Exportieren von Amazon Inspector Inspector-Ergebnisberichten - Amazon Inspector
Schritt 1: Überprüfen Sie Ihre BerechtigungenSchritt 2: Konfigurieren Sie einen S3-BucketSchritt 3: Konfigurieren Sie eine AWS KMS keySchritt 4: Einen Ergebnisbericht konfigurieren und exportierenBeheben von Fehlern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Exportieren von Amazon Inspector Inspector-Ergebnisberichten

Ein Ergebnisbericht ist eine CSV JSON OR-Datei, die einen detaillierten Überblick über Ihre Ergebnisse bietet. Sie können einen Ergebnisbericht nach AWS Security Hub Amazon und Amazon EventBridge Simple Storage Service (Amazon S3) exportieren. Wenn Sie einen Ergebnisbericht konfigurieren, geben Sie an, welche Ergebnisse darin enthalten sein sollen. Standardmäßig enthält Ihr Ergebnisbericht Daten für alle Ihre aktiven Ergebnisse. Wenn Sie der delegierte Administrator für eine Organisation sind, enthält Ihr Ergebnisbericht Daten für alle Mitgliedskonten in der Organisation. Um einen Ergebnisbericht anzupassen, erstellen Sie einen Filter und wenden Sie ihn an.

Wenn Sie einen Ergebnisbericht exportieren, verschlüsselt Amazon Inspector Ihre Ergebnisdaten mit einer AWS KMS key , die Sie angeben. Nachdem Amazon Inspector Ihre Ergebnisdaten verschlüsselt hat, speichert es Ihren Befundbericht in einem von Ihnen angegebenen Amazon S3 S3-Bucket. Ihr AWS KMS Schlüssel muss in demselben AWS-Region wie Ihr Amazon S3 S3-Bucket verwendet werden. Ihre AWS KMS Schlüsselrichtlinie muss Amazon Inspector erlauben, sie zu verwenden, und Ihre Amazon S3 S3-Bucket-Richtlinie muss es Amazon Inspector ermöglichen, ihr Objekte hinzuzufügen. Nachdem Sie Ihren Ergebnisbericht exportiert haben, können Sie ihn aus Ihrem Amazon S3 S3-Bucket herunterladen oder an einen neuen Speicherort übertragen. Sie können Ihren Amazon S3 S3-Bucket auch als Repository für andere exportierte Ergebnisberichte verwenden.

In diesem Abschnitt wird beschrieben, wie Sie einen Ergebnisbericht in der Amazon Inspector Inspector-Konsole exportieren. Für die folgenden Aufgaben müssen Sie Ihre Berechtigungen überprüfen, einen Amazon S3 S3-Bucket konfigurieren AWS KMS key, einen konfigurieren und einen Ergebnisbericht konfigurieren und exportieren.

Anmerkung

Wenn Sie einen Ergebnisbericht mit Amazon Inspector exportieren CreateFindingsReportAPI, können Sie nur Ihre aktiven Ergebnisse anzeigen. Wenn Sie Ihre unterdrückten oder geschlossenen Ergebnisse anzeigen möchten, müssen Sie dies CLOSED als Teil Ihrer Filterkriterien angebenSUPPRESSED.

Schritt 1: Überprüfen Sie Ihre Berechtigungen

Anmerkung

Nachdem Sie einen Ergebnisbericht zum ersten Mal exportiert haben, sind die Schritte 1—3 optional. Das Befolgen dieser Schritte hängt davon ab, ob Sie denselben Amazon S3 S3-Bucket und AWS KMS key für andere exportierte Ergebnisberichte verwenden möchten. Wenn Sie nach Abschluss der Schritte 1—3 einen Ergebnisbericht programmgesteuert exportieren möchten, verwenden Sie die CreateFindingsReportBedienung von Amazon Inspector. API

Bevor Sie einen Ergebnisbericht aus Amazon Inspector exportieren, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen, um sowohl Ergebnisberichte zu exportieren als auch Ressourcen für die Verschlüsselung und Speicherung der Berichte zu konfigurieren. Um Ihre Berechtigungen zu überprüfen, verwenden Sie AWS Identity and Access Management (IAM), um die mit Ihrer IAM Identität verknüpften IAM Richtlinien zu überprüfen. Vergleichen Sie dann die Informationen in diesen Richtlinien mit der folgenden Liste von Aktionen, die Sie ausführen dürfen müssen, um einen Ergebnisbericht zu exportieren.

Amazon Inspector

Stellen Sie für Amazon Inspector sicher, dass Sie die folgenden Aktionen ausführen dürfen:

  • inspector2:ListFindings

  • inspector2:CreateFindingsReport

Diese Aktionen ermöglichen es Ihnen, Ergebnisdaten für Ihr Konto abzurufen und diese Daten in Ergebnisberichten zu exportieren.

Wenn Sie planen, umfangreiche Berichte programmgesteuert zu exportieren, können Sie auch überprüfen, ob Sie die folgenden Aktionen ausführen dürfen:inspector2:GetFindingsReportStatus, um den Status von Berichten zu überprüfen undinspector2:CancelFindingsReport, um laufende Exporte abzubrechen.

AWS KMS

Stellen Sie sicher AWS KMS, dass Sie die folgenden Aktionen ausführen dürfen:

  • kms:GetKeyPolicy

  • kms:PutKeyPolicy

Mit diesen Aktionen können Sie die Schlüsselrichtlinie für das abrufen und aktualisieren AWS KMS key , das Amazon Inspector zur Verschlüsselung Ihres Berichts verwenden soll.

Um die Amazon Inspector Inspector-Konsole zum Exportieren eines Berichts zu verwenden, stellen Sie außerdem sicher, dass Sie die folgenden AWS KMS Aktionen ausführen dürfen:

  • kms:DescribeKey

  • kms:ListAliases

Mit diesen Aktionen können Sie Informationen über das AWS KMS keys für Ihr Konto abrufen und anzeigen. Sie können dann einen dieser Schlüssel auswählen, um Ihren Bericht zu verschlüsseln.

Wenn Sie vorhaben, einen neuen KMS Schlüssel für die Verschlüsselung Ihres Berichts zu erstellen, müssen Sie auch berechtigt sein, die kms:CreateKey Aktion auszuführen.

Amazon S3

Stellen Sie für Amazon S3 sicher, dass Sie die folgenden Aktionen ausführen dürfen:

  • s3:CreateBucket

  • s3:DeleteObject

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutBucketPublicAccessBlock

  • s3:PutObject

  • s3:PutObjectAcl

Mit diesen Aktionen können Sie den S3-Bucket erstellen und konfigurieren, in dem Amazon Inspector Ihren Bericht speichern soll. Sie ermöglichen Ihnen auch das Hinzufügen und Löschen von Objekten aus dem Bucket.

Wenn Sie planen, Ihren Bericht mit der Amazon Inspector Inspector-Konsole zu exportieren, überprüfen Sie auch, ob Sie die s3:ListAllMyBuckets s3:GetBucketLocation Aktionen ausführen dürfen. Mit diesen Aktionen können Sie Informationen zu den S3-Buckets für Ihr Konto abrufen und anzeigen. Sie können dann einen dieser Buckets auswählen, um den Bericht zu speichern.

Wenn Sie eine oder mehrere der erforderlichen Aktionen nicht ausführen dürfen, bitten Sie Ihren AWS Administrator um Unterstützung, bevor Sie mit dem nächsten Schritt fortfahren.

Schritt 2: Konfigurieren Sie einen S3-Bucket

Nachdem Sie Ihre Berechtigungen überprüft haben, können Sie den S3-Bucket konfigurieren, in dem Sie Ihren Ergebnisbericht speichern möchten. Dabei kann es sich um einen vorhandenen Bucket für Ihr eigenes Konto oder um einen vorhandenen Bucket handeln, der einem anderen gehört AWS-Konto und auf den Sie zugreifen dürfen. Wenn Sie Ihren Bericht in einem neuen Bucket speichern möchten, erstellen Sie den Bucket, bevor Sie fortfahren.

Der S3-Bucket muss sich im selben AWS-Region Verzeichnis befinden wie die Ergebnisdaten, die Sie exportieren möchten. Wenn Sie beispielsweise Amazon Inspector in der Region USA Ost (Nord-Virginia) verwenden und Ergebnisdaten für diese Region exportieren möchten, muss sich der Bucket auch in der Region USA Ost (Nord-Virginia) befinden.

Darüber hinaus muss die Richtlinie des Buckets Amazon Inspector das Hinzufügen von Objekten zum Bucket ermöglichen. In diesem Thema wird erklärt, wie die Bucket-Richtlinie aktualisiert wird, und es gibt ein Beispiel für die Anweisung, die der Richtlinie hinzugefügt werden soll. Ausführliche Informationen zum Hinzufügen und Aktualisieren von Bucket-Richtlinien finden Sie unter Verwenden von Bucket-Richtlinien im Amazon Simple Storage Service-Benutzerhandbuch.

Wenn Sie Ihren Bericht in einem S3-Bucket speichern möchten, der einem anderen Konto gehört, arbeiten Sie mit dem Besitzer des Buckets zusammen, um die Richtlinie des Buckets zu aktualisieren. Besorgen Sie sich auch die URI für den Bucket. Sie müssen dies eingeben, URI wenn Sie Ihren Bericht exportieren.

Um die Bucket-Richtlinie zu aktualisieren

  1. Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3.

  2. Wählen Sie im Navigationsbereich die Option Buckets aus.

  3. Wählen Sie den S3-Bucket aus, in dem Sie den Ergebnisbericht speichern möchten.

  4. Wählen Sie die Registerkarte Berechtigungen.

  5. Wählen Sie im Abschnitt Bucket-Richtlinie die Option Bearbeiten aus.

  6. Kopieren Sie die folgende Beispielanweisung in Ihre Zwischenablage:

    {
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "allow-inspector",
			"Effect": "Allow",
			"Principal": {
				"Service": "inspector2.amazonaws.com"
			},
			"Action": [
				"s3:PutObject",
				"s3:PutObjectAcl",
				"s3:AbortMultipartUpload"
			],
			"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
			"Condition": {
				"StringEquals": {
					"aws:SourceAccount": "111122223333"
				},
				"ArnLike": {
					"aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*"
				}
			}
		}
	]
}

  7. Fügen Sie im Bucket-Policy-Editor auf der Amazon S3 S3-Konsole die vorherige Anweisung in die Richtlinie ein, um sie der Richtlinie hinzuzufügen.

    Wenn Sie die Anweisung hinzufügen, stellen Sie sicher, dass die Syntax gültig ist. Bucket-Richtlinien verwenden JSON das Format. Das bedeutet, dass Sie vor oder nach der Anweisung ein Komma hinzufügen müssen, je nachdem, wo Sie die Anweisung zur Richtlinie hinzufügen. Wenn Sie die Anweisung als letzte Anweisung hinzufügen, fügen Sie hinter der schließenden Klammer für die vorherige Anweisung ein Komma hinzu. Wenn Sie sie als erste Anweisung oder zwischen zwei vorhandenen Anweisungen hinzufügen, fügen Sie hinter der schließenden Klammer für die Anweisung ein Komma ein.

  8. Aktualisieren Sie die Anweisung mit den richtigen Werten für Ihre Umgebung, wobei:

    • DOC-EXAMPLE-BUCKET ist der Name des Buckets.

    • 111122223333 ist die Konto-ID für Ihre AWS-Konto.

    • Region ist der, AWS-Region in dem Sie Amazon Inspector verwenden und Amazon Inspector erlauben möchten, Berichte zum Bucket hinzuzufügen. Zum Beispiel us-east-1 für die Region USA Ost (Nord-Virginia).

    Anmerkung

    Wenn Sie Amazon Inspector in einem manuell aktivierten System verwenden AWS-Region, fügen Sie dem Wert für das Service Feld auch den entsprechenden Regionalcode hinzu. Dieses Feld gibt den Amazon Inspector Service Principal an.

    Wenn Sie beispielsweise Amazon Inspector in der Region Naher Osten (Bahrain) verwenden, die den Regionalcode hatme-south-1, inspector2.amazonaws.com ersetzen Sie ihn inspector2.me-south-1.amazonaws.com in der Anweisung durch.

    Beachten Sie, dass die Beispielanweisung Bedingungen definiert, die zwei IAM globale Bedingungsschlüssel verwenden:

    • aws: SourceAccount — Diese Bedingung ermöglicht es Amazon Inspector, dem Bucket Berichte nur für Ihr Konto hinzuzufügen. Es verhindert, dass Amazon Inspector dem Bucket Berichte für andere Konten hinzufügt. Genauer gesagt gibt die Bedingung an, welches Konto den Bucket für die in der aws:SourceArn Bedingung angegebenen Ressourcen und Aktionen verwenden kann.

      Um Berichte für weitere Konten im Bucket zu speichern, fügen Sie dieser Bedingung die Konto-ID für jedes weitere Konto hinzu. Beispielsweise:

      "aws:SourceAccount": [111122223333,444455556666,123456789012]

    • aws: SourceArn — Diese Bedingung schränkt den Zugriff auf den Bucket basierend auf der Quelle der Objekte ein, die dem Bucket hinzugefügt werden. Sie verhindert, dass andere AWS-Services Objekte zum Bucket hinzufügen. Es verhindert auch, dass Amazon Inspector Objekte zum Bucket hinzufügt und gleichzeitig andere Aktionen für Ihr Konto ausführt. Genauer gesagt erlaubt die Bedingung Amazon Inspector, Objekte nur dann zum Bucket hinzuzufügen, wenn es sich bei den Objekten um Ergebnisberichte handelt, und nur, wenn diese Berichte von dem Konto und in der Region erstellt wurden, die in der Bedingung angegeben sind.

      Damit Amazon Inspector die angegebenen Aktionen für weitere Konten ausführen kann, fügen Sie Amazon Resource Names (ARNs) für jedes weitere Konto zu dieser Bedingung hinzu. Beispielsweise:

      "aws:SourceArn": [
    "arn:aws:inspector2:Region:111122223333:report/*",
    "arn:aws:inspector2:Region:444455556666:report/*",
    "arn:aws:inspector2:Region:123456789012:report/*"
]

      Die in den aws:SourceArn Bedingungen aws:SourceAccount und angegebenen Konten müssen übereinstimmen.

    Beide Bedingungen verhindern, dass Amazon Inspector bei Transaktionen mit Amazon S3 als verwirrter Stellvertreter eingesetzt wird. Obwohl wir dies nicht empfehlen, können Sie diese Bedingungen aus der Bucket-Richtlinie entfernen.

  9. Wenn Sie mit der Aktualisierung der Bucket-Richtlinie fertig sind, wählen Sie Änderungen speichern aus.

Schritt 3: Konfigurieren Sie eine AWS KMS key

Nachdem Sie Ihre Berechtigungen überprüft und den S3-Bucket konfiguriert haben, legen AWS KMS key Sie fest, welchen Amazon Inspector zur Verschlüsselung Ihres Ergebnisberichts verwenden soll. Der Schlüssel muss ein vom Kunden verwalteter, symmetrischer KMS Verschlüsselungsschlüssel sein. Darüber hinaus muss sich der Schlüssel in demselben S3-Bucket AWS-Region befinden, den Sie für die Speicherung des Berichts konfiguriert haben.

Der Schlüssel kann ein vorhandener KMS Schlüssel aus Ihrem eigenen Konto oder ein vorhandener KMS Schlüssel sein, den ein anderes Konto besitzt. Wenn Sie einen neuen KMS Schlüssel verwenden möchten, erstellen Sie den Schlüssel, bevor Sie fortfahren. Wenn Sie einen vorhandenen Schlüssel verwenden möchten, der einem anderen Konto gehört, rufen Sie den Amazon-Ressourcennamen (ARN) des Schlüssels ab. Sie müssen dies eingeben, ARN wenn Sie Ihren Bericht aus Amazon Inspector exportieren. Informationen zum Erstellen und Überprüfen der Einstellungen für KMS Schlüssel finden Sie unter Schlüssel verwalten im AWS Key Management Service Entwicklerhandbuch.

Nachdem Sie festgelegt haben, welchen KMS Schlüssel Sie verwenden möchten, erteilen Sie Amazon Inspector die Erlaubnis, den Schlüssel zu verwenden. Andernfalls kann Amazon Inspector den Bericht nicht verschlüsseln und exportieren. Um Amazon Inspector die Erlaubnis zur Verwendung des Schlüssels zu erteilen, aktualisieren Sie die Schlüsselrichtlinie für den Schlüssel. Ausführliche Informationen zu wichtigen Richtlinien und zur Verwaltung des Zugriffs auf KMS Schlüssel finden Sie unter Wichtige Richtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.

Anmerkung

Das folgende Verfahren dient der Aktualisierung eines vorhandenen Schlüssels, damit Amazon Inspector ihn verwenden kann. Wenn Sie noch keinen Schlüssel haben, finden Sie weitere Informationen unter Schlüssel erstellen im AWS Key Management Service Entwicklerhandbuch.

So aktualisieren Sie die Schlüsselrichtlinie

  1. Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die AWS KMS Konsole unter https://console.aws.amazon.com/kms.

  2. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  3. Wählen Sie den KMS Schlüssel aus, den Sie zum Verschlüsseln des Berichts verwenden möchten. Der Schlüssel muss ein symmetrischer Verschlüsselungsschlüssel (SYMMETRIC_ DEFAULT) sein.

  4. Wählen Sie auf der Registerkarte Schlüsselrichtlinie die Option Bearbeiten aus. Wenn Sie keine wichtige Richtlinie mit der Schaltfläche Bearbeiten sehen, müssen Sie zuerst Zur Richtlinienansicht wechseln auswählen.

  5. Kopieren Sie die folgende Beispielanweisung in Ihre Zwischenablage:

    {
    "Sid": "Allow Amazon Inspector to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "inspector2.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*"
        }
    }
}

  6. Fügen Sie im Editor für Schlüsselrichtlinien auf der AWS KMS Konsole die vorherige Anweisung in die Schlüsselrichtlinie ein, um sie der Richtlinie hinzuzufügen.

    Stellen Sie beim Hinzufügen der Anweisung sicher, dass die Syntax gültig ist. In den wichtigsten Richtlinien wird JSON das Format verwendet. Das bedeutet, dass Sie vor oder nach der Anweisung ein Komma hinzufügen müssen, je nachdem, wo Sie die Anweisung zur Richtlinie hinzufügen. Wenn Sie die Anweisung als letzte Anweisung hinzufügen, fügen Sie hinter der schließenden Klammer für die vorherige Anweisung ein Komma hinzu. Wenn Sie sie als erste Anweisung oder zwischen zwei vorhandenen Anweisungen hinzufügen, fügen Sie hinter der schließenden Klammer für die Anweisung ein Komma ein.

  7. Aktualisieren Sie die Anweisung mit den richtigen Werten für Ihre Umgebung, wobei:

    • 111122223333 ist die Konto-ID für Ihr AWS-Konto.

    • Region ist der, AWS-Region in dem Sie Amazon Inspector erlauben möchten, Berichte mit dem Schlüssel zu verschlüsseln. Zum Beispiel us-east-1 für die Region USA Ost (Nord-Virginia).

    Anmerkung

    Wenn Sie Amazon Inspector in einem manuell aktivierten System verwenden AWS-Region, fügen Sie dem Wert für das Service Feld auch den entsprechenden Regionalcode hinzu. Wenn Sie beispielsweise Amazon Inspector in der Region Naher Osten (Bahrain) verwenden, inspector2.amazonaws.com ersetzen Sie es durchinspector2.me-south-1.amazonaws.com.

    Wie die Beispielanweisung für die Bucket-Richtlinie im vorherigen Schritt verwenden die Condition Felder in diesem Beispiel zwei IAM globale Bedingungsschlüssel:

    • aws: SourceAccount — Diese Bedingung ermöglicht es Amazon Inspector, die angegebenen Aktionen nur für Ihr Konto durchzuführen. Insbesondere bestimmt sie, welches Konto die angegebenen Aktionen für die in der aws:SourceArn Bedingung angegebenen Ressourcen und Aktionen ausführen kann.

      Damit Amazon Inspector die angegebenen Aktionen für weitere Konten ausführen kann, fügen Sie dieser Bedingung die Konto-ID für jedes weitere Konto hinzu. Beispielsweise:

      "aws:SourceAccount": [111122223333,444455556666,123456789012]

    • aws: SourceArn — Diese Bedingung verhindert, dass andere AWS-Services die angegebenen Aktionen ausführen. Außerdem wird verhindert, dass Amazon Inspector den Schlüssel verwendet, während andere Aktionen für Ihr Konto ausgeführt werden. Mit anderen Worten, es ermöglicht Amazon Inspector, S3-Objekte nur dann mit dem Schlüssel zu verschlüsseln, wenn es sich bei den Objekten um Ergebnisberichte handelt, und nur wenn diese Berichte von dem Konto und in der Region erstellt wurden, die in der Bedingung angegeben sind.

      Damit Amazon Inspector die angegebenen Aktionen für weitere Konten ausführen kann, fügen Sie ARNs für jedes weitere Konto diese Bedingung hinzu. Beispielsweise:

      "aws:SourceArn": [
    "arn:aws:inspector2:us-east-1:111122223333:report/*",
    "arn:aws:inspector2:us-east-1:444455556666:report/*",
    "arn:aws:inspector2:us-east-1:123456789012:report/*"
]

      Die in den aws:SourceArn Bedingungen aws:SourceAccount und angegebenen Konten müssen übereinstimmen.

    Diese Bedingungen verhindern, dass Amazon Inspector bei Transaktionen mit als verwirrter Stellvertreter eingesetzt wird AWS KMS. Wir empfehlen dies zwar nicht, Sie können diese Bedingungen jedoch aus der Erklärung entfernen.

  8. Wenn Sie mit der Aktualisierung der wichtigsten Richtlinie fertig sind, wählen Sie Änderungen speichern.

Schritt 4: Einen Ergebnisbericht konfigurieren und exportieren

Anmerkung

Sie können jeweils nur einen Ergebnisbericht exportieren. Wenn gerade ein Export ausgeführt wird, müssen Sie warten, bis der Export abgeschlossen ist, bevor Sie einen weiteren Ergebnisbericht exportieren.

Nachdem Sie Ihre Berechtigungen überprüft und Ressourcen zum Verschlüsseln und Speichern Ihres Ergebnisberichts konfiguriert haben, können Sie den Bericht konfigurieren und exportieren.

Um einen Ergebnisbericht zu konfigurieren und zu exportieren

  1. Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  2. Wählen Sie im Navigationsbereich unter Ergebnisse die Option Alle Ergebnisse aus.

  3. (Optional) Fügen Sie mithilfe der Filterleiste über der Tabelle Ergebnisse Filterkriterien hinzu, die angeben, welche Ergebnisse in den Bericht aufgenommen werden sollen. Wenn Sie Kriterien hinzufügen, aktualisiert Amazon Inspector die Tabelle, sodass sie nur die Ergebnisse enthält, die den Kriterien entsprechen. Die Tabelle bietet eine Vorschau der Daten, die Ihr Bericht enthalten wird.

    Anmerkung

    Wir empfehlen, dass Sie Filterkriterien hinzufügen. Wenn Sie dies nicht tun, enthält der Bericht Daten für alle Ihre aktuellen Ergebnisse AWS-Region , die den Status Aktiv haben. Wenn Sie der Amazon Inspector-Administrator für eine Organisation sind, umfasst dies Ergebnisdaten für alle Mitgliedskonten in Ihrer Organisation.

    Wenn ein Bericht Daten für alle oder viele Ergebnisse enthält, kann es sehr lange dauern, den Bericht zu erstellen und zu exportieren, und Sie können jeweils nur einen Bericht exportieren.

  4. Wählen Sie Ergebnisse exportieren aus.

  5. Geben Sie im Abschnitt Exporteinstellungen für Exportdateityp ein Dateiformat für den Bericht an:

    • Um eine JavaScript Objektnotationsdatei (.json) zu erstellen, die die Daten enthält, wählen Sie JSON.

      Wenn Sie JSONdiese Option wählen, enthält der Bericht alle Felder für jedes Ergebnis. Eine Liste möglicher JSON Felder finden Sie unter dem Datentyp Finding in der Amazon Inspector API Inspector-Referenz.

    • Um eine Datei mit kommagetrennten Werten (.csv) zu erstellen, die die Daten enthält, wählen Sie. CSV

      Wenn Sie CSVdiese Option wählen, enthält der Bericht nur eine Teilmenge der Felder für jedes Ergebnis, also etwa 45 Felder, die die wichtigsten Attribute eines Ergebnisses angeben. Zu den Feldern gehören: Befundtyp, Titel, Schweregrad, Status, Beschreibung, Zuerst gesehen, Zuletzt gesehen, Fix verfügbar, AWS Konto-ID, Ressourcen-ID, Ressourcen-Tags und Problembehebung. Diese Felder ergänzen die Felder, in denen Bewertungsdetails und Referenzen URLs für jedes Ergebnis erfasst werden. Im Folgenden finden Sie ein Beispiel für die CSV Überschriften in einem Ergebnisbericht:

      AWS Konto-ID Schweregrad Fix verfügbar Typ wird gefunden Title Beschreibung Finden ARN Zuerst gesehen Zuletzt gesehen Zuletzt aktualisiert Ressourcen-ID Bild-Tags für Container Region Plattform Ressourcen-Tags Betroffene Pakete Installierte Version des Package In Version behoben Behebung von Paketen Dateipfad Netzwerkpfade Alter (Tage) Abhilfe Inspector Score Inspector Score-Vektor Status Schwachstellen-ID Hersteller Schweregrad des Anbieters Hinweis für den Anbieter Anbieterempfehlung veröffentlicht NVDCVSS3Ergebnis NVDCVSS3Vektor NVDCVSS2Ergebnis NVDCVSS2Vektor CVSS3Bewertung des Anbieters CVSS3Anbieter-Vektor CVSS2Bewertung des Anbieters CVSS2Anbieter-Vektor Ressourcentyp Ami Ressource Public Ipv4 Ressource Private Ipv4 Ressource Ipv6 Ressource Vpc Port-Bereich Exploit verfügbar Zuletzt ausgenutzt am Lambda-Schichten Lambda-Pakettyp Lambda Zuletzt aktualisiert am Referenz-URLs

  6. Geben Sie unter Exportort für S3 den S3-Bucket anURI, in dem Sie den Bericht speichern möchten:

    • Um den Bericht in einem Bucket zu speichern, der Ihrem Konto gehört, wählen Sie Browse S3 aus. Amazon Inspector zeigt eine Tabelle der S3-Buckets für Ihr Konto an. Wählen Sie die Zeile für den gewünschten Bucket aus und klicken Sie dann auf Auswählen.

      Tipp

      Um auch ein Amazon S3 S3-Pfadpräfix für den Bericht anzugeben, fügen Sie einen Schrägstrich (/) und das Präfix an den Wert im Feld S3 URI an. Amazon Inspector fügt dann das Präfix hinzu, wenn der Bericht dem Bucket hinzugefügt wird, und Amazon S3 generiert den durch das Präfix angegebenen Pfad.

      Wenn Sie beispielsweise Ihre AWS-Konto ID als Präfix verwenden möchten und Ihre Konto-ID 111122223333 lautet, fügen Sie sie /111122223333 an den Wert im Feld S3 an. URI

      Ein Präfix ähnelt einem Verzeichnispfad innerhalb eines S3-Buckets. Es ermöglicht Ihnen, ähnliche Objekte in einem Bucket zu gruppieren, ähnlich wie Sie ähnliche Dateien zusammen in einem Ordner auf einem Dateisystem speichern könnten. Weitere Informationen finden Sie unter Organisieren von Objekten in der Amazon S3 S3-Konsole mithilfe von Ordnern im Amazon Simple Storage Service-Benutzerhandbuch.

    • Um den Bericht in einem Bucket zu speichern, der einem anderen Konto gehört, geben Sie den Wert URI für den Bucket ein — zum Beispiels3://DOC-EXAMPLE_BUCKET, wobei DOC- EXAMPLE _ der Name des Buckets BUCKET ist. Der Bucket-Besitzer kann diese Informationen für Sie in den Eigenschaften des Buckets finden.

  7. Geben Sie als KMSSchlüssel den an AWS KMS key , den Sie zum Verschlüsseln des Berichts verwenden möchten:

    • Um einen Schlüssel aus Ihrem eigenen Konto zu verwenden, wählen Sie den Schlüssel aus der Liste aus. In der Liste werden vom Kunden verwaltete, symmetrische KMS Verschlüsselungsschlüssel für Ihr Konto angezeigt.

    • Um einen Schlüssel zu verwenden, der einem anderen Konto gehört, geben Sie den Amazon-Ressourcennamen (ARN) des Schlüssels ein. Der Schlüsselinhaber kann diese Informationen für Sie in den Eigenschaften des Schlüssels finden. Weitere Informationen finden Sie unter Finden der Schlüssel-ID und des Schlüssels ARN im AWS Key Management Service Entwicklerhandbuch.

  8. Wählen Sie Export aus.

Amazon Inspector generiert den Ergebnisbericht, verschlüsselt ihn mit dem von Ihnen angegebenen KMS Schlüssel und fügt ihn dem von Ihnen angegebenen S3-Bucket hinzu. Abhängig von der Anzahl der Ergebnisse, die Sie in den Bericht aufnehmen möchten, kann dieser Vorgang mehrere Minuten oder Stunden dauern. Wenn der Export abgeschlossen ist, zeigt Amazon Inspector eine Meldung an, dass Ihr Ergebnisbericht erfolgreich exportiert wurde. Wählen Sie optional Bericht anzeigen in der Nachricht, um zu dem Bericht in Amazon S3 zu navigieren.

Beachten Sie, dass Sie jeweils nur einen Bericht exportieren können. Wenn gerade ein Export ausgeführt wird, warten Sie, bis der Export abgeschlossen ist, bevor Sie versuchen, einen weiteren Bericht zu exportieren.

Beheben Sie Exportfehler

Wenn beim Versuch, einen Ergebnisbericht zu exportieren, ein Fehler auftritt, zeigt Amazon Inspector eine Meldung an, in der der Fehler beschrieben wird. Sie können die Informationen in diesem Thema als Leitfaden verwenden, um mögliche Ursachen und Lösungen für den Fehler zu ermitteln.

Stellen Sie beispielsweise sicher, dass sich der S3-Bucket im aktuellen Bucket befindet AWS-Region und die Bucket-Richtlinie Amazon Inspector erlaubt, Objekte zum Bucket hinzuzufügen. Stellen Sie außerdem sicher, dass der in der aktuellen Region aktiviert AWS KMS key ist, und stellen Sie sicher, dass die Schlüsselrichtlinie Amazon Inspector die Verwendung des Schlüssels ermöglicht.

Nachdem Sie den Fehler behoben haben, versuchen Sie erneut, den Bericht zu exportieren.

Der Fehler kann nicht mehrere Berichte haben

Wenn Sie versuchen, einen Bericht zu erstellen, Amazon Inspector jedoch bereits einen Bericht generiert, erhalten Sie eine Fehlermeldung mit der Angabe Grund: Es können nicht mehrere Berichte in Bearbeitung sein. Dieser Fehler tritt auf, weil Amazon Inspector jeweils nur einen Bericht für ein Konto erstellen kann.

Um den Fehler zu beheben, können Sie warten, bis der andere Bericht abgeschlossen ist, oder ihn stornieren, bevor Sie einen neuen Bericht anfordern.

Sie können den Status eines Berichts überprüfen, indem Sie den GetFindingsReportStatusVorgang verwenden. Dieser Vorgang gibt die Berichts-ID jedes Berichts zurück, der gerade generiert wird.

Bei Bedarf können Sie mithilfe der GetFindingsReportStatus Operation die vom Vorgang angegebene Berichts-ID verwenden, um einen Export abzubrechen, der CancelFindingsReportgerade ausgeführt wird.