对 Amazon Inspector 使用服务相关角色 - Amazon Inspector
为 Amazon Inspector 创建服务相关角色为 Amazon Inspector 编辑服务相关角色删除适用于 Amazon Inspector 的服务相关角色创建用于无代理扫描的服务相关角色编辑用于无代理扫描的服务相关角色删除用于无代理扫描的服务相关角色
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对 Amazon Inspector 使用服务相关角色

Amazon Inspector 使用名AWSServiceRoleForAmazonInspector2为的 Amazon Identity and Access Management (IAM) 服务相关角色。此服务相关角色是与 Amazon Inspector 直接相关的 IAM 角色。它由 Amazon Inspector 预定义,它包括亚马逊检查员 Amazon Web Services 代表您致电他人所需的所有权限。

服务相关角色可让您更轻松地设置 Amazon Inspector,因为您不必手动添加必要的权限。Amazon Inspector 定义其服务相关角色的权限,除非另外定义,否则只有 Amazon Inspector 可以代入该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其它 IAM 实体。

必须配置权限,允许 IAM 实体(如组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限。只有在首先删除服务相关角色的相关资源后,才能删除该角色。这将保护您的 Amazon Inspector 资源,因为您不会无意中删除对资源的访问权限。

有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的Amazon 服务,并查找服务相关角色列中显示为的服务。选择带有链接的可以查看该服务的服务相关角色文档。

为 Amazon Inspector 创建服务相关角色

您无需手动创建服务相关角色。当你在 Amazon Web Services Management Console、或 Amazon API 中激活 Amazon Inspector 时,Amazon Inspector 会为你创建与服务相关的角色。 Amazon CLI

为 Amazon Inspector 编辑服务相关角色

Amazon Inspector 不允许编辑 AWSServiceRoleForAmazonInspector2 服务相关角色。在创建服务相关角色后,您无法更改角色的名称,因为可能有多个实体会引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

删除适用于 Amazon Inspector 的服务相关角色

如果您不再使用 Amazon Inspector,我们建议您删除 AWSServiceRoleForAmazonInspector2 服务相关角色。在删除角色之前,您必须在每个激活该角色 Amazon Web Services 区域 的地方停用 Amazon Inspector。停用 Amazon Inspector 时,它不会为您删除该角色。因此,如果您再次激活 Amazon Inspector,它可以使用现有角色。这样,您就可以避免出现未监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。

如果删除此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。激活 Amazon Inspector 时,Amazon Inspector 会为您重新创建服务相关角色。

注意

如果在您试图删除资源时,Amazon Inspector 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟,然后再次尝试操作。

您可以使用 IAM 控制台 Amazon CLI、或 Amazon API 删除AWSServiceRoleForAmazonInspector2服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色

创建用于无代理扫描的服务相关角色

您无需手动创建服务相关角色。当你在 Amazon Web Services Management Console、或 Amazon API 中激活 Amazon Inspector 时,Amazon Inspector 会为你创建与服务相关的角色。 Amazon CLI

编辑用于无代理扫描的服务相关角色

Amazon Inspector 不允许编辑 AWSServiceRoleForAmazonInspector2Agentless 服务相关角色。在创建服务相关角色后,您无法更改角色的名称,因为可能有多个实体会引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

删除用于无代理扫描的服务相关角色

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。

重要

要删除 AWSServiceRoleForAmazonInspector2Agentless 角色,您必须在所有支持无代理扫描的区域中将扫描模式设置为基于代理。有关更多信息,请参阅 [待定的扫描模式设置链接]。

使用 IAM 手动删除服务相关角色

使用 IAM 控制台 Amazon CLI、或 Amazon API 删除 AWSServiceRoleForAmazonInspector2Agentless 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色