Amazon Inspector 入门 - Amazon Inspector
开始前的准备工作步骤 1:激活 Amazon Inspector 步骤 2:查看 Amazon Inspector 调查发现
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Inspector 入门

本教程介绍了 Amazon Inspector 的实际操作。

第 1 步介绍如何在多账户环境中激活独立账户的 Amazon Inspector 扫描,或者以亚马逊检查员委托管理员的身份激活 Amazon Inspector 扫描。 Amazon Organizations

第 2 步介绍如何了解控制台中的 Amazon Inspector 调查发现。

注意

在本教程中,您将以当前状态完成任务 Amazon Web Services 区域。要在其他区域设置 Amazon Inspector,您必须在每个区域完成这些步骤。

开始前的准备工作

Amazon Inspector 是一项漏洞管理服务,可持续扫描您的 Amazon EC2 实例、Amazon ECR 容器映像和 Amazon Lambda 函数,以查找软件漏洞和意外网络泄露。

在激活 Amazon Inspector 之前,请注意以下几点

  • Amazon Inspector 是一项区域服务。在本教程中完成的所有配置步骤都必须在要使用 Amazon Inspector 进行监测的每个区域中重复完成。

  • Amazon Inspector 使您可以灵活地激活亚马逊 EC2 实例、亚马逊 ECR 容器镜像和 Amazon Lambda 功能扫描。您可以在 Amazon Inspector 控制台的账户管理页面或使用 Amazon Inspector API 管理扫描类型。

  • 只有安装并激活了 Amazon EC2 Systems Manager (SSM) 代理,Amazon Inspector 才能为 EC2 实例提供常见脆弱性和风险 (CVE) 数据。许多 EC2 实例上都预装了此代理,但您可能需要手动激活它。不管 SSM 代理状态如何,都会对所有 EC2 实例进行网络暴露问题扫描。有关为 Amazon EC2 配置扫描的更多信息,请参阅扫描 Amazon EC2 实例。Amazon ECR 和 Amazon Lambda 功能扫描不需要使用代理。

  • 具有管理员权限的 IAM 用户身份 Amazon Web Services 账户 可以启用 Amazon Inspector。出于数据保护目的,我们建议您保护您的凭证并使用 Amazon IAM Identity Center 或 Amazon Identity and Access Management (IAM) 设置个人用户。这样,每个用户只能获得管理 Amazon Inspector 所需的权限。有关启用 Amazon Inspector 所需的权限的信息,请参阅Amazon 托管策略:AmazonInspector2FullAccess

  • 在任何区域首次激活 Amazon Inspector 时,都会为您的账户在全球范围内创建一个名为 AWSServiceRoleForAmazonInspector2 的服务相关角色。该角色包括相应权限和信任策略,允许 Amazon Inspector 收集程序包详细信息并分析 Amazon VPC 配置以生成脆弱性调查发现。有关更多信息,请参阅 对 Amazon Inspector 使用服务相关角色。有关服务相关角色的更多信息,请参阅使用服务相关角色

步骤 1:激活 Amazon Inspector

使用 Amazon Inspector 的第一步是为 Amazon Web Services 账户激活它。激活任意 Amazon Inspector 扫描类型后,Amazon Inspector 会立即开始发现和扫描所有符合条件的资源。

如果您希望通过集中式管理员账户管理组织内多个账户的 Amazon Inspector,则必须为 Amazon Inspector 分配一名委托管理员。选择以下选项之一,了解如何为您的环境激活 Amazon Inspector。

Standalone account environment

  1. 打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home

  2. 选择开始使用

  3. 选择激活 Amazon Inspector

在独立账户中激活 Amazon Inspector 时,默认情况下会激活所有扫描类型。您可以在 Amazon Inspector 控制台的账户管理页面或使用 Amazon Inspector API 管理激活的扫描类型。激活 Amazon Inspector 后,它会自动发现并开始扫描所有符合条件的资源。查看以下扫描类型信息,了解默认情况下哪些资源符合条件:

Amazon EC2 扫描

为了向您的 EC2 实例提供常见漏洞和风险敞口 (CVE) 数据,Amazon Inspector 要求安装并激活 S Amazon ystems Manager (SSM) 代理。许多 EC2 实例上都预装了此代理,但您可能需要手动激活它。不管 SSM 代理状态如何,都会对所有 EC2 实例进行网络暴露问题扫描。有关为 Amazon EC2 配置扫描的更多信息,请参阅使用 Amazon Inspector 扫描 Amazon EC2 实例

Amazon ECR 扫描

激活 Amazon ECR 扫描后,Amazon Inspector 会将您的私有注册表中为 Amazon ECR 提供的默认基本扫描配置的所有容器存储库转换为使用持续扫描的增强扫描。您也可以选择将此设置配置为仅在推送时扫描或通过包含规则扫描特定存储库。过去 30 天内推送的所有映像都将安排生命周期扫描,此 Amazon ECR 扫描设置可以随时更改。有关为 Amazon ECR 配置扫描的更多信息,请参阅使用 Amazon Inspector 扫描 Amazon ECR 容器映像

Amazon Lambda 功能扫描

当您激活 Amazon Lambda 函数扫描时,Amazon Inspector 会发现您账户中的 Lambda 函数并立即开始扫描这些函数以查找漏洞。Amazon Inspector 会在部署新的 Lambda 函数和层时对其进行扫描,并在它们更新或新的常见脆弱性和风险 (CVE) 发布时对其进行重新扫描。Amazon Inspector 提供两种不同级别的 Lambda 函数扫描。默认情况下,首次激活 Amazon Inspector 时,会激活 Lambda 标准扫描,这会扫描函数中的程序包依赖项。此外,您还可以激活 Lambda 代码扫描,以扫描函数中的开发者代码是否存在代码脆弱性。有关配置 Lambda 函数扫描的更多信息,请参阅使用 Amazon Inspector 进行扫描 Amazon Lambda

Multi-account environment
重要

要完成这些步骤,您必须与要管理的所有账户属于同一个组织,并且有权访问 Amazon Organizations 管理账户,才能在组织内委派 Amazon Inspector 管理员。委托管理员可能需要其他权限。有关更多信息,请参阅 指定委托管理员所需的权限

注意

要以编程方式为多个区域的多个账户启用 Amazon Inspector,可以使用 Amazon Inspector 开发的 shell 脚本。有关使用此脚本的更多信息,请参阅 insp ector2-enablement-with-cli on。 GitHub

为 Amazon Inspector 委托管理员

  1. 登录 Amazon Organizations 管理账户。

  2. 打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home

  3. 授权管理员窗格中,输入您要指定为该组织的 Amazon Inspector 委托管理员的十二位数 ID。 Amazon Web Services 账户 然后选择委托。然后,在确认窗口中,再次选择委托

    注意

    委托管理员时,您的账户会激活 Amazon Inspector。

添加成员账户

作为委托管理员,您可以为与组织管理账户关联的所有成员激活扫描。此工作流程会为所有成员账户激活所有扫描类型。不过,成员也可以为自己的账户激活 Amazon Inspector,或者委托管理员可以有选择地激活对服务的扫描。有关更多信息,请参阅 管理多个账户

  1. 登录委托管理员账户。

  2. 打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home

  3. 在导航窗格中,选择账户管理账户表显示了与组织管理账户关联的所有成员账户。

  4. 账户管理页面上,您可以从顶部横幅中选择 “激活对所有账户的扫描”,以激活 EC2 实例、ECR 容器映像以及对组织中所有账户的 Amazon Lambda 功能扫描。或者,您可以在账户表中选择要添加为成员的账户。然后从激活菜单中选择全部扫描

  5. (可选)打开为新成员账户自动激活 Inspector 功能,然后选择要包含的扫描类型,以为添加到组织中的所有新成员账户激活这些扫描。

Amazon Inspector 目前提供 EC2 实例、ECR 容器镜像和 Amazon Lambda 函数的扫描。激活 Amazon Inspector 后,它会自动开始发现和扫描所有符合条件的资源。查看以下扫描类型信息,了解默认情况下哪些资源符合条件:

Amazon EC2 扫描

要为您的 EC2 实例提供 CVE 漏洞数据,Amazon Inspector 需要安装并激活 S Amazon ystems Manager (SSM) 代理。许多 EC2 实例上都预装了此代理,但您可能需要手动激活它。不管 SSM 代理状态如何,都会对所有 EC2 实例进行网络暴露问题扫描。有关为 Amazon EC2 配置扫描的更多信息,请参阅使用 Amazon Inspector 扫描 Amazon EC2 实例

Amazon ECR 扫描

激活 Amazon ECR 扫描后,Amazon Inspector 会将您的私有注册表中为 Amazon ECR 提供的默认基本扫描配置的所有容器存储库转换为使用持续扫描的增强扫描。您也可以选择将此设置配置为仅在推送时扫描或通过包含规则扫描特定存储库。过去 30 天内推送的所有映像都将安排生命周期扫描。委派管理员可以随时更改 Amazon ECR 扫描设置。有关为 Amazon ECR 配置扫描的更多信息,请参阅使用 Amazon Inspector 扫描 Amazon ECR 容器映像

Amazon Lambda 功能扫描

当您激活 Amazon Lambda 函数扫描时,Amazon Inspector 会发现您账户中的 Lambda 函数并立即开始扫描这些函数以查找漏洞。Amazon Inspector 会在部署新的 Lambda 函数和层时对其进行扫描,并在它们更新或新的常见脆弱性和风险 (CVE) 发布时对其进行重新扫描。有关配置 Lambda 函数扫描的更多信息,请参阅使用 Amazon Inspector 进行扫描 Amazon Lambda

步骤 2:查看 Amazon Inspector 调查发现

您可以在 Amazon Inspector 控制台中或通过 API 查看您的环境的调查发现。所有调查结果也会推送到 Amazon EventBridge 和 Amazon Security Hub (如果已激活)。此外,容器映像调查发现会推送到 Amazon ECR。

Amazon Inspector 控制台为调查发现提供了多种不同的查看格式。Amazon Inspector 控制面板为您提供了环境风险的总体概况,而调查发现表提供了特定调查发现的详细信息。

在此步骤中,您可以使用调查发现表和调查发现控制面板浏览调查发现的详细信息。有关 Amazon Inspector 控制面板的更多信息,请参阅了解控制面板

要在 Amazon Inspector 控制台中查看您的环境的调查发现的详细信息,请执行以下操作:

  1. 打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home

  2. 从导航窗格中选择控制面板。您可以选择控制面板中的任意链接,导航到 Amazon Inspector 控制台中的页面,了解相应项目的更多详细信息。

  3. 从导航窗格中选择调查发现

  4. 默认情况下,您将看到所有调查结果选项卡,其中显示您的环境的所有 EC2 实例、ECR 容器映像和 Amazon Lambda 函数发现。

  5. 调查发现列表中,在标题列中选择一个调查发现名称,打开其详细信息窗格。所有调查发现都有一个调查发现详细信息选项卡。您可以通过以下方式与调查发现详细信息选项卡进行交互:

    • 要了解有关脆弱性的更多详细信息,请点击脆弱性详细信息部分中的链接,打开该脆弱性的文档。

    • 要进一步调查资源,请点击受影响的资源部分中的资源 ID 链接,打开受影响资源的服务控制台。

    程序包脆弱性类型的调查发现也具有 Inspector 评分和脆弱性情报选项卡,此选项卡解释了该调查发现的 Amazon Inspector 评分是如何计算的,并提供了与该调查发现相关的常见脆弱性和风险 (CVE) 的信息。有关调查发现类型的更多信息,请参阅Amazon Inspector 中的调查发现类型