Servicebezogene Rollenberechtigungen für agentenlose Amazon Inspector-Scans - Amazon Inspector

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Servicebezogene Rollenberechtigungen für agentenlose Amazon Inspector-Scans

Das agentenlose Scannen von Amazon Inspector verwendet die angegebene, mit dem Service verknüpfte Rolle. AWSServiceRoleForAmazonInspector2Agentless Mit dieser Spiegelreflexkamera kann Amazon Inspector einen Amazon EBS-Volume-Snapshot in Ihrem Konto erstellen und dann auf die Daten aus diesem Snapshot zugreifen. Diese dienstbezogene Rolle vertraut darauf, dass der agentless.inspector2.amazonaws.com Service die Rolle übernimmt.

Wichtig

Die Anweisungen in dieser servicebezogenen Rolle verhindern, dass Amazon Inspector agentenlose Scans für alle EC2 Instances durchführt, die Sie mithilfe des InspectorEc2Exclusion Tags von Scans ausgeschlossen haben. Darüber hinaus verhindern die Anweisungen, dass Amazon Inspector auf verschlüsselte Daten von einem Volume zugreift, wenn der für die Verschlüsselung verwendete KMS-Schlüssel das InspectorEc2Exclusion Tag trägt. Weitere Informationen finden Sie unter Instanzen von Amazon Inspector-Scans ausschließen.

Die Berechtigungsrichtlinie für die Rolle, die benannt istAmazonInspector2AgentlessServiceRolePolicy, ermöglicht es Amazon Inspector, Aufgaben wie die folgenden auszuführen:

  • Verwenden Sie Amazon Elastic Compute Cloud (Amazon EC2) -Aktionen, um Informationen über Ihre EC2 Instances, Volumes und Snapshots abzurufen.

    • Verwenden Sie EC2 Amazon-Tagging-Aktionen, um Schnappschüsse für Scans mit dem InspectorScan Tag-Schlüssel zu kennzeichnen.

    • Verwenden Sie EC2 Amazon-Snapshot-Aktionen, um Snapshots zu erstellen, sie mit dem InspectorScan Tag-Schlüssel zu kennzeichnen und anschließend Snapshots von Amazon EBS-Volumes zu löschen, die mit dem InspectorScan Tag-Schlüssel gekennzeichnet wurden.

  • Verwenden Sie Amazon EBS-Aktionen, um Informationen aus Snapshots abzurufen, die mit dem InspectorScan Tag-Schlüssel gekennzeichnet sind.

  • Verwenden Sie ausgewählte AWS KMS Entschlüsselungsaktionen, um Snapshots zu entschlüsseln, die mit vom Kunden verwalteten Schlüsseln verschlüsselt wurden. AWS KMS Amazon Inspector entschlüsselt keine Snapshots, wenn der KMS-Schlüssel, mit dem sie verschlüsselt wurden, mit dem Tag gekennzeichnet ist. InspectorEc2Exclusion

Die Rolle ist mit der folgenden Berechtigungsrichtlinie konfiguriert.

JSON

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "InstanceIdentification",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeVolumes",
				"ec2:DescribeSnapshots"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetSnapshotData",
			"Effect": "Allow",
			"Action": [
				"ebs:ListSnapshotBlocks",
				"ebs:GetSnapshotBlock"
			],
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"aws:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsAnyInstanceOrVolume",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:volume/*"
			]
		},
		{
			"Sid": "DenyCreateSnapshotsOnExcludedInstances",
			"Effect": "Deny",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:instance/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:CreateAction": "CreateSnapshots"
				},
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "DeleteOnlySnapshotsTaggedForScanning",
			"Effect": "Allow",
			"Action": "ec2:DeleteSnapshot",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "DenyKmsDecryptForExcludedKeys",
			"Effect": "Deny",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksVolContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "vol-*"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksSnapContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "snap-*"
				}
			}
		},
		{
			"Sid": "DescribeKeysForEbsOperations",
			"Effect": "Allow",
			"Action": "kms:DescribeKey",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListKeyResourceTags",
			"Effect": "Allow",
			"Action": "kms:ListResourceTags",
			"Resource": "arn:aws:kms:*:*:key/*"
		}
	]
}