本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对 Amazon Inspector 使用服务相关角色
Amazon Inspector 使用名为AWSServiceRoleForAmazonInspector2
的 Amazon Identity and Access Management (IAM) 服务相关角色。此服务相关角色是直接与 Amazon Inspector 关联的IAM角色。它由 Amazon Inspector 预定义,它包括亚马逊检查员 Amazon Web Services 服务 代表您致电他人所需的所有权限。
服务相关角色可让您更轻松地设置 Amazon Inspector,因为您不必手动添加必要的权限。Amazon Inspector 定义其服务相关角色的权限,除非另外定义,否则只有 Amazon Inspector 可以代入该角色。定义的权限包括信任策略和权限策略,并且该权限策略不能附加到任何其他IAM实体。
您必须配置权限以允许实IAM体(例如群组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限。只有在首先删除服务相关角色的相关资源后,才能删除该角色。这将保护您的 Amazon Inspector 资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其他服务的信息,请参阅与服务关联角色配合使用的Amazon 服务,IAM并在服务相关角色列中查找带有 “是” 的服务。选择带有链接的是可以查看该服务的服务相关角色文档。
为 Amazon Inspector 创建服务相关角色
您无需手动创建服务相关角色。当你在 Amazon Web Services Management Console、或中激活 Amazon Inspector 时 Amazon CLI Amazon API,Amazon Inspector 会为你创建与服务相关的角色。
为 Amazon Inspector 编辑服务相关角色
Amazon Inspector 不允许编辑 AWSServiceRoleForAmazonInspector2
服务相关角色。在创建服务相关角色后,您无法更改角色的名称,因为可能有多个实体会引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅《IAM用户指南》中的编辑服务相关角色。
删除适用于 Amazon Inspector 的服务相关角色
如果您不再使用 Amazon Inspector,我们建议您删除 AWSServiceRoleForAmazonInspector2
服务相关角色。在删除角色之前,您必须在每个激活该角色 Amazon Web Services 区域 的地方停用 Amazon Inspector。停用 Amazon Inspector 时,它不会为您删除该角色。因此,如果您再次激活 Amazon Inspector,它可以使用现有角色。这样,您就可以避免出现未监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
如果删除此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。激活 Amazon Inspector 时,Amazon Inspector 会为您重新创建服务相关角色。
注意
如果在您试图删除资源时,Amazon Inspector 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟,然后再次尝试操作。
您可以使用IAM控制台 Amazon CLI、或删除AWSServiceRoleForAmazonInspector2
服务相关角色。 Amazon API有关更多信息,请参阅《IAM用户指南》中的删除服务相关角色。
创建用于无代理扫描的服务相关角色
您无需手动创建服务相关角色。当你在 Amazon Web Services Management Console、或中激活 Amazon Inspector 时 Amazon CLI Amazon API,Amazon Inspector 会为你创建与服务相关的角色。
编辑用于无代理扫描的服务相关角色
Amazon Inspector 不允许编辑 AWSServiceRoleForAmazonInspector2Agentless
服务相关角色。在创建服务相关角色后,您无法更改角色的名称,因为可能有多个实体会引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅《IAM用户指南》中的编辑服务相关角色。
删除用于无代理扫描的服务相关角色
如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。
重要
要删除 AWSServiceRoleForAmazonInspector2Agentless
角色,您必须在所有支持无代理扫描的区域中将扫描模式设置为基于代理。
使用手动删除服务相关角色 IAM
使用IAM控制台 Amazon CLI、或删除 AWSServiceRoleForAmazonInspector2Agentless 服务相关角色。 Amazon API有关更多信息,请参阅《IAM用户指南》中的删除服务相关角色。