Permisos de roles vinculados a servicios para análisis sin agente de Amazon Inspector - Amazon Inspector

Permisos de roles vinculados a servicios para análisis sin agente de Amazon Inspector

El análisis sin agente de Amazon Inspector usa el rol vinculado a servicios denominado AWSServiceRoleForAmazonInspector2Agentless. Este SLR permite a Amazon Inspector crear una instantánea del volumen de Amazon EBS en su cuenta y, a continuación, acceder a los datos de dicha instantánea. Este rol vinculado a servicios confía en el servicio agentless.inspector2.amazonaws.com para asumir el rol.

importante

Las instrucciones de este rol vinculado a un servicio impiden que Amazon Inspector realice análisis sin agente en cualquier instancia de EC2 que el usuario haya excluido de las exploraciones mediante la etiqueta InspectorEc2Exclusion. Además, las instrucciones impiden que Amazon Inspector acceda a los datos cifrados de un volumen cuando la clave de KMS utilizada para cifrarlos tiene la etiqueta InspectorEc2Exclusion. Para obtener más información, consulte Exclusión de instancias de los análisis de Amazon Inspector.

La política de permisos del rol, que se denomina AmazonInspector2AgentlessServiceRolePolicy, permite a Amazon Inspector realizar tareas como las siguientes:

  • Utilizar las acciones de Amazon Elastic Compute Cloud (Amazon EC2) para recuperar información sobre las instancias, los volúmenes y las instantáneas de EC2.

    • Utilizar las acciones de etiquetado de Amazon EC2 para etiquetar las instantáneas para los análisis con la clave de la etiqueta InspectorScan.

    • Utilizar las acciones de instantáneas de Amazon EC2 para crear instantáneas, etiquetarlas con la clave de la etiqueta InspectorScan y, a continuación, eliminar las instantáneas de los volúmenes de Amazon EBS que se hayan etiquetado con la clave de la etiqueta InspectorScan.

  • Utilizar las acciones de Amazon EBS para recuperar información de las instantáneas etiquetadas con la clave de la etiqueta InspectorScan.

  • Utilizar determinadas acciones de descifrado de AWS KMS para descifrar las instantáneas cifradas con claves administradas por el cliente de AWS KMS. Amazon Inspector no descifra las instantáneas cuando la clave de KMS utilizada para cifrarlas está etiquetada con la etiqueta InspectorEc2Exclusion.

El rol se configura con la siguiente política de permisos.

JSON

{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "InstanceIdentification",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeVolumes",
				"ec2:DescribeSnapshots"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetSnapshotData",
			"Effect": "Allow",
			"Action": [
				"ebs:ListSnapshotBlocks",
				"ebs:GetSnapshotBlock"
			],
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"aws:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsAnyInstanceOrVolume",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:volume/*"
			]
		},
		{
			"Sid": "DenyCreateSnapshotsOnExcludedInstances",
			"Effect": "Deny",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:instance/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:CreateAction": "CreateSnapshots"
				},
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "DeleteOnlySnapshotsTaggedForScanning",
			"Effect": "Allow",
			"Action": "ec2:DeleteSnapshot",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "DenyKmsDecryptForExcludedKeys",
			"Effect": "Deny",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksVolContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "vol-*"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksSnapContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "snap-*"
				}
			}
		},
		{
			"Sid": "DescribeKeysForEbsOperations",
			"Effect": "Allow",
			"Action": "kms:DescribeKey",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListKeyResourceTags",
			"Effect": "Allow",
			"Action": "kms:ListResourceTags",
			"Resource": "arn:aws:kms:*:*:key/*"
		}
	]
}