本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
评测 Amazon Inspector 对 Amazon 环境的覆盖率
您可以在 Amazon Inspector 控制台上的账户管理屏幕中评测您 Amazon 环境的 Amazon Inspector 覆盖率,其中显示了有关您账户和资源的 Amazon Inspector 扫描状态的详细信息和统计数据。
注意
如果您是组织的委派管理员,则可以查看组织中所有账户的详细信息和统计数据。
以下过程介绍了如何评测 Amazon Inspector 环境的覆盖率。
评测 Amazon Inspector 对 Amazon 环境的覆盖率
-
使用您的凭证登录,然后打开 Amazon Inspector 控制台,网址为:https://console.aws.amazon.com/inspector/v2/home
。 -
在导航窗格中,选择账户管理。
-
要查看覆盖率,请选择以下选项卡之一:
-
选择账户可以查看账户级别的覆盖率。
-
选择实例可查看 Amazon Elastic Compute Cloud(Amazon EC2)的覆盖率。
-
选择容器存储库,可查看 Amazon Elastic Container Registry(Amazon ECR)的覆盖率。
-
选择容器映像可查看 Amazon ECR 容器映像的覆盖率。
-
选择 Lambda 函数可以查看 Lambda 函数的覆盖率。
-
以下主题介绍了每个选项卡提供的信息。
评测账户级别的覆盖率
如果您的账户不是组织的一员,或者不是组织的 Amazon Inspector 委托管理员账户,则账户选项卡会提供有关您的账户和账户资源扫描状态的信息。在此选项卡上,您可以激活或停用对您账户中所有或仅特定类型资源的扫描。有关更多信息,请参阅Amazon Inspector 中的自动扫描类型。
如果您的账户是组织的 Amazon Inspector 委托管理员账户,则账户选项卡会提供组织中账户的自动激活设置并列出组织中的所有账户。对于每个账户,该列表都会显示账户是否已激活 Amazon Inspector,如果已激活,还会显示为该账户激活的资源扫描类型。作为委托管理员,您可以使用此选项卡更改组织的自动激活设置。您还可以为个人成员账户激活或停用特定类型的资源扫描。有关更多信息,请参阅为成员账户激活 Amazon Inspector 扫描。
评测 Amazon EC2 实例的覆盖率
实例选项卡显示环境中Amazon的 Amazon EC2 实例。列表按以下选项卡分组:
-
全部 – 显示环境中的所有实例。状态列显示实例的当前扫描状态。
-
扫描 – 显示 Amazon Inspector 在环境中主动监控和扫描的所有实例。
-
未扫描 – 显示 Amazon Inspector 未在环境中主动监控和扫描的所有实例。原因列说明了为什么 Amazon Inspector 没有监控和扫描实例。
EC2 实例可能由于多种原因出现在未扫描选项卡上。Amazon Inspector 使用 Amazon Systems Manager(SSM)和 SSM 代理来自动监控和扫描 EC2 实例是否存在漏洞。如果实例未运行 SSM 代理,没有支持 Systems Manager 的 Amazon Identity and Access Management (IAM) 角色,或者未运行支持的操作系统或架构,则 Amazon Inspector 无法监控和扫描相应实例。有关更多信息,请参阅Amazon EC2 实例扫描。
在每个选项卡上,账户列指定拥有实例的 Amazon Web Services 账户。
EC2 实例标签 – 此列显示与实例关联的标签,可用于确定您的实例是否已按标签排除在扫描之外。
操作系统 – 此列显示操作系统类型,可以是 WINDOWS、MAC、LINUX 或 UNKNOWN。
使用已监控 – 此列显示 Amazon Inspector 对此实例使用的是基于代理还是无代理的扫描方法。
上次扫描时间 – 此列显示 Amazon Inspector 上次检查资源是否存在漏洞的时间。Amazon Inspector 执行扫描的频率取决于它用来扫描实例的扫描方法。
要查看有关 EC2 实例的更多详细信息,请选择 EC2 实例列中的链接。然后,Amazon Inspector 会显示有关该实例的详细信息以及该实例的当前调查发现。要查看调查发现的详细信息,请选择标题列中的链接。如需了解这些详细信息,请参阅查看 Amazon Inspector 调查发现的详细信息。
扫描 Amazon EC2 实例的状态值
对于 Amazon Elastic Compute Cloud (Amazon EC2) 实例,可能的状态值包括:
-
主动监控 – Amazon Inspector 正在持续监控和扫描实例。
-
超出无代理实例存储限制 - 当连接到实例的所有卷的总大小超过 1200 GB,或者一个实例所连接的卷超过 8 个时,Amazon Inspector 将使用此状态。
-
超出无代理实例收集时间限制 - Amazon Inspector 在尝试对实例运行无代理扫描时超时。
-
EC2 实例已停止 – 由于实例处于停止状态,Amazon Inspector 暂停了对实例的扫描。所有现有调查发现都将持续到实例终止。如果实例重新启动,Amazon Inspector 将自动恢复对实例的扫描。
-
内部错误 – Amazon Inspector 尝试扫描实例时发生内部错误。Amazon Inspector 将自动处理错误并尽快恢复扫描。
-
无清单 – Amazon Inspector 找不到用于扫描实例的软件应用程序清单。实例的 Amazon Inspector 关联可能已被删除或者无法运行。
要修复此问题,请使用 Amazon Systems Manager 来确保
InspectorInventoryCollection-do-not-delete关联存在且其关联状态为成功。此外,使用 Amazon Systems Manager Fleet Manager 验证实例的软件应用程序清单。 -
待禁用 – Amazon Inspector 已停止扫描该实例。正在禁用该实例,等待清理任务完成。
-
等待初始扫描 – Amazon Inspector 已将实例纳入队列,等待初始扫描。
-
资源已终止 – 实例已终止。Amazon Inspector 当前正在清理该实例的现有调查发现和覆盖率数据。
-
清单过期 – Amazon Inspector 无法收集过去 7 天内为该实例捕获的更新后的软件应用程序清单。
要修复此问题,请使用 Amazon Systems Manager 来确保该实例存在所需的 Amazon Inspector 关联并且关联正在运行。此外,使用 Amazon Systems Manager Fleet Manager 验证实例的软件应用程序清单。
-
非托管型 EC2 实例 – Amazon Inspector 未监控或扫描实例。实例不由 Amazon Systems Manager 托管。
要修复此问题,可以使用 Amazon Systems Manager Automation 提供的 AWSSupport-TroubleshootManagedInstance runbook。在您配置 Amazon Systems Manager 来托管实例后,Amazon Inspector 将自动开始持续监控和扫描该实例。
-
不支持的操作系统 – Amazon Inspector 未监控或扫描实例。实例使用了 Amazon Inspector 不支持的操作系统或架构。有关 Amazon Inspector 支持的操作系统的列表,请参阅Amazon EC2 实例的状态值。
-
主动监视且存在部分错误 – 此状态表示 EC2 扫描处于活动状态,但存在与 Amazon Inspector 对基于 Linux 的亚马逊实例进行深入检查 EC2 相关的错误。可能的深度检查错误包括:
超出深度检查程序包收集限制 – 该实例已超过 Amazon Inspector 深度检查的 5000 个程序包限制。要恢复对此实例的深度检查,您可以尝试调整与该账户关联的自定义路径。
超出深度检查每日 SSM 清单限制 – SSM Agent 无法向 Amazon Inspector 发送清单,因为对于该实例,已达到每天每个实例收集的清单数据的 SSM 配额。有关更多信息,请参阅 Amazon EC2 Systems Manager 端点和配额。
超过深度检查收集时间限制 – Amazon Inspector 未能提取程序包清单,因为程序包收集时间超过了 15 分钟的最大阈值。
深度检查没有清单 – Amazon Inspector SSM 插件尚未能够收集此实例的程序包清单。这通常是待处理扫描的结果,但是,如果此状态在 6 小时后仍然存在,请使用 Amazon EC2 Systems Manager 确保该实例存在所需的 Amazon Inspector 关联并且关联正在运行。
有关为 EC2 实例配置扫描设置的详细信息,请参阅Amazon EC2 实例扫描。
评测 Amazon ECR 存储库的覆盖率
存储库选项卡显示Amazon环境中的 Amazon ECR 存储库。列表按以下选项卡分组:
-
全部 – 显示环境中的所有存储库。状态列显示存储库的当前扫描状态。
-
已激活 – 显示根据 Amazon Inspector 配置要在环境中监控和扫描的所有存储库。状态列显示存储库的当前扫描状态。
-
已激活 – 显示 Amazon Inspector 未在环境中监控和扫描的所有存储库。原因列说明了为什么 Amazon Inspector 没有监控和扫描存储库。
在每个选项卡上,账户列指定拥有存储库的 Amazon Web Services 账户。
要查看有关存储库的其他详细信息,请选择存储库的名称。然后,Amazon Inspector 会显示存储库中的容器映像的列表以及每个映像的详细信息。详细信息包括映像标签、映像摘要和扫描状态。其中还包括关键调查发现统计数据,例如映像的关键调查发现数量。要深入了解和查看调查发现统计数据的支持数据,请选择映像的映像标签。
注意
未连续扫描的 Amazon ECR 映像不包含在覆盖小部件中。
扫描 Amazon ECR 存储库的状态值
对于 Amazon Elastic Container Registry(Amazon ECR)存储库,可能的状态值包括:
-
已激活(持续) – 对于存储库,Amazon Inspector 会持续监控存储库中的映像。存储库的增强扫描设置为持续扫描。Amazon Inspector 最初会在推送新映像时对其进行扫描,如果发布了与该映像相关的新 CVE,则会重新扫描映像。Amazon Inspector 将会在您配置的 Amazon ECR 重新扫描持续时间内,继续监控此存储库中的映像。
-
已激活(推送时) – Amazon Inspector 会在推送新映像时自动扫描存储库中的各个容器映像。会为存储库激活增强扫描,并设置为推送时扫描。
-
访问被拒绝 – Amazon Inspector 无法访问存储库或存储库中的任何容器映像。
要修复此问题,请确保存储库的 Amazon Identity and Access Management (IAM) 策略允许 Amazon Inspector 访问存储库。
-
已停用(手动)– Amazon Inspector 未监控或扫描存储库中的任何容器映像。存储库的 Amazon ECR 扫描设置为基本手动扫描。
要开始使用 Amazon Inspector 扫描存储库中的映像,请将存储库的扫描设置更改为增强扫描,然后选择是持续扫描映像还是仅在推送新映像时扫描映像。
-
已激活(推送时) – Amazon Inspector 会在推送新映像时自动扫描存储库中的各个容器映像。存储库的增强扫描设置为推送时扫描。
-
内部错误 – Amazon Inspector 尝试扫描存储库时发生内部错误。Amazon Inspector 将自动处理错误并尽快恢复扫描。
有关为存储库配置扫描设置的详细信息,请参阅Amazon ECR 容器映像扫描。
评测 Amazon ECR 容器映像的覆盖率
映像选项卡显示Amazon环境中的 Amazon ECR 容器映像。列表按以下选项卡分组:
-
全部 – 显示环境中的所有容器映像。状态列显示映像的当前扫描状态。
-
正在扫描 – 显示根据 Amazon Inspector 配置要在环境中监控和扫描的所有容器映像。状态列显示映像的当前扫描状态。
-
未扫描 – 显示 Amazon Inspector 未在环境中监控和扫描的所有容器映像。原因列说明了为什么 Amazon Inspector 没有监控和扫描映像。
容器映像可能会由于多种原因出现在未激活选项卡上。映像可能存储在未激活 Amazon Inspector 扫描的存储库中,或者 Amazon ECR 筛选规则阻止扫描该存储库。或者未在您针对 ECR 重新扫描持续时间配置的天数内推送或拉取映像。有关更多信息,请参阅配置 Amazon ECR 重新扫描持续时间。
在每个选项卡上,存储库名称列指定存储容器映像的存储库的名称。账户列指定拥有该存储库的 Amazon Web Services 账户。上次扫描列显示 Amazon Inspector 上次检查资源是否存在漏洞的时间。这可能包括在更新调查发现元数据时、更新资源的应用程序清单时,或者针对新 CVE 重新扫描时进行检查。有关更多信息,请参阅Amazon ECR 扫描的扫描行为。
要查看有关容器映像的其他详细信息,请选择 ECR 容器映像列中的链接。然后,Amazon Inspector 会显示有关该映像的详细信息以及该映像的当前调查发现。要查看调查发现的详细信息,请选择标题列中的链接。如需了解这些详细信息,请参阅查看 Amazon Inspector 调查发现的详细信息。
扫描 Amazon ECR 容器映像的状态值
对于 Amazon Elastic Container Registry 容器映像,可能的状态值包括:
-
主动监控(持续) - Amazon Inspector 会持续监控映像,并且每当发布新的相关 CVE 时,都会对其进行新一轮扫描。每当推送或拉取映像时,都会刷新映像的 Amazon ECR 重新扫描持续时间。存储映像的存储库启用了增强扫描,存储库的增强扫描设置为持续扫描。
-
已激活(推送时) - 每次推送新映像时,Amazon Inspector 都会自动扫描该映像。存储映像的存储库启用了增强扫描,存储库的增强扫描设置为推送时扫描。
-
内部错误 – Amazon Inspector 尝试扫描容器映像时发生内部错误。Amazon Inspector 将自动处理错误并尽快恢复扫描。
-
等待初始扫描 – Amazon Inspector 已将映像纳入队列,等待初始扫描。
-
扫描资格已过期(持续) - Amazon Inspector 会暂停对映像的扫描。在您为自动重新扫描存储库中的映像指定的持续时间内,映像尚未更新。您可以推送或拉取映像以恢复扫描。
-
扫描资格已过期(推送时) - Amazon Inspector 会暂停对映像的扫描。在您为自动重新扫描存储库中的映像指定的持续时间内,映像尚未更新。您可以推送映像以恢复扫描。
-
手动扫描频率(手动)– Amazon Inspector 不会扫描 Amazon ECR 容器映像。存储映像的存储库的 Amazon ECR 扫描设置为基本手动扫描。要开始使用 Amazon Inspector 自动扫描映像,请将存储库设置为增强扫描,然后选择持续扫描映像或者仅在推送新映像时扫描。
-
不支持的操作系统 – Amazon Inspector 未监控或扫描映像。该映像基于 Amazon Inspector 不支持的操作系统,或者它使用了 Amazon Inspector 不支持的媒体类型。
有关 Amazon Inspector 支持的操作系统的列表,请参阅支持的操作系统:使用 Amazon Inspector 执行 Amazon ECR 扫描。有关 Amazon Inspector 支持的媒体类型的列表,请参阅支持的媒体类型。
有关为存储库和映像配置扫描设置的详细信息,请参阅Amazon ECR 容器映像扫描。
评测 Amazon Lambda 函数覆盖率
Lambda 选项卡显示Amazon环境中的 Lambda 函数。本页有两个表,一个显示 Lambda 标准扫描的函数覆盖率详细信息,另一个显示 Lambda 代码扫描的函数覆盖率详细信息。您可以根据以下选项卡对函数进行分组:
-
全部 – 显示环境中的所有 Lambda 函数。状态列显示 Lambda 函数的当前扫描状态。
-
扫描 – 显示根据 Amazon Inspector 配置要扫描的 Lambda 函数。状态列显示每个 Lambda 函数的当前扫描状态。
-
未扫描 – 显示根据 Amazon Inspector 配置未扫描的 Lambda 函数。原因列说明了为什么 Amazon Inspector 没有监控和扫描函数。
Lambda 函数可能由于多种原因出现在未扫描选项卡上。Lambda 函数可能属于尚未添加到 Amazon Inspector 的账户,或者筛选规则阻止扫描此函数。有关更多信息,请参阅Lambda 函数扫描。
在每个选项卡上,函数名称列指定 Lambda 函数的名称。账户列指定拥有该函数的 Amazon Web Services 账户。运行时系统指定函数的运行时系统。状态列显示每个 Lambda 函数的当前扫描状态。资源标签显示已应用于函数的标签。上次扫描列显示 Amazon Inspector 上次检查资源是否存在漏洞的时间。这可能包括在更新调查发现元数据时、更新资源的应用程序清单时,或者针对新 CVE 重新扫描时进行检查。有关更多信息,请参阅Lambda 函数扫描的扫描行为。
扫描 Amazon Lambda 函数的状态值
对于 Lambda 函数,可能的状态值包括:
-
主动监控 – Amazon Inspector 正在持续监控和扫描 Lambda 函数。持续扫描包括在将新函数推送到存储库时对其进行初始扫描,以及在函数更新或发布新的常见漏洞和风险(CVE)时自动重新扫描函数。
-
按标签排除 – Amazon Inspector 未扫描此函数,因为按标签它已被排除在扫描范围之外。
-
扫描资格已过期 – Amazon Inspector 未监控此函数,因为自上次调用或更新该函数已过去 90 天或更长时间。
-
内部错误 – Amazon Inspector 尝试扫描函数时发生内部错误。Amazon Inspector 将自动处理错误并尽快恢复扫描。
-
等待初始扫描 – Amazon Inspector 已将函数纳入队列,等待初始扫描。
-
不支持 – Lambda 函数的运行时系统不受支持。