Servicebezogene Rollenberechtigungen für agentenlose Amazon Inspector-Scans - Amazon Inspector

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Servicebezogene Rollenberechtigungen für agentenlose Amazon Inspector-Scans

Das agentenlose Scannen von Amazon Inspector verwendet die angegebene, mit dem Service verknüpfte Rolle. AWSServiceRoleForAmazonInspector2Agentless Mit dieser Spiegelreflexkamera kann Amazon Inspector einen Amazon EBS-Volume-Snapshot in Ihrem Konto erstellen und dann auf die Daten aus diesem Snapshot zugreifen. Diese dienstbezogene Rolle vertraut darauf, dass der agentless.inspector2.amazonaws.com Service die Rolle übernimmt.

Wichtig

Die Anweisungen in dieser servicebezogenen Rolle verhindern, dass Amazon Inspector agentenlose Scans auf allen EC2-Instances durchführt, die Sie mithilfe des Tags von Scans ausgeschlossen haben. InspectorEc2Exclusion Darüber hinaus verhindern die Anweisungen, dass Amazon Inspector auf verschlüsselte Daten von einem Volume zugreift, wenn der für die Verschlüsselung verwendete KMS-Schlüssel das InspectorEc2Exclusion Tag trägt. Weitere Informationen finden Sie unter Instances von Amazon Inspector-Scans ausschließen.

Die Berechtigungsrichtlinie für die Rolle, die benannt istAmazonInspector2AgentlessServiceRolePolicy, ermöglicht es Amazon Inspector, Aufgaben wie die folgenden auszuführen:

  • Verwenden Sie Amazon Elastic Compute Cloud (Amazon EC2) -Aktionen, um Informationen über Ihre EC2-Instances, Volumes und Snapshots abzurufen.

    • Verwenden Sie Amazon EC2-Tagging-Aktionen, um Schnappschüsse für Scans mit dem InspectorScan Tag-Schlüssel zu taggen.

    • Verwenden Sie Amazon EC2-Snapshot-Aktionen, um Snapshots zu erstellen, sie mit dem InspectorScan Tag-Schlüssel zu kennzeichnen und anschließend Snapshots von Amazon EBS-Volumes zu löschen, die mit dem Tag-Schlüssel gekennzeichnet wurden. InspectorScan

  • Verwenden Sie Amazon EBS-Aktionen, um Informationen aus Snapshots abzurufen, die mit dem InspectorScan Tag-Schlüssel gekennzeichnet sind.

  • Verwenden Sie ausgewählte AWS KMS Entschlüsselungsaktionen, um Snapshots zu entschlüsseln, die mit vom Kunden verwalteten Schlüsseln verschlüsselt wurden. AWS KMS Amazon Inspector entschlüsselt keine Snapshots, wenn der KMS-Schlüssel, mit dem sie verschlüsselt wurden, mit dem Tag gekennzeichnet ist. InspectorEc2Exclusion

Die Rolle ist mit der folgenden Berechtigungsrichtlinie konfiguriert.

JSON

{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "InstanceIdentification",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeVolumes",
				"ec2:DescribeSnapshots"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetSnapshotData",
			"Effect": "Allow",
			"Action": [
				"ebs:ListSnapshotBlocks",
				"ebs:GetSnapshotBlock"
			],
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"aws:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsAnyInstanceOrVolume",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:volume/*"
			]
		},
		{
			"Sid": "DenyCreateSnapshotsOnExcludedInstances",
			"Effect": "Deny",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:instance/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:CreateAction": "CreateSnapshots"
				},
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "DeleteOnlySnapshotsTaggedForScanning",
			"Effect": "Allow",
			"Action": "ec2:DeleteSnapshot",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "DenyKmsDecryptForExcludedKeys",
			"Effect": "Deny",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksVolContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "vol-*"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksSnapContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "snap-*"
				}
			}
		},
		{
			"Sid": "DescribeKeysForEbsOperations",
			"Effect": "Allow",
			"Action": "kms:DescribeKey",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListKeyResourceTags",
			"Effect": "Allow",
			"Action": "kms:ListResourceTags",
			"Resource": "arn:aws:kms:*:*:key/*"
		}
	]
}