Activation d'un type de scan

Vous pouvez activer un nouveau type de scan Amazon Inspector à tout moment. Une fois que vous avez activé un type de scan, Amazon Inspector commence immédiatement à scanner les ressources éligibles pour ce type de scan. Pour un aperçu des types de scan disponibles, voirPrésentation des types de scan Amazon Inspector. Ce qui suit décrit ce qui se passe lorsque vous activez pour la première fois chaque type de scan :

• Scan Amazon EC2 — Lorsque vous activez le scan Amazon EC2 pour un compte, Amazon Inspector analyse toutes les instances éligibles de votre compte pour détecter les vulnérabilités des packages et les problèmes d'accessibilité au réseau. Le plug-in Amazon Inspector SSM est installé sur tous vos hôtes gérés par SSMWindows. Pour plus d’informations, consultez WindowsInstances de numérisation. En outre, Amazon Inspector crée les associations SSM suivantes dans votre compte :

  • InspectorDistributor-do-not-delete

  • InspectorInventoryCollection-do-not-delete

  • InspectorLinuxDistributor-do-not-delete

  • InvokeInspectorLinuxSsmPlugin-do-not-delete

  • InvokeInspectorSsmPlugin-do-not-delete.

• Numérisation Amazon ECR — Lorsque vous activez la numérisation d'images de conteneurs Amazon ECR pour un compte, le type de numérisation Amazon ECR pour les référentiels privés de ce compte passe de la numérisation de base avec Amazon ECR à la numérisation améliorée avec Amazon Inspector. Toutes les images de conteneurs Amazon ECR éligibles envoyées au cours des 30 derniers jours, ou extraites au cours des 90 derniers jours, sont ensuite analysées pour détecter les vulnérabilités des packages. En outre, la durée de votre nouvelle analyse Amazon ECR est fixée à 90 jours pour la date d'envoi et d'extraction des images.

• Analyse standard Lambda : lorsque vous activez l'analyse standard Lambda dans un compte, toutes les fonctions Lambda de votre compte qui ont été invoquées ou mises à jour au cours des 90 derniers jours sont analysées pour détecter les vulnérabilités des packages. De plus, une chaîne liée à un CloudTrail service est créée dans votre compte.

• Numérisation standard Lambda + numérisation par code Lambda — Ces types de numérisation par fonction Lambda sont activés ensemble. Lorsque vous activez le scan de code Lambda dans un compte, toutes les fonctions Lambda de votre compte qui ont été invoquées ou mises à jour au cours des 90 derniers jours sont analysées pour détecter les vulnérabilités du code.

Activation des scans

Si vous êtes l'administrateur délégué d'Amazon Inspector au AWS sein d'une organisation, vous pouvez activer automatiquement différents types de scan Amazon Inspector pour plusieurs comptes dans plusieurs régions à l'aide d'un script shell développé par Amazon Inspector inspector2- enablement-with-cli on. GitHub Sinon, pour effectuer cette procédure dans un environnement multi-comptes via la console, effectuez les étapes suivantes lorsque vous êtes connecté en tant qu'administrateur délégué Amazon Inspector.

Console

Pour activer les scans

1. Ouvrez la console Amazon Inspector à l'adresse https://console.aws.amazon.com/inspector/v2/home.

2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez activer un nouveau type de numérisation.

3. Dans le volet de navigation, sélectionnez Gestion des comptes.

4. Sur la page Gestion des comptes, sélectionnez les comptes pour lesquels vous souhaitez activer un type de scan.

5. Choisissez Activer et sélectionnez le type de numérisation que vous souhaitez activer.

6. (Recommandé) Répétez ces étapes Région AWS pour chacune des étapes pour lesquelles vous souhaitez activer ce type de scan.

API

Exécutez l'opération Enable API. Dans la demande, indiquez les identifiants de compte pour lesquels vous activez les scans, le jeton d'idempotencie, et un ou plusieurs desEC2, ECRLAMBDA, ou LAMBDA_CODE resourceTypes pour activer les scans de ce type.