazon EBS 動作從標記有標籤`InspectorScan`索引鍵的快照擷取資訊。
+ 使用選取 AWS KMS 解密動作來解密使用 AWS KMS 客戶受管金鑰加密的快照。當用於加密快照的 KMS 金鑰加上標籤時,Amazon Inspector 不會解密快照`InspectorEc2Exclusion`。
角色是使用下列許可政策來設定。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InstanceIdentification",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Sid": "GetSnapshotData",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/InspectorScan": "*"
}
}
},
{
"Sid": "CreateSnapshotsAnyInstanceOrVolume",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Sid": "DenyCreateSnapshotsOnExcludedInstances",
"Effect": "Deny",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/InspectorEc2Exclusion": "true"
}
}
},
{
"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "InspectorScan"
}
}
},
{
"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"ec2:CreateAction": "CreateSnapshots"
},
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "InspectorScan"
}
}
},
{
"Sid": "DeleteOnlySnapshotsTaggedForScanning",
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/InspectorScan": "*"
}
}
},
{
"Sid": "DenyKmsDecryptForExcludedKeys",
"Effect": "Deny",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/InspectorEc2Exclusion": "true"
}
}
},
{
"Sid": "DecryptSnapshotBlocksVolContext",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com",
"kms:EncryptionContext:aws:ebs:id": "vol-*"
}
}
},
{
"Sid": "DecryptSnapshotBlocksSnapContext",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com",
"kms:EncryptionContext:aws:ebs:id": "snap-*"
}
}
},
{
"Sid": "DescribeKeysForEbsOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com"
}
}
},
{
"Sid": "ListKeyResourceTags",
"Effect": "Allow",
"Action": "kms:ListResourceTags",
"Resource": "arn:aws:kms:*:*:key/*"
}
]
}
```
------
## 為無代理程式掃描建立服務連結角色
您不需要手動建立服務連結角色,當您在 AWS 管理主控台、 AWS CLI或 AWS API 中啟用 Amazon Inspector 時,Amazon Inspector 會為您建立服務連結角色。
## 編輯無代理程式掃描的服務連結角色
Amazon Inspector 不允許您編輯`AWSServiceRoleForAmazonInspector2Agentless`服務連結角色。建立服務連結角色之後,您就無法變更角色的名稱,因為各種實體可能會參考角色。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除無代理程式掃描的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。
**重要**
若要刪除`AWSServiceRoleForAmazonInspector2Agentless`角色,您必須在可使用無代理程式掃描的所有區域中,將掃描模式設定為以代理程式為基礎。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForAmazonInspector2Agentless 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。