Permisos de roles vinculados a servicios para análisis sin agente de Amazon Inspector - Amazon Inspector

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos de roles vinculados a servicios para análisis sin agente de Amazon Inspector

El análisis sin agente de Amazon Inspector usa el rol vinculado a servicios denominado AWSServiceRoleForAmazonInspector2Agentless. Este SLR permite a Amazon Inspector crear una instantánea del volumen de Amazon EBS en su cuenta y, a continuación, acceder a los datos de dicha instantánea. Este rol vinculado a servicios confía en el servicio agentless.inspector2.amazonaws.com para asumir el rol.

importante

Las instrucciones de esta función vinculada al servicio impiden que Amazon Inspector escanee sin agente cualquier EC2 instancia que usted haya excluido de los escaneos mediante la etiqueta. InspectorEc2Exclusion Además, las instrucciones impiden que Amazon Inspector acceda a los datos cifrados de un volumen cuando la clave de KMS utilizada para cifrarlos tiene la etiqueta InspectorEc2Exclusion. Para obtener más información, consulte Exclusión de instancias de los análisis de Amazon Inspector.

La política de permisos del rol, que se denomina AmazonInspector2AgentlessServiceRolePolicy, permite a Amazon Inspector realizar tareas como las siguientes:

  • Utilice las acciones de Amazon Elastic Compute Cloud (Amazon EC2) para recuperar información sobre sus EC2 instancias, volúmenes e instantáneas.

    • Usa las acciones de EC2 etiquetado de Amazon para etiquetar instantáneas para escaneos con la clave de InspectorScan etiqueta.

    • Utilice las acciones de EC2 instantáneas de Amazon para crear instantáneas, etiquételas con la clave de InspectorScan etiqueta y, a continuación, elimine las instantáneas de los volúmenes de Amazon EBS que se hayan etiquetado con la InspectorScan clave de etiqueta.

  • Utilizar las acciones de Amazon EBS para recuperar información de las instantáneas etiquetadas con la clave de la etiqueta InspectorScan.

  • Utilice determinadas acciones de AWS KMS descifrado para descifrar las instantáneas cifradas con claves administradas por el cliente. AWS KMS Amazon Inspector no descifra las instantáneas cuando la clave de KMS utilizada para cifrarlas está etiquetada con la etiqueta InspectorEc2Exclusion.

El rol se configura con la siguiente política de permisos.

JSON

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "InstanceIdentification",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeVolumes",
				"ec2:DescribeSnapshots"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetSnapshotData",
			"Effect": "Allow",
			"Action": [
				"ebs:ListSnapshotBlocks",
				"ebs:GetSnapshotBlock"
			],
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"aws:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsAnyInstanceOrVolume",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:volume/*"
			]
		},
		{
			"Sid": "DenyCreateSnapshotsOnExcludedInstances",
			"Effect": "Deny",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:instance/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:CreateAction": "CreateSnapshots"
				},
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "DeleteOnlySnapshotsTaggedForScanning",
			"Effect": "Allow",
			"Action": "ec2:DeleteSnapshot",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "DenyKmsDecryptForExcludedKeys",
			"Effect": "Deny",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksVolContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "vol-*"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksSnapContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "snap-*"
				}
			}
		},
		{
			"Sid": "DescribeKeysForEbsOperations",
			"Effect": "Allow",
			"Action": "kms:DescribeKey",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListKeyResourceTags",
			"Effect": "Allow",
			"Action": "kms:ListResourceTags",
			"Resource": "arn:aws:kms:*:*:key/*"
		}
	]
}