Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity and Access Management per Amazon Inspector
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuare l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Amazon Inspector. IAM è uno strumento Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona Amazon Inspector con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per Amazon Inspector](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per Amazon Inspector](security-iam-awsmanpol.md)
+ [Utilizzo di ruoli collegati ai servizi per Amazon Inspector](using-service-linked-roles.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Inspector](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Inspector](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Amazon Inspector con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per Amazon Inspector](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Amazon Inspector con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon Inspector, scopri quali funzionalità IAM sono disponibili per l'uso con Amazon Inspector.
**Funzionalità IAM che puoi utilizzare con Amazon Inspector**
| Funzionalità IAM | Supporto per Amazon Inspector |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Parziale |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | No |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una panoramica generale del funzionamento di Amazon Inspector e Servizi AWS altri con la maggior parte delle funzionalità IAM, [Servizi AWS consulta la sezione dedicata alla compatibilità con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM nella IAM User *Guide*.
## Politiche basate sull'identità per Amazon Inspector
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate sull'identità per Amazon Inspector
Per visualizzare esempi di politiche basate sull'identità di Amazon Inspector, consulta. [Esempi di policy basate sull'identità per Amazon Inspector](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di Amazon Inspector
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per Amazon Inspector
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l’accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni di eseguire l’operazione associata.
*Per visualizzare un elenco delle azioni di Amazon Inspector, consulta [Azioni definite da Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions) nel Service Authorization Reference.*
Le azioni politiche in Amazon Inspector utilizzano il seguente prefisso prima dell'azione:
```
inspector2
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"inspector2:action1",
"inspector2:action2"
]
```
Per visualizzare esempi di politiche basate sull'identità di Amazon Inspector, consulta. [Esempi di policy basate sull'identità per Amazon Inspector](security_iam_id-based-policy-examples.md)
## Risorse relative alle policy per Amazon Inspector
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
*Per visualizzare un elenco dei tipi di risorse di Amazon Inspector e relativi ARNs, consulta [Risorse definite da Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-resources-for-iam-policies) nel Service Authorization Reference.* Per sapere con quali azioni è possibile specificare l'ARN di ogni risorsa, consulta [Azioni definite da Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità di Amazon Inspector, consulta. [Esempi di policy basate sull'identità per Amazon Inspector](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle politiche per Amazon Inspector
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
*Per visualizzare un elenco dei codici di condizione di Amazon Inspector, consulta [Condition keys for Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-policy-keys) nel Service Authorization Reference.* Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html#amazoninspector2-actions-as-permissions).
Per visualizzare esempi di politiche basate sull'identità di Amazon Inspector, consulta. [Esempi di policy basate sull'identità per Amazon Inspector](security_iam_id-based-policy-examples.md)
## ACLs in Amazon Inspector
**Supporti ACLs: no**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con Amazon Inspector
**Supporta ABAC (tag nelle policy):** parzialmente
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con Amazon Inspector
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per Amazon Inspector
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale che chiama an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Amazon Inspector
**Supporta i ruoli di servizio:** no
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta la sezione [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di Amazon Inspector. Modifica i ruoli di servizio solo quando Amazon Inspector fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per Amazon Inspector
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati al servizio, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Esempi di policy basate sull'identità per Amazon Inspector
Per impostazione predefinita, gli utenti e i ruoli non sono autorizzati a creare o modificare risorse Amazon Inspector. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
*Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da Amazon Inspector, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon Inspector](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoninspector2.html) nel Service Authorization Reference.*
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Amazon Inspector](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Consenti l'accesso in sola lettura a tutte le risorse Amazon Inspector](#security_iam_id-based-policy-examples-read-only)
+ [Consenti l'accesso completo a tutte le risorse di Amazon Inspector](#security_iam_id-based-policy-examples-full-access)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Inspector nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Amazon Inspector
Per accedere alla console Amazon Inspector, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Amazon Inspector presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano continuare a utilizzare la console Amazon Inspector, collega anche Amazon `ConsoleAccess` Inspector `ReadOnly` AWS o la policy gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l'API o. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Consenti l'accesso in sola lettura a tutte le risorse Amazon Inspector
Questo esempio mostra una policy che consente l'accesso in sola lettura a tutte le risorse di Amazon Inspector.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"inspector2:Describe*",
"inspector2:Get*",
"inspector2:BatchGet*",
"inspector2:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
------
## Consenti l'accesso completo a tutte le risorse di Amazon Inspector
Questo esempio mostra una policy che consente l'accesso completo a tutte le risorse di Amazon Inspector.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "inspector2:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "inspector2.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
```
------
# AWS politiche gestite per Amazon Inspector
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d’uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l’utente di IAM*.
## AWS politica gestita: AmazonInspector2FullAccess\$1v2
È possibile allegare la policy `AmazonInspector2FullAccess_v2` alle identità IAM.
Questa politica garantisce l'accesso completo ad Amazon Inspector e l'accesso ad altri servizi correlati.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `inspector2`— Consente l'accesso completo ad Amazon Inspector APIs.
+ `codeguru-security`— Consente agli amministratori di recuperare i risultati di sicurezza e le impostazioni di configurazione per un account.
+ `iam`— Consente ad Amazon Inspector di creare ruoli collegati ai servizi e. `AWSServiceRoleForAmazonInspector2` `AWSServiceRoleForAmazonInspector2Agentless` `AWSServiceRoleForAmazonInspector2`è necessario per Amazon Inspector per eseguire operazioni come il recupero di informazioni sulle istanze Amazon EC2, i repository Amazon ECR e le immagini dei contenitori Amazon ECR. È inoltre necessario decrittografare gli snapshot di Amazon EBS crittografati con chiavi. AWS KMS Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon Inspector](using-service-linked-roles.md).
+ `organizations`— `AllowServicePrincipalBasedAccessToOrganizationApis` consente solo ai responsabili del servizio di creare ruoli collegati ai servizi per Account AWS, registrarne uno Account AWS come amministratore delegato per un'organizzazione ed elencare gli amministratori delegati di un'organizzazione. `AllowOrganizationalBasedAccessToOrganizationApis`consente al titolare della polizza di recuperare informazioni, in particolare a livello di risorsa, su un'unità organizzativa. ARNs `AllowAccountsBasedAccessToOrganizationApis`consente al titolare della polizza di recuperare informazioni, in particolare a livello di risorsa, su un. ARNs Account AWS`AllowAccessToOrganizationApis`consente al titolare della polizza di visualizzare le informazioni Servizi AWS integrate con un'organizzazione e con l'organizzazione. La politica consente di elencare le politiche organizzative di Inspector filtrando in base ai tipi di criteri di Inspector, di visualizzare le politiche delle risorse di delega stabilite dagli account di gestione e di visualizzare le politiche di Inspector efficaci applicate agli account.
**Nota**
Amazon Inspector non esegue più scansioni CodeGuru Lambda. AWS interromperà il supporto il 20 CodeGuru novembre 2025. Per ulteriori informazioni, consulta [Fine del supporto per la CodeGuru sicurezza](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html). Amazon Inspector ora utilizza Amazon Q per eseguire scansioni Lambda e non richiede le autorizzazioni descritte in questa sezione.
*Per esaminare le autorizzazioni per questa politica, consulta [AmazonInspector2 FullAccess \$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess_v2.html) nella Managed Policy Reference Guide.AWS *
## AWS politica gestita: AWSInspector2OrganizationsAccess
È possibile allegare la policy `AWSInspector2OrganizationsAccess` alle identità IAM.
Questa politica concede le autorizzazioni amministrative per abilitare e gestire Amazon Inspector per un'organizzazione in. AWS Organizations Le autorizzazioni per questa politica consentono all'account di gestione dell'organizzazione di designare l'account amministratore delegato per Amazon Inspector. Consentono inoltre all'account amministratore delegato di abilitare gli account dell'organizzazione come account membro.
Questa politica fornisce solo le autorizzazioni per. AWS Organizations L'account di gestione dell'organizzazione e l'account amministratore delegato richiedono inoltre le autorizzazioni per le azioni associate. Queste autorizzazioni possono essere concesse utilizzando la politica gestita`AmazonInspector2FullAccess_v2`.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `organizations:ListAccounts`— Consente ai responsabili di recuperare l'elenco degli account che fanno parte di un'organizzazione.
+ `organizations:DescribeOrganization`— Consente ai dirigenti di recuperare informazioni sull'organizzazione.
+ `organizations:ListRoots`— Consente ai dirigenti di elencare la radice di un'organizzazione.
+ `organizations:ListDelegatedAdministrators`— Consente ai dirigenti di elencare l'amministratore delegato di un'organizzazione.
+ `organizations:ListAWSServiceAccessForOrganization`— Consente ai dirigenti di elencare le informazioni utilizzate da un' Servizi AWS organizzazione.
+ `organizations:ListOrganizationalUnitsForParent`— Consente ai responsabili di elencare le unità organizzative (OU) secondarie di un'unità organizzativa principale.
+ `organizations:ListAccountsForParent`— Consente ai responsabili di elencare gli account secondari di un'unità organizzativa principale.
+ `organizations:ListParents`— Elenca le unità principali o organizzative (OUs) che fungono da elemento principale dell'unità organizzativa o dell'account figlio specificato.
+ `organizations:DescribeAccount`: consente ai principali di recuperare informazioni su un account nell’organizzazione.
+ `organizations:DescribeOrganizationalUnit`— Consente ai responsabili di recuperare informazioni su un'unità organizzativa all'interno dell'organizzazione.
+ `organizations:ListPolicies`— Recupera l'elenco di tutte le politiche di un'organizzazione di un tipo specificato.
+ `organizations:ListPoliciesForTarget`— Elenca le politiche direttamente collegate alla radice, all'unità organizzativa (OU) o all'account di destinazione specificati.
+ `organizations:ListTargetsForPolicy`— Elenca tutte le radici, le unità organizzative (OUs) e gli account a cui è associata la politica specificata.
+ `organizations:DescribeResourcePolicy`— Recupera informazioni su una politica delle risorse.
+ `organizations:EnableAWSServiceAccess`— Consente ai presidi di abilitare l'integrazione con Organizations.
+ `organizations:RegisterDelegatedAdministrator`— Consente ai responsabili di designare l'account amministratore delegato.
+ `organizations:DeregisterDelegatedAdministrator`— Consente ai responsabili di rimuovere l'account di amministratore delegato.
+ `organizations:DescribePolicy`— Recupera informazioni su una politica.
+ `organizations:DescribeEffectivePolicy`— Restituisce il contenuto della politica effettiva per il tipo di politica e l'account specificati.
+ `organizations:CreatePolicy`— Crea una politica di un tipo specifico che è possibile allegare a una radice, a un'unità organizzativa (OU) o a un individuo Account AWS.
+ `organizations:UpdatePolicy`— Aggiorna una politica esistente con un nuovo nome, descrizione o contenuto.
+ `organizations:DeletePolicy`— Elimina la politica specificata dall'organizzazione.
+ `organizations:AttachPolicy`— Associa una policy a una root, a un'unità organizzativa (OU) o a un account individuale.
+ `organizations:DetachPolicy`— Scollega una politica da una radice, un'unità organizzativa (OU) o un account di destinazione.
+ `organizations:EnablePolicyType`— Abilita un tipo di policy in una radice.
+ `organizations:DisablePolicyType`— Disattiva un tipo di politica organizzativa in una radice.
+ `organizations:TagResource`— Aggiunge uno o più tag a una risorsa specificata.
+ `organizations:UntagResource`— Rimuove tutti i tag con le chiavi specificate da una risorsa specificata.
+ `organizations:ListTagsForResource`— Elenca i tag allegati a una risorsa specificata.
Per esaminare le autorizzazioni relative a questa policy, consulta [AWSInspector2OrganizationsAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSInspector2OrganizationsAccess.html)la *AWS Managed Policy Reference Guide*.
## AWS politica gestita: AmazonInspector2FullAccess
È possibile allegare la policy `AmazonInspector2FullAccess` alle identità IAM.
Questa politica concede autorizzazioni amministrative che consentono l'accesso completo ad Amazon Inspector.
**Importante**
[Per una maggiore sicurezza e autorizzazioni restrittive per i principali servizi di Inspector 2, si consiglia di utilizzare 2 \$1v2. AmazonInspector FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess_v2.html)
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `inspector2`— Consente l'accesso completo alle funzionalità di Amazon Inspector.
+ `iam`— Consente ad Amazon Inspector di creare ruoli collegati ai servizi e. `AWSServiceRoleForAmazonInspector2` `AWSServiceRoleForAmazonInspector2Agentless` `AWSServiceRoleForAmazonInspector2`è necessario per consentire ad Amazon Inspector di eseguire operazioni come il recupero di informazioni sulle istanze Amazon EC2, i repository Amazon ECR e le immagini dei contenitori. È inoltre necessario che Amazon Inspector analizzi la tua rete VPC e descriva gli account associati alla tua organizzazione. `AWSServiceRoleForAmazonInspector2Agentless`è necessario per consentire ad Amazon Inspector di eseguire operazioni, come il recupero di informazioni sulle istanze Amazon EC2 e sugli snapshot di Amazon EBS. È inoltre necessario decrittografare gli snapshot di Amazon EBS crittografati con chiavi. AWS KMS Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon Inspector](using-service-linked-roles.md).
+ `organizations`— Consente agli amministratori di utilizzare Amazon Inspector per un'organizzazione in. AWS Organizations Quando [attivi l'accesso affidabile](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) per Amazon Inspector in AWS Organizations, i membri dell'account amministratore delegato possono gestire le impostazioni e visualizzare i risultati in tutta l'organizzazione.
+ `codeguru-security`— Consente agli amministratori di utilizzare Amazon Inspector per recuperare frammenti di codice informativo e modificare le impostazioni di crittografia per il codice archiviato da Security. CodeGuru Per ulteriori informazioni, consulta [Crittografia inattiva per il codice contenuto nei risultati](encryption-rest.md#encryption-code-snippets).
*Per esaminare le autorizzazioni relative a questa politica, consulta la sezione [AmazonInspector2 FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2FullAccess.html) nella Managed Policy Reference Guide.AWS *
## AWS politica gestita: AmazonInspector2ReadOnlyAccess
È possibile allegare la policy `AmazonInspector2ReadOnlyAccess` alle identità IAM.
Questa politica concede autorizzazioni che consentono l'accesso in sola lettura ad Amazon Inspector.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `inspector2`— Consente l'accesso in sola lettura alle funzionalità di Amazon Inspector.
+ `organizations`— Consente di visualizzare i dettagli sulla copertura di Amazon Inspector per un'organizzazione. AWS Organizations Inoltre, consente la visualizzazione delle politiche organizzative di Inspector tramite il filtraggio in base `ListPolicies` ai tipi di policy di Inspector, la visualizzazione delle politiche relative alle risorse di delega `DescribeResourcePolicy` e la visualizzazione delle politiche di Inspector efficaci applicate agli account tramite. `DescribeEffectivePolicy` Ciò consente agli utenti di comprendere l'attivazione centralizzata degli ispettori stabilita attraverso le politiche organizzative senza la possibilità di modificarle.
+ `codeguru-security`— Consente di recuperare frammenti di codice da Security. CodeGuru Consente inoltre di visualizzare le impostazioni di crittografia per il codice memorizzato in CodeGuru Security.
Per esaminare le autorizzazioni per questa politica, vedere [AmazonInspector2 ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ReadOnlyAccess.html) nella *AWS Managed Policy Reference Guide*.
## AWS politica gestita: AmazonInspector2ManagedCisPolicy
Puoi collegare la policy `AmazonInspector2ManagedCisPolicy` anche alle tue entità IAM. Questa policy deve essere associata a un ruolo che concede le autorizzazioni alle istanze Amazon EC2 per eseguire scansioni CIS dell'istanza. Puoi utilizzare un ruolo IAM per gestire le credenziali temporanee per le applicazioni in esecuzione su un'istanza EC2 e che effettuano richieste API. AWS CLI AWS Ciò è preferibile all’archiviazione delle chiavi di accesso nell’istanza EC2. Per assegnare un AWS ruolo a un'istanza EC2 e renderlo disponibile per tutte le sue applicazioni, crei un profilo di istanza collegato all'istanza. Un profilo dell’istanza contiene il ruolo e consente ai programmi in esecuzione sull’istanza EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consulta [Utilizzare un ruolo IAM per concedere autorizzazioni alle applicazioni che eseguono istanze Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) nella *Guida per l'utente IAM*.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `inspector2`— Consente l'accesso alle azioni utilizzate per eseguire scansioni CIS.
Per esaminare le autorizzazioni per questa politica, vedere [AmazonInspector2 ManagedCisPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ManagedCisPolicy.html) nella *AWS Managed* Policy Reference Guide.
## AWS politica gestita: AmazonInspector2ServiceRolePolicy
Non è possibile allegare la policy `AmazonInspector2ServiceRolePolicy` alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente ad Amazon Inspector di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon Inspector](using-service-linked-roles.md).
## AWS politica gestita: AmazonInspector2AgentlessServiceRolePolicy
Non è possibile allegare la policy `AmazonInspector2AgentlessServiceRolePolicy` alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente ad Amazon Inspector di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon Inspector](using-service-linked-roles.md).
## AWS politica gestita: AmazonInspector2ManagedTelemetryPolicy
Puoi collegare la policy `AmazonInspector2ManagedTelemetryPolicy` anche alle tue entità IAM. Questa politica concede le autorizzazioni per le operazioni di telemetria di Amazon Inspector, consentendo al servizio di raccogliere e trasmettere i dati di inventario dei pacchi per la scansione delle vulnerabilità.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `inspector2-telemetry`— Consente l'accesso alle azioni per la trasmissione dei dati relativi all'inventario dei pacchetti.
Per visualizzare maggiori dettagli sulla policy, inclusa la versione più recente del documento sulla policy JSON, vedi [AmazonInspector2 ManagedTelemetryPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ManagedTelemetryPolicy.html) nella *AWS Managed* Policy Reference Guide.
## Amazon Inspector si aggiorna alle AWS politiche gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon Inspector da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti di Amazon [Inspector](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSInspector2OrganizationsAccess](#security-iam-awsmanpol-AWSInspector2OrganizationsAccess): nuova policy | Amazon Inspector ha aggiunto una nuova policy gestita che concede le autorizzazioni necessarie per abilitare e gestire Amazon Inspector tramite policy. AWS Organizations | 3 marzo 2026 |
| [AmazonInspector2 ManagedTelemetryPolicy](#security-iam-awsmanpol-AmazonInspector2ManagedTelemetryPolicy) — Nuova politica | Amazon Inspector ha aggiunto una nuova policy gestita che concede le autorizzazioni per le operazioni di telemetria di Amazon Inspector, consentendo al servizio di raccogliere e trasmettere i dati di inventario dei pacchi per la scansione delle vulnerabilità. | 5 febbraio 2026 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/slr-permissions.html) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto una nuova autorizzazione che consente ad Amazon Inspector di descrivere i metadati del firewall per l'analisi della raggiungibilità della rete. Inoltre, Amazon Inspector ha aggiunto un ulteriore ambito delle risorse per consentire ad Amazon Inspector di creare, aggiornare e avviare associazioni SSM con documenti SSM. `AWS-ConfigureAWSPackage` | 3 febbraio 2026 |
| [AmazonInspector2 FullAccess \$1v2 e [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess)](#security-iam-awsmanpol-AmazonInspector2FullAccessV2) — Aggiornamenti alle politiche esistenti | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono ai titolari delle polizze di visualizzare le politiche organizzative e le configurazioni di delega di Inspector. Ciò supporta la gestione e la visibilità centralizzate dell'abilitazione di Inspector tramite policy AWS Organizations . | 14 novembre 2025 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/slr-permissions.html) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono alla AWS Organizations policy di Amazon Inspector di imporre l'attivazione e la disabilitazione di Amazon Inspector. | 10 novembre 2025 |
| [AmazonInspector2 FullAccess \$1v2](#security-iam-awsmanpol-AmazonInspector2FullAccessV2) — Nuova politica | Amazon Inspector ha aggiunto una nuova policy gestita che fornisce l'accesso completo ad Amazon Inspector e l'accesso ad altri servizi correlati. | 3 luglio 2025 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto una nuova autorizzazione che consente ad Amazon Inspector di descrivere indirizzi IP e gateway Internet. | 29 aprile 2025 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono l'accesso in sola lettura alle azioni di Amazon ECS e Amazon EKS. | 25 marzo 2025 |
| [AmazonInspector2 ServiceRolePolicy — Aggiornamenti](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) a una policy esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono ad Amazon Inspector di restituire i tag di funzione. AWS Lambda | 31 luglio 2024 |
| [AmazonInspector2 FullAccess](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2FullAccess) — Aggiornamenti a una politica esistente | [Amazon Inspector ha aggiunto autorizzazioni che consentono ad Amazon Inspector di creare il ruolo collegato al servizio. `AWSServiceRoleForAmazonInspector2Agentless` Ciò consente agli utenti di eseguire scansioni [basate su agenti e scansioni senza agenti](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agent-based) quando abilitano Amazon Inspector.](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agentless) | 24 aprile 2024 |
| [AmazonInspector2 — Nuova politica ManagedCisPolicy](#security-iam-awsmanpol-AmazonInspector2ManagedCisPolicy) | Amazon Inspector ha aggiunto una nuova policy gestita che puoi utilizzare come parte di un profilo di istanza per consentire le scansioni CIS su un'istanza. | 23 gennaio 2024 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono ad Amazon Inspector di avviare scansioni CIS sulle istanze di destinazione. | 23 gennaio 2024 |
| [AmazonInspector2 AgentlessServiceRolePolicy](using-service-linked-roles.md) — Nuova politica | Amazon Inspector ha aggiunto una nuova policy relativa ai ruoli collegati ai servizi per consentire la scansione senza agenti dell'istanza EC2. | 27 novembre 2023 |
| [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Aggiornamenti a una policy esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono agli utenti di sola lettura di recuperare i dettagli di vulnerability intelligence per rilevare le vulnerabilità dei pacchetti. | 22 settembre 2023 |
| [AmazonInspector2 — Aggiornamenti a una policy esistente ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono ad Amazon Inspector di scansionare le configurazioni di rete delle istanze Amazon EC2 che fanno parte dei gruppi target Elastic Load Balancing. | 31 agosto 2023 |
| [AmazonInspector2 — Aggiornamenti a una policy esistente ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono agli utenti di sola lettura di esportare Software Bill of Materials (SBOM) per le proprie risorse. | 29 giugno 2023 |
| [AmazonInspector2 ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono agli utenti di sola lettura di recuperare i dettagli delle impostazioni di crittografia per i risultati della scansione del codice Lambda per il proprio account. | 13 giugno 2023 |
| [AmazonInspector2 FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono agli utenti di configurare una chiave KMS gestita dal cliente per crittografare il codice nei risultati della scansione del codice Lambda. | 13 giugno 2023 |
| [AmazonInspector2 ReadOnlyAccess — Aggiornamenti](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono agli utenti di sola lettura di recuperare i dettagli dello stato e dei risultati della scansione del codice Lambda per il proprio account. | 02 maggio 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono ad Amazon Inspector di creare canali AWS CloudTrail collegati ai servizi nel tuo account quando attivi la scansione Lambda. Ciò consente ad Amazon Inspector di monitorare CloudTrail gli eventi nel tuo account. | 30 aprile 2023 |
| [AmazonInspector2 FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono agli utenti di recuperare i dettagli delle vulnerabilità del codice rilevate dalla scansione del codice Lambda. | 21 aprile 2023 |
| [AmazonInspector2 ServiceRolePolicy — Aggiornamenti](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono ad Amazon Inspector di inviare informazioni ad Amazon EC2 Systems Manager sui percorsi personalizzati definiti da un cliente per l'ispezione approfondita di Amazon EC2. | 17 aprile 2023 |
| [AmazonInspector2 ServiceRolePolicy — Aggiornamenti](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) a una policy esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono ad Amazon Inspector di creare canali AWS CloudTrail collegati ai servizi nel tuo account quando attivi la scansione Lambda. Ciò consente ad Amazon Inspector di monitorare CloudTrail gli eventi nel tuo account. | 30 aprile 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto nuove autorizzazioni che consentono ad Amazon Inspector di richiedere scansioni del codice di sviluppo nelle AWS Lambda funzioni e ricevere dati di scansione da Amazon Security. CodeGuru Inoltre, Amazon Inspector ha aggiunto le autorizzazioni per la revisione delle politiche IAM. Amazon Inspector utilizza queste informazioni per scansionare le funzioni Lambda alla ricerca di vulnerabilità del codice. | 28 febbraio 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto una nuova istruzione che consente ad Amazon Inspector di recuperare informazioni CloudWatch sull'ultima volta che AWS Lambda una funzione è stata richiamata. Amazon Inspector utilizza queste informazioni per concentrare le scansioni sulle funzioni Lambda del tuo ambiente che sono state attive negli ultimi 90 giorni. | 20 febbraio 2023 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto una nuova dichiarazione che consente ad Amazon Inspector di recuperare informazioni AWS Lambda sulle funzioni, inclusa ogni versione di livello associata a ciascuna funzione. Amazon Inspector utilizza queste informazioni per scansionare le funzioni Lambda alla ricerca di vulnerabilità di sicurezza. | 28 novembre 2022 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha aggiunto una nuova azione per consentire ad Amazon Inspector di descrivere le esecuzioni delle associazioni SSM. Inoltre, Amazon Inspector ha aggiunto un ulteriore ambito delle risorse per consentire ad Amazon Inspector di creare, aggiornare, eliminare e avviare associazioni SSM con documenti SSM di proprietà. `AmazonInspector2` | 31 agosto 2022 |
| [AmazonInspector2 Aggiornamenti ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) a una policy esistente | Amazon Inspector ha aggiornato l'ambito delle risorse della policy per consentire ad Amazon Inspector di raccogliere l'inventario del software in altre partizioni. AWS | 12 agosto 2022 |
| [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) — Aggiornamenti a una politica esistente | Amazon Inspector ha ristrutturato l'ambito delle risorse delle azioni che consentono ad Amazon Inspector di creare, eliminare e aggiornare le associazioni SSM. | 10 agosto 2022 |
| [AmazonInspector2 — Nuova politica ReadOnlyAccess](#security-iam-awsmanpol-AmazonInspector2ReadOnlyAccess) | Amazon Inspector ha aggiunto una nuova policy per consentire l'accesso in sola lettura alle funzionalità di Amazon Inspector. | 21 gennaio 2022 |
| [AmazonInspector2 — Nuova politica FullAccess](#security-iam-awsmanpol-AmazonInspector2FullAccess) | Amazon Inspector ha aggiunto una nuova policy per consentire l'accesso completo alle funzionalità di Amazon Inspector. | 29 novembre 2021 |
| [AmazonInspector2 ServiceRolePolicy — Nuova](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy) politica | Amazon Inspector ha aggiunto una nuova politica per consentire ad Amazon Inspector di eseguire azioni in altri servizi per tuo conto. | 29 novembre 2021 |
| Amazon Inspector ha iniziato a tracciare le modifiche | Amazon Inspector ha iniziato a tracciare le modifiche per le sue politiche AWS gestite. | 29 novembre 2021 |
# Utilizzo di ruoli collegati ai servizi per Amazon Inspector
Amazon Inspector utilizza un ruolo collegato al [servizio AWS Identity and Access Management (IAM) denominato](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). `AWSServiceRoleForAmazonInspector2` Questo ruolo collegato al servizio è un ruolo IAM collegato direttamente ad Amazon Inspector. È predefinito da Amazon Inspector e include tutte le autorizzazioni richieste da Amazon Inspector per chiamare altri utenti per tuo conto. Servizi AWS
Un ruolo collegato al servizio semplifica la configurazione di Amazon Inspector perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Amazon Inspector definisce le autorizzazioni del suo ruolo collegato al servizio e, se non diversamente definito, solo Amazon Inspector può assumere il ruolo. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
È necessario configurare le autorizzazioni per consentire a un'entità IAM (come un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*. È possibile eliminare un ruolo collegato al servizio solo dopo aver eliminato le relative risorse. In questo modo proteggi le tue risorse Amazon Inspector perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano ruoli collegati ai servizi, consulta i [AWS servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli un **Sì** con un link per consultare la documentazione relativa ai ruoli collegati ai servizi per quel servizio.
# Autorizzazioni di ruolo collegate ai servizi per Amazon Inspector
Amazon Inspector utilizza la policy gestita denominata. [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html) Questo ruolo collegato al servizio si fida che il `inspector2.amazonaws.com` servizio assuma il ruolo.
La politica di autorizzazione per il ruolo, denominato [https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy), consente ad Amazon Inspector di eseguire attività come:
+ Usa le azioni di Amazon Elastic Compute Cloud (Amazon EC2) per recuperare informazioni sulle tue istanze e sui percorsi di rete.
+ Utilizza AWS Systems Manager le azioni per recuperare l'inventario dalle tue istanze Amazon EC2 e per recuperare informazioni sui pacchetti di terze parti da percorsi personalizzati.
+ Usa l' AWS Systems Manager `SendCommand`azione per richiamare le scansioni CIS per le istanze di destinazione.
+ Utilizza le azioni di Amazon Elastic Container Registry per recuperare informazioni sulle immagini dei contenitori.
+ Usa AWS Lambda le azioni per recuperare informazioni sulle tue funzioni Lambda.
+ Usa AWS Organizations le azioni per descrivere gli account associati.
+ Usa CloudWatch le azioni per recuperare informazioni sull'ultima volta che le tue funzioni Lambda sono state richiamate.
+ Utilizza azioni IAM selezionate per recuperare informazioni sulle policy IAM che potrebbero creare vulnerabilità di sicurezza nel codice Lambda.
+ Usa le azioni di Amazon Q per eseguire scansioni del codice nelle tue funzioni Lambda. Amazon Inspector utilizza le seguenti azioni Amazon Q:
+ codeguru-security: CreateScan — Concede l'autorizzazione a creare Amazon Q; scan.
+ codeguru-security: GetScan — Concede l'autorizzazione a recuperare i metadati di scansione di Amazon Q.
+ codeguru-security: ListFindings — Concede l'autorizzazione a recuperare i risultati generati da Amazon Q.
+ codeguru-security: DeleteScansByCategory — Autorizza Amazon Q a eliminare le scansioni avviate da Amazon Inspector.
+ codeguru-security: BatchGetFindings — Concede l'autorizzazione a recuperare un batch di risultati specifici generati da Amazon Q.
+ Utilizza determinate azioni Elastic Load Balancing per eseguire scansioni di rete delle istanze EC2 che fanno parte dei gruppi target di Elastic Load Balancing.
+ Utilizza le azioni Amazon ECS e Amazon EKS per consentire l'accesso in sola lettura per visualizzare cluster e attività e descrivere le attività.
+ Utilizza AWS Organizations le azioni per elencare gli amministratori delegati di Amazon Inspector in tutte le organizzazioni.
+ Utilizza le azioni di Amazon Inspector per abilitare e disabilitare Amazon Inspector in tutte le organizzazioni.
+ Utilizza le azioni di Amazon Inspector per designare account amministratori delegati e associare gli account dei membri tra le organizzazioni.
**Nota**
Amazon Inspector non esegue più scansioni CodeGuru Lambda. AWS interromperà il supporto il 20 CodeGuru novembre 2025. Per ulteriori informazioni, consulta [Fine del supporto per la CodeGuru sicurezza](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html). Amazon Inspector ora utilizza Amazon Q per eseguire scansioni Lambda e non richiede le autorizzazioni descritte in questa sezione.
*Per esaminare le autorizzazioni relative a questa politica, consulta la sezione [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html) nella Managed Policy Reference Guide.AWS *
## Creazione di un ruolo collegato ai servizi per Amazon Inspector
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando attivi Amazon Inspector nell'API Console di gestione AWS, nella o nell' AWS API AWS CLI, Amazon Inspector crea il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per Amazon Inspector
Amazon Inspector non consente di modificare il ruolo collegato al `AWSServiceRoleForAmazonInspector2` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificare il nome del ruolo perché diverse entità potrebbero fare riferimento al ruolo. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Amazon Inspector
Se non hai più bisogno di utilizzare Amazon Inspector, ti consigliamo di eliminare il ruolo collegato al `AWSServiceRoleForAmazonInspector2` servizio. Prima di poter eliminare il ruolo, devi disattivare Amazon Inspector in Regione AWS ogni luogo in cui è attivato. Quando disattivi Amazon Inspector, il ruolo non viene eliminato per te. Pertanto, se attivi nuovamente Amazon Inspector, può utilizzare il ruolo esistente. In questo modo puoi evitare di avere un'entità inutilizzata che non viene monitorata o gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
Se devi ricreare un ruolo collegato ai servizi che hai precedentemente eliminato, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account. Quando attivi Amazon Inspector, Amazon Inspector ricrea per te il ruolo collegato al servizio.
**Nota**
Se il servizio Amazon Inspector utilizza il ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe non riuscire. In tal caso, attendi qualche minuto e poi riprova a eseguire l'operazione.
Puoi utilizzare la console IAM AWS CLI, o l' AWS API per eliminare il ruolo `AWSServiceRoleForAmazonInspector2` collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
# Autorizzazioni di ruolo collegate ai servizi per le scansioni senza agenti di Amazon Inspector
La scansione senza agenti di Amazon Inspector utilizza il ruolo collegato al servizio denominato. `AWSServiceRoleForAmazonInspector2Agentless` Questa reflex consente ad Amazon Inspector di creare uno snapshot del volume Amazon EBS nel tuo account e quindi accedere ai dati da tale snapshot. Questo ruolo collegato al servizio si fida che il servizio assuma il ruolo. `agentless.inspector2.amazonaws.com`
**Importante**
Le istruzioni in questo ruolo collegato al servizio impediscono ad Amazon Inspector di eseguire scansioni senza agenti su qualsiasi istanza EC2 che hai escluso dalle scansioni utilizzando il tag. `InspectorEc2Exclusion` Inoltre, le istruzioni impediscono ad Amazon Inspector di accedere ai dati crittografati da un volume quando la chiave KMS utilizzata per crittografarli ha il tag. `InspectorEc2Exclusion` Per ulteriori informazioni, consulta [Esclusione delle istanze dalle scansioni di Amazon Inspector](scanning-ec2.md#exclude-ec2).
La politica di autorizzazione per il ruolo, che è denominato`AmazonInspector2AgentlessServiceRolePolicy`, consente ad Amazon Inspector di eseguire attività come:
+ Usa le azioni di Amazon Elastic Compute Cloud (Amazon EC2) per recuperare informazioni sulle istanze, i volumi e gli snapshot EC2.
+ Usa le azioni di tagging di Amazon EC2 per etichettare gli snapshot per le scansioni con la chiave tag. `InspectorScan`
+ Utilizza le azioni snapshot di Amazon EC2 per creare istantanee, etichettarle con la chiave `InspectorScan` tag e quindi eliminare le istantanee dei volumi Amazon EBS a cui è stato assegnato il tag key. `InspectorScan`
+ Utilizza le azioni di Amazon EBS per recuperare informazioni dagli snapshot contrassegnati con la `InspectorScan` chiave tag.
+ Utilizza azioni di decrittografia selezionate per AWS KMS decrittografare istantanee crittografate con chiavi gestite dal cliente. AWS KMS Amazon Inspector non decrittografa le istantanee quando la chiave KMS utilizzata per crittografarle è contrassegnata con il tag. `InspectorEc2Exclusion`
Il ruolo è configurato con la seguente politica di autorizzazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InstanceIdentification",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Sid": "GetSnapshotData",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/InspectorScan": "*"
}
}
},
{
"Sid": "CreateSnapshotsAnyInstanceOrVolume",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Sid": "DenyCreateSnapshotsOnExcludedInstances",
"Effect": "Deny",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/InspectorEc2Exclusion": "true"
}
}
},
{
"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "InspectorScan"
}
}
},
{
"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"ec2:CreateAction": "CreateSnapshots"
},
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "InspectorScan"
}
}
},
{
"Sid": "DeleteOnlySnapshotsTaggedForScanning",
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/InspectorScan": "*"
}
}
},
{
"Sid": "DenyKmsDecryptForExcludedKeys",
"Effect": "Deny",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/InspectorEc2Exclusion": "true"
}
}
},
{
"Sid": "DecryptSnapshotBlocksVolContext",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com",
"kms:EncryptionContext:aws:ebs:id": "vol-*"
}
}
},
{
"Sid": "DecryptSnapshotBlocksSnapContext",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com",
"kms:EncryptionContext:aws:ebs:id": "snap-*"
}
}
},
{
"Sid": "DescribeKeysForEbsOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com"
}
}
},
{
"Sid": "ListKeyResourceTags",
"Effect": "Allow",
"Action": "kms:ListResourceTags",
"Resource": "arn:aws:kms:*:*:key/*"
}
]
}
```
------
## Creazione di un ruolo collegato al servizio per la scansione senza agenti
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando attivi Amazon Inspector nell'API Console di gestione AWS, nella o nell' AWS API AWS CLI, Amazon Inspector crea il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per una scansione senza agenti
Amazon Inspector non consente di modificare il ruolo collegato al `AWSServiceRoleForAmazonInspector2Agentless` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificare il nome del ruolo perché diverse entità potrebbero fare riferimento al ruolo. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per la scansione senza agenti
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.
**Importante**
Per eliminare il `AWSServiceRoleForAmazonInspector2Agentless` ruolo, è necessario impostare la modalità di scansione su basata su agenti in tutte le regioni in cui è disponibile la scansione senza agenti.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al servizio 2Agentless. AWSService RoleForAmazonInspector Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
# Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Inspector
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Amazon Inspector e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Amazon Inspector](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Desidero consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon Inspector](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Amazon Inspector
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `inspector2:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: inspector2:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `inspector2:GetWidget`.
Se hai bisogno di assistenza, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo ad Amazon Inspector.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Amazon Inspector. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Desidero consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon Inspector
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon Inspector supporta queste funzionalità, consulta. [Come funziona Amazon Inspector con IAM](security_iam_service-with-iam.md)
+ Per sapere come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.