As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Uso de funções vinculadas a serviço para o Amazon Inspector
<a name="using-service-linked-roles"></a>

O Amazon Inspector usa uma função [vinculada ao serviço AWS Identity and Access Management (IAM) chamada](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). `AWSServiceRoleForAmazonInspector2` Perfil vinculado a serviço é um tipo especial de perfil do IAM que é vinculado diretamente ao Amazon Inspector. É predefinido pelo Amazon Inspector e inclui todas as permissões que o Amazon Inspector exige para ligar Serviços da AWS para outras pessoas em seu nome. 

O perfil vinculado a serviço facilita a configuração do Amazon Inspector porque você não precisa adicionar as permissões necessárias manualmente. O Amazon Inspector define as permissões dos perfis vinculados a serviço e, exceto se definido de outra forma, somente o Amazon Inspector pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

É necessário configurar permissões para que uma entidade do IAM (por exemplo, um grupo ou perfil) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*. Você pode excluir uma função vinculada ao serviço somente depois de excluir seus recursos relacionados. Isso protege seus recursos do Amazon Inspector, pois você não pode remover por engano as permissões para acessar os recursos.

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para revisar a documentação da função vinculada a esse serviço.

# Permissões de perfil vinculado a serviço para o Amazon Inspector.
<a name="slr-permissions"></a>

 O Amazon Inspector usa a política gerenciada chamada [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html). Essa função vinculada a serviço confia no serviço `inspector2.amazonaws.com` para assumir a função. 

A política de permissões do perfil, que é chamada de [https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ServiceRolePolicy), permite que o Amazon Inspector execute tarefas como:
+ Use ações do Amazon Elastic Compute Cloud (Amazon EC2) para recuperar informações sobre instâncias e caminhos de rede.
+ Use AWS Systems Manager ações para recuperar o inventário de suas instâncias do Amazon EC2 e para recuperar informações sobre pacotes de terceiros a partir de caminhos personalizados.
+ Use a AWS Systems Manager `SendCommand` ação para invocar escaneamentos do CIS para instâncias de destino.
+ Use as ações do Amazon Elastic Container Registry para recuperar informações sobre suas imagens de contêiner.
+ Use AWS Lambda ações para recuperar informações sobre suas funções do Lambda.
+ Use AWS Organizations ações para descrever contas associadas.
+ Use CloudWatch ações para recuperar informações sobre a última vez em que suas funções do Lambda foram invocadas.
+ Use ações selecionadas do IAM para recuperar informações sobre as políticas do IAM que poderiam criar vulnerabilidades de segurança no código do Lambda.
+ Use as ações do Amazon Q para fazer verificações de código nas funções do Lambda. O Amazon Inspector usa as seguintes ações do Amazon Q: 
  + codeguru-security: CreateScan — Concede permissão para criar o Amazon Q; scan.
  + codeguru-security: GetScan — Concede permissão para recuperar metadados do Amazon Q scan.
  + codeguru-security: ListFindings — Concede permissão para recuperar descobertas geradas pelo Amazon Q.
  + codeguru-security: DeleteScansByCategory — Concede permissão para o Amazon Q excluir escaneamentos iniciados pelo Amazon Inspector.
  + codeguru-security: BatchGetFindings — Concede permissão para recuperar um lote de descobertas específicas geradas pelo Amazon Q.
+ Use ações selecionadas do Elastic Load Balancing para realizar varreduras de rede de instâncias do EC2 que fazem parte dos grupos-alvo do Elastic Load Balancing.
+ Use as ações do Amazon ECS e do Amazon EKS para conceder acesso somente leitura para visualizar clusters e tarefas e descrever tarefas.
+ Use AWS Organizations ações para listar administradores delegados para o Amazon Inspector em todas as organizações.
+ Use as ações do Amazon Inspector para ativar e desativar o Amazon Inspector em todas as organizações.
+ Use as ações do Amazon Inspector para designar contas de administrador delegado e associar contas de membros em todas as organizações.

**nota**  
 O Amazon Inspector não usa mais para realizar CodeGuru escaneamentos Lambda. AWS interromperá o suporte CodeGuru em 20 de novembro de 2025. Para obter mais informações, consulte [Fim do suporte para CodeGuru segurança](https://docs.aws.amazon.com/codeguru/latest/security-ug/end-of-support.html). O Amazon Inspector agora usa o Amazon Q para fazer verificações do Lambda e não exige as permissões descritas nesta seção. 

 Para revisar as permissões dessa política, consulte [AmazonInspector2 ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonInspector2ServiceRolePolicy.html) no *Guia de referência de políticas AWS gerenciadas*. 

## Criação de um perfil vinculado a serviço para Amazon Inspector
<a name="create-slr"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você ativa o Amazon Inspector na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o Amazon Inspector cria a função vinculada ao serviço para você. 

## Editar um perfil vinculado a serviço do Amazon Inspector
<a name="edit-slr"></a>

O Amazon Inspector não permite que você edite a função vinculada ao serviço do `AWSServiceRoleForAmazonInspector2`. Após a criação da função vinculada a serviços, você não poderá alterar o nome da função, pois várias entidades podem fazer referência à função. No entanto, será possível editar a descrição da função usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluir um perfil vinculado a serviço do Amazon Inspector
<a name="delete-slr"></a>

Se você não precisa mais usar o Amazon Inspector, recomendamos que exclua a função vinculada a serviço do `AWSServiceRoleForAmazonInspector2`. Antes de excluir a função, você deve desativar o Amazon Inspector em Região da AWS cada local em que ela estiver ativada. Quando o Amazon Inspector é desativado, ele não exclui a função para você. Portanto, se você ativar o Amazon Inspector novamente, ele poderá usar a função existente. Dessa forma, você evita ter uma entidade não utilizada que não seja monitorada ou mantida ativamente. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

Se você excluir essa função vinculada ao serviço e precisar criá-la novamente, poderá usar esse mesmo processo para recriar a função em sua conta. Ao ativar o Amazon Inspector, ele cria novamente a função vinculada ao serviço para você. 

**nota**  
Se o serviço do Amazon Inspector estiver usando o perfil quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente fazer a operação novamente.

Você pode usar o console do IAM AWS CLI, o ou a AWS API para excluir a função `AWSServiceRoleForAmazonInspector2` vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

# Permissões de perfil vinculadas ao serviço para verificações sem agente do Amazon Inspector
<a name="slr-permissions-agentless"></a>

A verificação sem agente do Amazon Inspector usa o perfil vinculado ao serviço chamada `AWSServiceRoleForAmazonInspector2Agentless`. Essa SLR permite que o Amazon Inspector crie um snapshot de volume do Amazon EBS na conta e acesse os dados desse snapshot. Essa função vinculada a serviços confia no serviço `agentless.inspector2.amazonaws.com` para assumir a função.

**Importante**  
As instruções neste perfil vinculada ao serviço evitam que o Amazon Inspector execute verificações sem agente em qualquer instância do EC2 que você tenha excluído das verificações usando a tag `InspectorEc2Exclusion`. Além disso, as instruções impedem que o Amazon Inspector acesse dados criptografados de um volume quando a chave KMS usada para criptografá-lo tiver a tag `InspectorEc2Exclusion`. Para obter mais informações, consulte [Excluir instâncias das verificações do Amazon Inspector](scanning-ec2.md#exclude-ec2).

A política de permissões para a função, que é chamada de `AmazonInspector2AgentlessServiceRolePolicy`, permite que o Amazon Inspector execute tarefas como:
+ Use ações do Amazon Elastic Compute Cloud (Amazon EC2) para recuperar informações sobre instâncias, volumes e snapshots do EC2.
  + Use ações de marcação do Amazon EC2 para marcar snapshots para verificações com a chave de tag `InspectorScan`.
  + Use ações de snapshot do Amazon EC2 para criar snapshots, marcá-los com a chave de tag `InspectorScan` e, em seguida, excluir snapshots de volumes do Amazon EBS que foram marcados com a chave de tag `InspectorScan`.
+ Use ações do Amazon EBS para recuperar informações de snapshots marcados com a chave de tag `InspectorScan`.
+ Use ações de AWS KMS descriptografia selecionadas para descriptografar instantâneos criptografados com chaves gerenciadas pelo cliente. AWS KMS O Amazon Inspector não descriptografa snapshots quando a chave KMS usada para criptografá-los é marcada com a tag `InspectorEc2Exclusion`.

A função está configurada com a seguinte política de permissões:

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "InstanceIdentification",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeInstances",
				"ec2:DescribeVolumes",
				"ec2:DescribeSnapshots"
			],
			"Resource": "*"
		},
		{
			"Sid": "GetSnapshotData",
			"Effect": "Allow",
			"Action": [
				"ebs:ListSnapshotBlocks",
				"ebs:GetSnapshotBlock"
			],
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"aws:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsAnyInstanceOrVolume",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:volume/*"
			]
		},
		{
			"Sid": "DenyCreateSnapshotsOnExcludedInstances",
			"Effect": "Deny",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:instance/*",
			"Condition": {
				"StringEquals": {
					"ec2:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "CreateSnapshotsOnAnySnapshotOnlyWithTag",
			"Effect": "Allow",
			"Action": "ec2:CreateSnapshots",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "CreateOnlyInspectorScanTagOnlyUsingCreateSnapshots",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:CreateAction": "CreateSnapshots"
				},
				"Null": {
					"aws:TagKeys": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "InspectorScan"
				}
			}
		},
		{
			"Sid": "DeleteOnlySnapshotsTaggedForScanning",
			"Effect": "Allow",
			"Action": "ec2:DeleteSnapshot",
			"Resource": "arn:aws:ec2:*:*:snapshot/*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/InspectorScan": "*"
				}
			}
		},
		{
			"Sid": "DenyKmsDecryptForExcludedKeys",
			"Effect": "Deny",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/InspectorEc2Exclusion": "true"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksVolContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "vol-*"
				}
			}
		},
		{
			"Sid": "DecryptSnapshotBlocksSnapContext",
			"Effect": "Allow",
			"Action": "kms:Decrypt",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com",
					"kms:EncryptionContext:aws:ebs:id": "snap-*"
				}
			}
		},
		{
			"Sid": "DescribeKeysForEbsOperations",
			"Effect": "Allow",
			"Action": "kms:DescribeKey",
			"Resource": "arn:aws:kms:*:*:key/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				},
				"StringLike": {
					"kms:ViaService": "ec2.*.amazonaws.com"
				}
			}
		},
		{
			"Sid": "ListKeyResourceTags",
			"Effect": "Allow",
			"Action": "kms:ListResourceTags",
			"Resource": "arn:aws:kms:*:*:key/*"
		}
	]
}
```

------

## Criar um perfil vinculado ao serviço para verificação sem agente
<a name="create-slr"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você ativa o Amazon Inspector na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o Amazon Inspector cria a função vinculada ao serviço para você. 

## Editar um perfil vinculado ao serviço para verificação sem agente
<a name="edit-slr"></a>

O Amazon Inspector não permite que você edite a função vinculada ao serviço do `AWSServiceRoleForAmazonInspector2Agentless`. Após a criação da função vinculada a serviços, você não poderá alterar o nome da função, pois várias entidades podem fazer referência à função. No entanto, será possível editar a descrição da função usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluir um perfil vinculado ao serviço para verificação sem agente
<a name="delete-slr"></a>

Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. 

**Importante**  
Para excluir o perfil `AWSServiceRoleForAmazonInspector2Agentless`, você deve definir o modo de verificação baseado em agente em todas as regiões onde a verificação sem agente está disponível.

**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função vinculada ao serviço AWSService RoleForAmazonInspector 2Agentless. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.