本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Inspector 入门
本教程介绍了 Amazon Inspector 的实际操作。
第 1 步介绍如何在多账户环境中激活独立账户的 Amazon Inspector 扫描,或者以亚马逊检查员委托管理员的身份激活 Amazon Inspector 扫描。 Amazon Organizations
第 2 步介绍如何了解控制台中的 Amazon Inspector 调查发现。
注意
在本教程中,您将以当前状态完成任务 Amazon Web Services 区域。要在其他区域设置 Amazon Inspector,您必须在每个区域完成这些步骤。
开始前的准备工作
Amazon Inspector 是一项漏洞管理服务,可持续扫描您的 Amazon EC2 实例、Amazon ECR 容器映像和 Amazon Lambda 函数,以查找软件漏洞和意外网络泄露。
在激活 Amazon Inspector 之前,请注意以下几点:
-
Amazon Inspector 是一项区域服务。在本教程中完成的所有配置步骤都必须在要使用 Amazon Inspector 进行监测的每个区域中重复完成。
-
Amazon Inspector 使您可以灵活地激活亚马逊 EC2 实例、亚马逊 ECR 容器镜像和 Amazon Lambda 功能扫描。您可以在 Amazon Inspector 控制台的账户管理页面或使用 Amazon Inspector API 管理扫描类型。
-
只有安装并激活了 Amazon EC2 Systems Manager (SSM) 代理,Amazon Inspector 才能为 EC2 实例提供常见脆弱性和风险 (CVE) 数据。许多 EC2 实例上都预装了此代理,但您可能需要手动激活它。不管 SSM 代理状态如何,都会对所有 EC2 实例进行网络暴露问题扫描。有关为 Amazon EC2 配置扫描的更多信息,请参阅扫描 Amazon EC2 实例。Amazon ECR 和 Amazon Lambda 功能扫描不需要使用代理。
-
具有管理员权限的 IAM 用户身份 Amazon Web Services 账户 可以启用 Amazon Inspector。出于数据保护目的,我们建议您保护您的凭证并使用 Amazon IAM Identity Center 或 Amazon Identity and Access Management (IAM) 设置个人用户。这样,每个用户只能获得管理 Amazon Inspector 所需的权限。有关启用 Amazon Inspector 所需的权限的信息,请参阅Amazon 托管策略:AmazonInspector2FullAccess。
-
在任何区域首次激活 Amazon Inspector 时,都会为您的账户在全球范围内创建一个名为
AWSServiceRoleForAmazonInspector2
的服务相关角色。该角色包括相应权限和信任策略,允许 Amazon Inspector 收集程序包详细信息并分析 Amazon VPC 配置以生成脆弱性调查发现。有关更多信息,请参阅 对 Amazon Inspector 使用服务相关角色。有关服务相关角色的更多信息,请参阅使用服务相关角色。
步骤 1:激活 Amazon Inspector
使用 Amazon Inspector 的第一步是为 Amazon Web Services 账户激活它。激活任意 Amazon Inspector 扫描类型后,Amazon Inspector 会立即开始发现和扫描所有符合条件的资源。
如果您希望通过集中式管理员账户管理组织内多个账户的 Amazon Inspector,则必须为 Amazon Inspector 分配一名委托管理员。选择以下选项之一,了解如何为您的环境激活 Amazon Inspector。
步骤 2:查看 Amazon Inspector 调查发现
您可以在 Amazon Inspector 控制台中或通过 API 查看您的环境的调查发现。所有调查结果也会推送到 Amazon EventBridge 和 Amazon Security Hub (如果已激活)。此外,容器映像调查发现会推送到 Amazon ECR。
Amazon Inspector 控制台为调查发现提供了多种不同的查看格式。Amazon Inspector 控制面板为您提供了环境风险的总体概况,而调查发现表提供了特定调查发现的详细信息。
在此步骤中,您可以使用调查发现表和调查发现控制面板浏览调查发现的详细信息。有关 Amazon Inspector 控制面板的更多信息,请参阅了解控制面板。
要在 Amazon Inspector 控制台中查看您的环境的调查发现的详细信息,请执行以下操作:
-
打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home
。 -
从导航窗格中选择控制面板。您可以选择控制面板中的任意链接,导航到 Amazon Inspector 控制台中的页面,了解相应项目的更多详细信息。
-
从导航窗格中选择调查发现。
-
默认情况下,您将看到所有调查结果选项卡,其中显示您的环境的所有 EC2 实例、ECR 容器映像和 Amazon Lambda 函数发现。
-
在调查发现列表中,在标题列中选择一个调查发现名称,打开其详细信息窗格。所有调查发现都有一个调查发现详细信息选项卡。您可以通过以下方式与调查发现详细信息选项卡进行交互:
-
要了解有关脆弱性的更多详细信息,请点击脆弱性详细信息部分中的链接,打开该脆弱性的文档。
-
要进一步调查资源,请点击受影响的资源部分中的资源 ID 链接,打开受影响资源的服务控制台。
程序包脆弱性类型的调查发现也具有 Inspector 评分和脆弱性情报选项卡,此选项卡解释了该调查发现的 Amazon Inspector 评分是如何计算的,并提供了与该调查发现相关的常见脆弱性和风险 (CVE) 的信息。有关调查发现类型的更多信息,请参阅Amazon Inspector 中的调查发现类型。
-