Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von serviceverknüpften Rollen für Amazon Inspector
Amazon Inspector verwendet eine AWS Identity and Access Management (IAM) [-Serviceverknüpfte Rolle mit dem Namen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). `AWSServiceRoleForAmazonInspector2` Bei dieser serviceverknüpften Rolle handelt es sich um eine IAM-Rolle, die direkt mit Amazon Inspector verknüpft ist. Es ist von Amazon Inspector vordefiniert und beinhaltet alle Berechtigungen, die Amazon Inspector benötigt, um andere in AWS-Services Ihrem Namen anzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Amazon Inspector, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Inspector definiert die Berechtigungen seiner serviceverknüpften Rolle. Sofern nicht anders definiert, kann nur Amazon Inspector die Rolle übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. eine Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*. Sie können eine dienstverknüpfte Rolle erst löschen, nachdem Sie die zugehörigen Ressourcen gelöscht haben. Dadurch werden Ihre Amazon Inspector Inspector-Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
**Informationen zu anderen Diensten, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Serviceverknüpfte Rollen nach den Diensten, für die **Ja steht**.** Wählen Sie **Ja** mit einem Link aus, um die Dokumentation zu serviceverknüpften Rollen für diesen Dienst zu lesen.
# Servicebezogene Rollenberechtigungen für Amazon Inspector
Amazon Inspector verwendet die verwaltete Richtlinie mit dem Namen [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html). Diese dienstbezogene Rolle vertraut darauf, dass der `inspector2.amazonaws.com` Service die Rolle übernimmt.
Die Berechtigungsrichtlinie für die Rolle, die benannt ist [https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy), ermöglicht es Amazon Inspector, Aufgaben wie die folgenden auszuführen:
+ Verwenden Sie Amazon Elastic Compute Cloud (Amazon EC2) -Aktionen, um Informationen über Ihre Instances und Netzwerkpfade abzurufen.
+ Verwenden Sie AWS Systems Manager Aktionen, um Inventar von Ihren Amazon EC2 EC2-Instances abzurufen und Informationen über Pakete von Drittanbietern aus benutzerdefinierten Pfaden abzurufen.
+ Verwenden Sie die AWS Systems Manager `SendCommand` Aktion, um CIS-Scans für Ziel-Instances aufzurufen.
+ Verwenden Sie Amazon Elastic Container Registry-Aktionen, um Informationen über Ihre Container-Images abzurufen.
+ Verwenden Sie AWS Lambda Aktionen, um Informationen über Ihre Lambda-Funktionen abzurufen.
+ Verwenden Sie AWS Organizations Aktionen, um zugehörige Konten zu beschreiben.
+ Verwenden Sie CloudWatch Aktionen, um Informationen darüber abzurufen, wann Ihre Lambda-Funktionen zuletzt aufgerufen wurden.
+ Verwenden Sie ausgewählte IAM-Aktionen, um Informationen über Ihre IAM-Richtlinien abzurufen, die zu Sicherheitslücken in Ihrem Lambda-Code führen könnten.
+ Verwenden Sie Amazon Q-Aktionen, um den Code in Ihren Lambda-Funktionen zu scannen. Amazon Inspector verwendet die folgenden Amazon Q-Aktionen:
+ codeguru-security: CreateScan — Erteilt die Erlaubnis, einen Amazon Q; -Scan zu erstellen.
+ codeguru-security: GetScan — Erteilt die Erlaubnis, Amazon Q-Scan-Metadaten abzurufen.
+ codeguru-security: ListFindings — Erteilt die Erlaubnis, von Amazon Q generierte Ergebnisse abzurufen.
+ codeguru-security: DeleteScansByCategory — Erteilt Amazon Q die Erlaubnis, von Amazon Inspector initiierte Scans zu löschen.
+ codeguru-security: BatchGetFindings — Erteilt die Erlaubnis, eine Reihe von spezifischen Ergebnissen abzurufen, die von Amazon Q generiert wurden.
+ Verwenden Sie ausgewählte Elastic Load Balancing Balancing-Aktionen, um Netzwerkscans von EC2-Instances durchzuführen, die Teil der Elastic Load Balancing Balancing-Zielgruppen sind.
+ Verwenden Sie Amazon ECS- und Amazon EKS-Aktionen, um nur Lesezugriff zu gewähren, um Cluster und Aufgaben anzuzeigen und Aufgaben zu beschreiben.
+ Verwenden Sie AWS Organizations Aktionen, um delegierte Administratoren für Amazon Inspector organisationsübergreifend aufzulisten.
+ Verwenden Sie Amazon Inspector-Aktionen, um Amazon Inspector organisationsübergreifend zu aktivieren und zu deaktivieren.
+ Verwenden Sie Amazon Inspector Inspector-Aktionen, um delegierte Administratorkonten zu benennen und Mitgliedskonten organisationsübergreifend zuzuordnen.
**Anmerkung**
Amazon Inspector verwendet CodeGuru keine Lambda-Scans mehr. AWS wird den Support für den 20. CodeGuru November 2025 einstellen. Weitere Informationen finden Sie unter [Ende des Supports für CodeGuru Security](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html). Amazon Inspector verwendet jetzt Amazon Q zur Durchführung von Lambda-Scans und benötigt nicht die in diesem Abschnitt beschriebenen Berechtigungen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html) im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## Eine serviceverknüpfte Rolle für Amazon Inspector erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Amazon Inspector in der AWS-Managementkonsole, der oder der AWS API aktivieren AWS CLI, erstellt Amazon Inspector die serviceverknüpfte Rolle für Sie.
## Bearbeiten einer serviceverknüpften Rolle für Amazon Inspector
Amazon Inspector erlaubt Ihnen nicht, die `AWSServiceRoleForAmazonInspector2` serviceverknüpfte Rolle zu bearbeiten. Nachdem eine serviceverknüpfte Rolle erstellt wurde, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten möglicherweise auf die Rolle verweisen. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Amazon Inspector
Wenn Sie Amazon Inspector nicht mehr verwenden müssen, empfehlen wir Ihnen, die `AWSServiceRoleForAmazonInspector2` serviceverknüpfte Rolle zu löschen. Bevor Sie die Rolle löschen können, müssen Sie Amazon Inspector in allen Bereichen deaktivieren, in AWS-Region denen sie aktiviert ist. Wenn Sie Amazon Inspector deaktivieren, wird die Rolle nicht für Sie gelöscht. Wenn Sie Amazon Inspector erneut aktivieren, kann Amazon Inspector daher die bestehende Rolle verwenden. Auf diese Weise können Sie vermeiden, dass eine ungenutzte Entität nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
Wenn Sie diese serviceverknüpfte Rolle löschen und dann erneut erstellen müssen, können Sie die Rolle in Ihrem Konto mit demselben Verfahren neu anlegen. Wenn Sie Amazon Inspector aktivieren, erstellt Amazon Inspector die serviceverknüpfte Rolle für Sie neu.
**Anmerkung**
Wenn der Amazon Inspector-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Warten Sie in diesem Fall einige Minuten und führen Sie den Vorgang dann erneut aus.
Sie können die IAM-Konsole, die oder die AWS API verwenden AWS CLI, um die `AWSServiceRoleForAmazonInspector2` serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
# Servicebezogene Rollenberechtigungen für agentenlose Amazon Inspector-Scans
Das agentenlose Scannen von Amazon Inspector verwendet die angegebene, mit dem Service verknüpfte Rolle. `AWSServiceRoleForAmazonInspector2Agentless` Mit dieser Spiegelreflexkamera kann Amazon Inspector einen Amazon EBS-Volume-Snapshot in Ihrem Konto erstellen und dann auf die Daten aus diesem Snapshot zugreifen. Diese dienstbezogene Rolle vertraut darauf, dass der `agentless.inspector2.amazonaws.com` Service die Rolle übernimmt.
**Wichtig**
Die Anweisungen in dieser servicebezogenen Rolle verhindern, dass Amazon Inspector agentenlose Scans auf allen EC2-Instances durchführt, die Sie mithilfe des Tags von Scans ausgeschlossen haben. `InspectorEc2Exclusion` Darüber hinaus verhindern die Anweisungen, dass Amazon Inspector auf verschlüsselte Daten von einem Volume zugreift, wenn der für die Verschlüsselung verwendete KMS-Schlüssel das `InspectorEc2Exclusion` Tag trägt. Weitere Informationen finden Sie unter [Instances von Amazon Inspector-Scans ausschließen](scanning-ec2.md#exclude-ec2).
Die Berechtigungsrichtlinie für die Rolle, die benannt ist`AmazonInspector2AgentlessServiceRolePolicy`, ermöglicht es Amazon Inspector, Aufgaben wie die folgenden auszuführen:
+ Verwenden Sie Amazon Elastic Compute Cloud (Amazon EC2) -Aktionen, um Informationen über Ihre EC2-Instances, Volumes und Snapshots abzurufen.
+ Verwenden Sie Amazon EC2-Tagging-Aktionen, um Schnappschüsse für Scans mit dem `InspectorScan` Tag-Schlüssel zu taggen.
+ Verwenden Sie Amazon EC2-Snapshot-Aktionen, um Snapshots zu erstellen, sie mit dem `InspectorScan` Tag-Schlüssel zu kennzeichnen und anschließend Snapshots von Amazon EBS-Volumes zu löschen, die mit dem Tag-Schlüssel gekennzeichnet wurden. `InspectorScan`
+ Verwenden Sie Amazon EBS-Aktionen, um Informationen aus Snapshots abzurufen, die mit dem `InspectorScan` Tag-Schlüssel gekennzeichnet sind.
+ Verwenden Sie ausgewählte AWS KMS Entschlüsselungsaktionen, um Snapshots zu entschlüsseln, die mit vom Kunden verwalteten Schlüsseln verschlüsselt wurden. AWS KMS Amazon Inspector entschlüsselt keine Snapshots, wenn der KMS-Schlüssel, mit dem sie verschlüsselt wurden, mit dem Tag gekennzeichnet ist. `InspectorEc2Exclusion`
Die Rolle ist mit der folgenden Berechtigungsrichtlinie konfiguriert.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InstanceIdentification",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Sid": "GetSnapshotData",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/InspectorScan": "*"
}
}
},
{
"Sid": "CreateSnapshotsAnyInstanceOrVolume",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Sid": "DenyCreateSnapshotsOnExcludedInstances",
"Effect": "Deny",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/InspectorEc2Exclusion": "true"
}
}
},
{
"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "InspectorScan"
}
}
},
{
"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"ec2:CreateAction": "CreateSnapshots"
},
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "InspectorScan"
}
}
},
{
"Sid": "DeleteOnlySnapshotsTaggedForScanning",
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/InspectorScan": "*"
}
}
},
{
"Sid": "DenyKmsDecryptForExcludedKeys",
"Effect": "Deny",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/InspectorEc2Exclusion": "true"
}
}
},
{
"Sid": "DecryptSnapshotBlocksVolContext",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com",
"kms:EncryptionContext:aws:ebs:id": "vol-*"
}
}
},
{
"Sid": "DecryptSnapshotBlocksSnapContext",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com",
"kms:EncryptionContext:aws:ebs:id": "snap-*"
}
}
},
{
"Sid": "DescribeKeysForEbsOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com"
}
}
},
{
"Sid": "ListKeyResourceTags",
"Effect": "Allow",
"Action": "kms:ListResourceTags",
"Resource": "arn:aws:kms:*:*:key/*"
}
]
}
```
------
## Erstellung einer serviceverknüpften Rolle für agentenloses Scannen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Amazon Inspector in der AWS-Managementkonsole, der oder der AWS API aktivieren AWS CLI, erstellt Amazon Inspector die serviceverknüpfte Rolle für Sie.
## Bearbeitung einer serviceverknüpften Rolle für agentenloses Scannen
Amazon Inspector erlaubt Ihnen nicht, die `AWSServiceRoleForAmazonInspector2Agentless` serviceverknüpfte Rolle zu bearbeiten. Nachdem eine serviceverknüpfte Rolle erstellt wurde, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten möglicherweise auf die Rolle verweisen. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für das Scannen ohne Agenten
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird.
**Wichtig**
Um die `AWSServiceRoleForAmazonInspector2Agentless` Rolle zu löschen, müssen Sie Ihren Scanmodus in allen Regionen, in denen agentenloses Scannen verfügbar ist, auf agentenbasiert einstellen.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API, um die AWS CLI serviceverknüpfte AWSService RoleForAmazonInspector 2Agentless-Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.