Autorisations de rôle liées à un service pour les scans sans agent Amazon Inspector - Amazon Inspector

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations de rôle liées à un service pour les scans sans agent Amazon Inspector

Le scan sans agent Amazon Inspector utilise le rôle lié au service nommé. AWSServiceRoleForAmazonInspector2Agentless Ce reflex permet à Amazon Inspector de créer un instantané du volume Amazon EBS dans votre compte, puis d'accéder aux données de cet instantané. Ce rôle lié au service fait confiance au agentless.inspector2.amazonaws.com service pour assumer le rôle.

Important

Les instructions de ce rôle lié au service empêchent Amazon Inspector d'effectuer des scans sans agent sur toute EC2 instance que vous avez exclue des scans à l'aide de la balise. InspectorEc2Exclusion En outre, les instructions empêchent Amazon Inspector d'accéder aux données chiffrées d'un volume lorsque la clé KMS utilisée pour le chiffrer possède le InspectorEc2Exclusion tag. Pour de plus amples informations, veuillez consulter Exclure les instances des scans Amazon Inspector.

La politique d'autorisation pour le rôle, qui est nomméAmazonInspector2AgentlessServiceRolePolicy, permet à Amazon Inspector d'effectuer des tâches telles que :

  • Utilisez les actions Amazon Elastic Compute Cloud (Amazon EC2) pour récupérer des informations sur vos EC2 instances, volumes et instantanés.

    • Utilisez les actions de EC2 balisage Amazon pour étiqueter les instantanés à numériser à l'aide de la InspectorScan clé de balise.

    • Utilisez les actions Amazon EC2 Snapshot pour créer des instantanés, les étiqueter avec la clé de InspectorScan balise, puis supprimer les instantanés des volumes Amazon EBS marqués avec la InspectorScan clé de balise.

  • Utilisez les actions Amazon EBS pour récupérer des informations à partir de clichés marqués avec la InspectorScan clé de balise.

  • Utilisez certaines actions de AWS KMS déchiffrement pour déchiffrer les instantanés chiffrés à l'aide de clés gérées par AWS KMS le client. Amazon Inspector ne déchiffre pas les instantanés lorsque la clé KMS utilisée pour les chiffrer est étiquetée avec la balise. InspectorEc2Exclusion

Le rôle est configuré selon la politique d'autorisation suivante.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "InstanceIdentification",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeVolumes",
				"ec2:DescribeSnapshots"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetSnapshotData",
			"Effect": "Allow",
			"Action": [
				"ebs:ListSnapshotBlocks",
				"ebs:GetSnapshotBlock"
			],
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"aws:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsAnyInstanceOrVolume",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:volume/*"
			]
		},
		{
			"Sid": "DenyCreateSnapshotsOnExcludedInstances",
			"Effect": "Deny",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:instance/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:CreateAction": "CreateSnapshots"
				},
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "DeleteOnlySnapshotsTaggedForScanning",
			"Effect": "Allow",
			"Action": "ec2:DeleteSnapshot",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "DenyKmsDecryptForExcludedKeys",
			"Effect": "Deny",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksVolContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "vol-*"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksSnapContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "snap-*"
				}
			}
		},
		{
			"Sid": "DescribeKeysForEbsOperations",
			"Effect": "Allow",
			"Action": "kms:DescribeKey",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListKeyResourceTags",
			"Effect": "Allow",
			"Action": "kms:ListResourceTags",
			"Resource": "arn:aws:kms:*:*:key/*"
		}
	]
}