本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon EC2 实例操作系统的 Center for Internet Security（CIS）扫描
<a name="scanning-cis"></a>

 Amazon Inspector CIS 扫描（CIS 扫描）可对您的 Amazon EC2 实例操作系统进行基准测试，确保您根据 Center for Internet Security 确定的最佳实践建议对其进行配置。[CIS 安全基准](https://www.amazonaws.cn/what-is/cis-benchmarks/)提供了用于安全配置系统的行业标准配置基准和最佳实践。在为账户启用 Amazon Inspector EC2 扫描后，您可以执行或计划 CIS 扫描。有关如何激活 Amazon EC2 扫描的信息，请参阅[激活扫描类型](https://docs.amazonaws.cn/inspector/latest/user/activate-scans.html)。

**注意**  
 CIS 标准适用于 x86\$164 操作系统。在基于 ARM 的资源上，某些检查可能无法进行评估或返回无效修复说明。

 Amazon Inspector 根据实例标签以及您定义的扫描计划对目标 Amazon EC2 实例执行 CIS 扫描。Amazon Inspector 会对每个目标实例执行一系列实例检查。每项检查都会评估您的系统配置是否符合特定的 CIS 基准建议。每项检查都有一个 CIS 检查 ID 和标题，与该平台的 CIS 基准建议对应。CIS 扫描完成后，您可以查看结果来了解该系统的哪些实例检查通过、跳过或失败。

**注意**  
 要执行或计划 CIS 扫描，必须有安全的互联网连接。但是，如果要对私有实例运行 CIS 扫描，则必须使用 VPC 端点。

**Topics**
+ [Amazon Inspector CIS 扫描的 Amazon EC2 实例要求](#cis-requirements)
+ [运行 CIS 扫描](#running-cis-scans)
+ [使用管理 Amazon Inspector CIS 扫描的注意事项 Amazon Organizations](#CIS-organizations)
+ [Amazon Inspector 拥有用于 Amazon Inspector CIS 扫描的 Amazon S3 存储桶](#cis-buckets)
+ [创建 CIS 扫描配置](scanning-cis-create-cis-scan-configuration.md)
+ [查看 CIS 扫描结果](scanning-cis-view-cis-scan-configuration.md)
+ [编辑 CIS 扫描配置](scanning-cis-view-edit-cis-scan-configuration.md)
+ [下载 CIS 扫描结果](scanning-cis-view-download-cis-scan-configuration.md)

## Amazon Inspector CIS 扫描的 Amazon EC2 实例要求
<a name="cis-requirements"></a>

 要在您的 Amazon EC2 实例上运行 CIS 扫描，Amazon EC2 实例必须满足以下条件：
+  实例操作系统是 CIS 扫描支持的操作系统之一。有关更多信息，请参阅 [Amazon Inspector 支持的操作系统和编程语言](https://docs.amazonaws.cn/inspector/latest/user/supported.html#supported-os-cis)。
+  实例是 Amazon EC2 Systems Manager 实例。有关更多信息，请参阅《Amazon Systems Manager 用户指南》**中的[使用 SSM Agent](https://docs.amazonaws.cn/systems-manager/latest/userguide/ssm-agent.html)。
+  该实例已安装 Amazon Inspector SSM 插件。Amazon Inspector 会自动在托管实例上安装此插件。
+  该实例具有实例配置文件，该配置文件授予 SSM 管理实例的权限，并授予 Amazon Inspector 对实例运行 CIS 扫描的权限。要授予这些权限，请将 [Amazon SSMManaged InstanceCore](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) 和 [AmazonInspector2 个ManagedCisPolicy](https://docs.amazonaws.cn/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ManagedCisPolicy)策略附加到一个 IAM 角色。然后将 IAM 角色作为实例配置文件附加到该实例。有关创建和附加实例配置文件的说明，请参阅《Amazon EC2 用户指南》**中的[使用 IAM 角色](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#working-with-iam-roles)。

**注意**  
 在 Amazon EC2 实例上运行 CIS 扫描之前，您无需启用 Amazon Inspector 深度检查。如果您禁用 Amazon Inspector 深度检查，Amazon Inspector 会自动安装 SSM Agent，但不会再调用 SSM Agent 来运行深度检查。不过，因此，您的账户中存在 `InspectorLinuxDistributor-do-not-delete` 关联。

### 在私有 Amazon EC2 实例上运行 CIS 扫描的 Amazon Virtual Private Cloud 端点要求
<a name="w2aac15c13b9"></a>

 您可以通过 Amazon 网络对 Amazon EC2 实例运行 CIS 扫描。但是，如果您想在私有 Amazon EC2 实例上运行 CIS 扫描，则必须[创建 Amazon VPC 端点](https://docs.amazonaws.cn/systems-manager/latest/userguide/setup-create-vpc.html)。为 Systems Manager 创建 Amazon VPC 端点时，需要以下端点：
+  `com.amazonaws.region.ec2messages` 
+  `com.amazonaws.region.inspector2` 
+  `com.amazonaws.region.s3` 
+  `com.amazonaws.region.ssm` 
+  `com.amazonaws.region.ssmmessages` 

 有关更多信息，请参阅《Amazon Systems Manager 用户指南》**中的[为 Systems Manager 创建 VPC 端点](https://docs.amazonaws.cn/systems-manager/latest/userguide/setup-create-vpc.html#sysman-setting-up-vpc-create)。

**注意**  
 目前，有些 Amazon Web Services 区域 不支持该`amazonaws.com.region.inspector2`端点。

## 运行 CIS 扫描
<a name="running-cis-scans"></a>

您可以按需运行一次性 CIS 扫描，也可以按计划重复扫描。要运行扫描，请先创建扫描配置。

创建扫描配置时，您可以指定用于查找实例的标签键值对。如果您是组织的 Amazon Inspector 委派管理员，则可以在扫描配置中指定多个账户，Amazon Inspector 将在每个账户中查找带有指定标签的实例。您可以为扫描选择 CIS 基准等级。对于每个基准测试，CIS 都支持等级 1 和等级 2 配置文件，旨在为不同环境可能需要的不同安全等级提供基准。
+ **等级 1** - 建议可在任何系统上配置的基本安全设置。实施这些设置会让服务很少中断或根本不会中断。这些建议的目标是减少系统入口点的数量，从而降低整体网络安全风险。
+ **等级 2** - 为高安全性环境建议更高级的安全设置。实施这些设置需要进行规划和协调，以最大限度地降低业务影响的风险。这些建议的目标是协助您符合监管合规性要求。

等级 2 是等级 1 的延伸。如果选择等级 2，Amazon Inspector 会检查针对等级 1 和等级 2 建议的所有配置。

定义扫描参数后，您可以选择是将其作为一次性扫描来运行（在完成配置后便运行），还是作为重复扫描来运行。重复扫描可以每天、每周或每月运行，时间由您选择。

**提示**  
我们建议选择扫描运行期间不太可能影响系统的日期和时间。

## 使用管理 Amazon Inspector CIS 扫描的注意事项 Amazon Organizations
<a name="CIS-organizations"></a>

 当您在组织中运行 CIS 扫描时，Amazon Inspector 委派管理员和成员账户会以不同的方式与 CIS 扫描配置和扫描结果进行交互。

**Amazon Inspector 委派管理员如何与 CIS 扫描配置和扫描结果进行交互**  
 当委派管理员为所有账户或特定成员账户创建扫描配置时，该配置归组织所有。组织拥有的扫描配置有一个 ARN，将组织 ID 指定为所有者：

 `arn:aws:inspector2:Region:111122223333:owner/OrganizationId/cis-configuration/scanId` 

 委派管理员可以管理组织拥有的扫描配置，即使这些配置是由其他账户创建。

 委派管理员可以查看其组织中任何账户的扫描结果。

 如果委派管理员创建了扫描配置并指定 `SELF` 为目标账户，则即使该委派管理员离职，他们依然拥有扫描配置。但是，委派管理员无法以 `SELF` 为目标来更改扫描配置的目标。

**注意**  
 委派管理员无法向组织拥有的 CIS 扫描配置添加标签。

**Amazon Inspector 成员账户如何与 CIS 扫描配置和扫描结果进行交互**  
 当成员账户创建 CIS 扫描配置时，该配置归其所有。但是，委派管理员可以查看该配置。如果成员账户离职，则委派管理员将无法查看该配置。

**注意**  
 委派管理员无法编辑成员账户创建的扫描配置。

 成员账户、以 `SELF` 为目标的委派管理员，以及独立账户都拥有自己创建的扫描配置。这些扫描配置有一个 ARN，将账户 ID 显示为所有者：

 `arn:aws:inspector2:Region:111122223333:owner/111122223333/cis-configuration/scanId` 

 成员账户可以在其账户中查看扫描结果，包括委派管理员计划的 CIS 扫描的扫描结果。

## Amazon Inspector 拥有用于 Amazon Inspector CIS 扫描的 Amazon S3 存储桶
<a name="cis-buckets"></a>

 开放式漏洞和评估语言（OVAL，Open Vulnerability and Assessment Language）是一项信息安全工作，旨在使评测和报告计算机系统的机器状态实现标准化。下表列出了 Amazon Inspector 拥有的所有用于 CIS 扫描的 Amazon S3 存储桶及 OVAL 定义。Amazon Inspector 会暂存 CIS 扫描所需的 OVAL 定义文件。 VPCs 如有必要，应将亚马逊 Inspector 拥有的 Amazon S3 存储桶列入许可名单。

**注意**  
 以下 Amazon Inspector 拥有的每个 Amazon S3 存储桶的详细信息都不会发生变化。但是，该表可能会不定期更新，以反映新支持的 Amazon Web Services 区域。您不能将 Amazon Inspector 拥有的 Amazon S3 存储桶用于其他 Amazon S3 操作或在您自己的 Amazon S3 存储桶中使用。


| CIS 存储桶 | Amazon Web Services 区域 | 
| --- | --- | 
|   `cis-datasets-prod-arn-5908f6f`   |   欧洲地区（斯德哥尔摩）   | 
|   `cis-datasets-prod-bah-8f88801`   |   中东（巴林）   | 
|   `cis-datasets-prod-bjs-0f40506`   |   中国（北京）   | 
|   `cis-datasets-prod-bom-435a167`   |   亚太地区（孟买）   | 
|   `cis-datasets-prod-cdg-f3a9c58`   |   欧洲地区（巴黎）   | 
|   `cis-datasets-prod-cgk-09eb12f`   |   亚太地区（雅加达）   | 
|   `cis-datasets-prod-cmh-63030b9`   |   美国东部（俄亥俄州）   | 
|   `cis-datasets-prod-cpt-02c5c6f`   |   非洲（开普敦）   | 
|   `cis-datasets-prod-dub-984936f`   |   欧洲地区（爱尔兰）   | 
|   `cis-datasets-prod-fra-6eb96eb`   |   欧洲地区（法兰克福）   | 
|   `cis-datasets-prod-gru-de69f99`   |   南美洲（圣保罗）   | 
|   `cis-datasets-prod-hkg-8e30800`   |   亚太地区（香港）   | 
|   `cis-datasets-prod-iad-8438411`   |   美国东部（弗吉尼亚州北部）   | 
|   `cis-datasets-prod-icn-f4eff1c`   |   亚太地区（首尔）   | 
|   `cis-datasets-prod-kix-5743b21`   |  亚太地区（大阪）  | 
|   `cis-datasets-prod-lhr-8b1fbd0`   |   欧洲地区（伦敦）   | 
|   `cis-datasets-prod-mxp-7b1bbce`   |   欧洲地区（米兰）   | 
|   `cis-datasets-prod-nrt-464f684`   |   亚太地区（东京）   | 
|   `cis-datasets-prod-osu-5bead6f`   |  Amazon GovCloud （美国东部）  | 
|   `cis-datasets-prod-pdt-adadf9c`   |   Amazon GovCloud （美国西部）   | 
|   `cis-datasets-prod-pdx-acfb052`   |   美国西部（俄勒冈州）   | 
|   `cis-datasets-prod-sfo-1515ba8`   |   美国西部（北加利福尼亚）   | 
|   `cis-datasets-prod-sin-309725b`   |   亚太地区（新加坡）   | 
|   `cis-datasets-prod-syd-f349107`   |   亚太地区（悉尼）   | 
|   `cis-datasets-prod-yul-5e0c95e`   |   加拿大（中部）   | 
|   `cis-datasets-prod-zhy-5a8eacb`   |   中国（宁夏）   | 
|   `cis-datasets-prod-zrh-67e0e3d`   |   欧洲（苏黎世）   |