Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di ruoli collegati ai servizi per Amazon Inspector
Amazon Inspector utilizza un ruolo collegato al [servizio AWS Identity and Access Management (IAM) denominato](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). `AWSServiceRoleForAmazonInspector2` Questo ruolo collegato al servizio è un ruolo IAM collegato direttamente ad Amazon Inspector. È predefinito da Amazon Inspector e include tutte le autorizzazioni richieste da Amazon Inspector per chiamare altri utenti per tuo conto. Servizi AWS
Un ruolo collegato al servizio semplifica la configurazione di Amazon Inspector perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Amazon Inspector definisce le autorizzazioni del suo ruolo collegato al servizio e, se non diversamente definito, solo Amazon Inspector può assumere il ruolo. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
È necessario configurare le autorizzazioni per consentire a un'entità IAM (come un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*. È possibile eliminare un ruolo collegato al servizio solo dopo aver eliminato le relative risorse. In questo modo proteggi le tue risorse Amazon Inspector perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano ruoli collegati ai servizi, consulta i [AWS servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli un **Sì** con un link per consultare la documentazione relativa ai ruoli collegati ai servizi per quel servizio.
# Autorizzazioni di ruolo collegate ai servizi per Amazon Inspector
Amazon Inspector utilizza la policy gestita denominata. [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html) Questo ruolo collegato al servizio si fida che il `inspector2.amazonaws.com` servizio assuma il ruolo.
La politica di autorizzazione per il ruolo, denominato [https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy), consente ad Amazon Inspector di eseguire attività come:
+ Usa le azioni di Amazon Elastic Compute Cloud (Amazon EC2) per recuperare informazioni sulle tue istanze e sui percorsi di rete.
+ Utilizza AWS Systems Manager le azioni per recuperare l'inventario dalle tue istanze Amazon EC2 e per recuperare informazioni sui pacchetti di terze parti da percorsi personalizzati.
+ Usa l' AWS Systems Manager `SendCommand`azione per richiamare le scansioni CIS per le istanze di destinazione.
+ Utilizza le azioni di Amazon Elastic Container Registry per recuperare informazioni sulle immagini dei contenitori.
+ Usa AWS Lambda le azioni per recuperare informazioni sulle tue funzioni Lambda.
+ Usa AWS Organizations le azioni per descrivere gli account associati.
+ Usa CloudWatch le azioni per recuperare informazioni sull'ultima volta che le tue funzioni Lambda sono state richiamate.
+ Utilizza azioni IAM selezionate per recuperare informazioni sulle policy IAM che potrebbero creare vulnerabilità di sicurezza nel codice Lambda.
+ Usa le azioni di Amazon Q per eseguire scansioni del codice nelle tue funzioni Lambda. Amazon Inspector utilizza le seguenti azioni Amazon Q:
+ codeguru-security: CreateScan — Concede l'autorizzazione a creare Amazon Q; scan.
+ codeguru-security: GetScan — Concede l'autorizzazione a recuperare i metadati di scansione di Amazon Q.
+ codeguru-security: ListFindings — Concede l'autorizzazione a recuperare i risultati generati da Amazon Q.
+ codeguru-security: DeleteScansByCategory — Autorizza Amazon Q a eliminare le scansioni avviate da Amazon Inspector.
+ codeguru-security: BatchGetFindings — Concede l'autorizzazione a recuperare un batch di risultati specifici generati da Amazon Q.
+ Utilizza determinate azioni Elastic Load Balancing per eseguire scansioni di rete delle istanze EC2 che fanno parte dei gruppi target di Elastic Load Balancing.
+ Utilizza le azioni Amazon ECS e Amazon EKS per consentire l'accesso in sola lettura per visualizzare cluster e attività e descrivere le attività.
+ Utilizza AWS Organizations le azioni per elencare gli amministratori delegati di Amazon Inspector in tutte le organizzazioni.
+ Utilizza le azioni di Amazon Inspector per abilitare e disabilitare Amazon Inspector in tutte le organizzazioni.
+ Utilizza le azioni di Amazon Inspector per designare account amministratori delegati e associare gli account dei membri tra le organizzazioni.
**Nota**
Amazon Inspector non esegue più scansioni CodeGuru Lambda. AWS interromperà il supporto il 20 CodeGuru novembre 2025. Per ulteriori informazioni, consulta [Fine del supporto per la CodeGuru sicurezza](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html). Amazon Inspector ora utilizza Amazon Q per eseguire scansioni Lambda e non richiede le autorizzazioni descritte in questa sezione.
*Per esaminare le autorizzazioni relative a questa politica, consulta la sezione [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html) nella Managed Policy Reference Guide.AWS *
## Creazione di un ruolo collegato ai servizi per Amazon Inspector
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando attivi Amazon Inspector nell'API Console di gestione AWS, nella o nell' AWS API AWS CLI, Amazon Inspector crea il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per Amazon Inspector
Amazon Inspector non consente di modificare il ruolo collegato al `AWSServiceRoleForAmazonInspector2` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificare il nome del ruolo perché diverse entità potrebbero fare riferimento al ruolo. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Amazon Inspector
Se non hai più bisogno di utilizzare Amazon Inspector, ti consigliamo di eliminare il ruolo collegato al `AWSServiceRoleForAmazonInspector2` servizio. Prima di poter eliminare il ruolo, devi disattivare Amazon Inspector in Regione AWS ogni luogo in cui è attivato. Quando disattivi Amazon Inspector, il ruolo non viene eliminato per te. Pertanto, se attivi nuovamente Amazon Inspector, può utilizzare il ruolo esistente. In questo modo puoi evitare di avere un'entità inutilizzata che non viene monitorata o gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
Se devi ricreare un ruolo collegato ai servizi che hai precedentemente eliminato, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account. Quando attivi Amazon Inspector, Amazon Inspector ricrea per te il ruolo collegato al servizio.
**Nota**
Se il servizio Amazon Inspector utilizza il ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe non riuscire. In tal caso, attendi qualche minuto e poi riprova a eseguire l'operazione.
Puoi utilizzare la console IAM AWS CLI, o l' AWS API per eliminare il ruolo `AWSServiceRoleForAmazonInspector2` collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
# Autorizzazioni di ruolo collegate ai servizi per le scansioni senza agenti di Amazon Inspector
La scansione senza agenti di Amazon Inspector utilizza il ruolo collegato al servizio denominato. `AWSServiceRoleForAmazonInspector2Agentless` Questa reflex consente ad Amazon Inspector di creare uno snapshot del volume Amazon EBS nel tuo account e quindi accedere ai dati da tale snapshot. Questo ruolo collegato al servizio si fida che il servizio assuma il ruolo. `agentless.inspector2.amazonaws.com`
**Importante**
Le istruzioni in questo ruolo collegato al servizio impediscono ad Amazon Inspector di eseguire scansioni senza agenti su qualsiasi istanza EC2 che hai escluso dalle scansioni utilizzando il tag. `InspectorEc2Exclusion` Inoltre, le istruzioni impediscono ad Amazon Inspector di accedere ai dati crittografati da un volume quando la chiave KMS utilizzata per crittografarli ha il tag. `InspectorEc2Exclusion` Per ulteriori informazioni, consulta [Esclusione delle istanze dalle scansioni di Amazon Inspector](scanning-ec2.md#exclude-ec2).
La politica di autorizzazione per il ruolo, che è denominato`AmazonInspector2AgentlessServiceRolePolicy`, consente ad Amazon Inspector di eseguire attività come:
+ Usa le azioni di Amazon Elastic Compute Cloud (Amazon EC2) per recuperare informazioni sulle istanze, i volumi e gli snapshot EC2.
+ Usa le azioni di tagging di Amazon EC2 per etichettare gli snapshot per le scansioni con la chiave tag. `InspectorScan`
+ Utilizza le azioni snapshot di Amazon EC2 per creare istantanee, etichettarle con la chiave `InspectorScan` tag e quindi eliminare le istantanee dei volumi Amazon EBS a cui è stato assegnato il tag key. `InspectorScan`
+ Utilizza le azioni di Amazon EBS per recuperare informazioni dagli snapshot contrassegnati con la `InspectorScan` chiave tag.
+ Utilizza azioni di decrittografia selezionate per AWS KMS decrittografare istantanee crittografate con chiavi gestite dal cliente. AWS KMS Amazon Inspector non decrittografa le istantanee quando la chiave KMS utilizzata per crittografarle è contrassegnata con il tag. `InspectorEc2Exclusion`
Il ruolo è configurato con la seguente politica di autorizzazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "InstanceIdentification",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Sid": "GetSnapshotData",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/InspectorScan": "*"
}
}
},
{
"Sid": "CreateSnapshotsAnyInstanceOrVolume",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Sid": "DenyCreateSnapshotsOnExcludedInstances",
"Effect": "Deny",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/InspectorEc2Exclusion": "true"
}
}
},
{
"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "InspectorScan"
}
}
},
{
"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"ec2:CreateAction": "CreateSnapshots"
},
"Null": {
"aws:TagKeys": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "InspectorScan"
}
}
},
{
"Sid": "DeleteOnlySnapshotsTaggedForScanning",
"Effect": "Allow",
"Action": "ec2:DeleteSnapshot",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/InspectorScan": "*"
}
}
},
{
"Sid": "DenyKmsDecryptForExcludedKeys",
"Effect": "Deny",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/InspectorEc2Exclusion": "true"
}
}
},
{
"Sid": "DecryptSnapshotBlocksVolContext",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com",
"kms:EncryptionContext:aws:ebs:id": "vol-*"
}
}
},
{
"Sid": "DecryptSnapshotBlocksSnapContext",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com",
"kms:EncryptionContext:aws:ebs:id": "snap-*"
}
}
},
{
"Sid": "DescribeKeysForEbsOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
},
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com"
}
}
},
{
"Sid": "ListKeyResourceTags",
"Effect": "Allow",
"Action": "kms:ListResourceTags",
"Resource": "arn:aws:kms:*:*:key/*"
}
]
}
```
------
## Creazione di un ruolo collegato al servizio per la scansione senza agenti
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando attivi Amazon Inspector nell'API Console di gestione AWS, nella o nell' AWS API AWS CLI, Amazon Inspector crea il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per una scansione senza agenti
Amazon Inspector non consente di modificare il ruolo collegato al `AWSServiceRoleForAmazonInspector2Agentless` servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificare il nome del ruolo perché diverse entità potrebbero fare riferimento al ruolo. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per la scansione senza agenti
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.
**Importante**
Per eliminare il `AWSServiceRoleForAmazonInspector2Agentless` ruolo, è necessario impostare la modalità di scansione su basata su agenti in tutte le regioni in cui è disponibile la scansione senza agenti.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al servizio 2Agentless. AWSService RoleForAmazonInspector Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.