Exportation des rapports de résultats d'Amazon Inspector - Amazon Inspector
Étape 1 : Vérifier vos autorisationsÉtape 2 : Configuration d'un compartiment S3Étape 3 : Configuration d'un AWS KMS keyÉtape 4 : Configuration et exportation d'un rapport de résultatsRésoudre les erreurs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exportation des rapports de résultats d'Amazon Inspector

Un rapport de résultats est un JSON fichier CSV ou qui fournit un aperçu détaillé de vos conclusions. Vous pouvez exporter un rapport de résultats vers AWS Security Hub Amazon EventBridge et Amazon Simple Storage Service (Amazon S3). Lorsque vous configurez un rapport de résultats, vous spécifiez les résultats à inclure dans celui-ci. Par défaut, votre rapport de résultats inclut des données pour tous vos résultats actifs. Si vous êtes l'administrateur délégué d'une organisation, votre rapport de résultats inclut les données de tous les comptes membres de l'organisation. Pour personnaliser un rapport de résultats, créez et appliquez-lui un filtre.

Lorsque vous exportez un rapport de résultats, Amazon Inspector chiffre les données de vos résultats à l'aide d'un rapport AWS KMS key que vous spécifiez. Une fois qu'Amazon Inspector a chiffré les données de vos résultats, il stocke votre rapport de recherche dans un compartiment Amazon S3 que vous spécifiez. Votre AWS KMS clé doit être utilisée au même endroit Région AWS que votre compartiment Amazon S3. Votre politique AWS KMS clé doit autoriser Amazon Inspector à l'utiliser, et votre politique de compartiment Amazon S3 doit autoriser Amazon Inspector à y ajouter des objets. Après avoir exporté votre rapport de résultats, vous pouvez le télécharger depuis votre compartiment Amazon S3 ou le transférer vers un nouvel emplacement. Vous pouvez également utiliser votre compartiment Amazon S3 comme référentiel pour d'autres rapports de résultats exportés.

Cette section explique comment exporter un rapport de résultats dans la console Amazon Inspector. Les tâches suivantes nécessitent que vous vérifiiez vos autorisations, que vous configuriez un compartiment Amazon S3, que vous configuriez un AWS KMS key compartiment et que vous configuriez et exportiez un rapport de résultats.

Note

Si vous exportez un rapport de résultats avec Amazon Inspector CreateFindingsReportAPI, vous ne pouvez consulter que vos résultats actifs. Si vous souhaitez consulter vos résultats supprimés ou fermés, vous devez spécifier les critères de filtrage SUPPRESSED ou CLOSED en faire partie.

Étape 1 : Vérifier vos autorisations

Note

Après avoir exporté un rapport de résultats pour la première fois, les étapes 1 à 3 sont facultatives. Pour suivre ces étapes, vous devez déterminer si vous souhaitez utiliser le même compartiment Amazon S3 et AWS KMS key pour d'autres rapports de résultats exportés. Si vous souhaitez exporter un rapport de résultats par programme après avoir effectué les étapes 1 à 3, utilisez Amazon CreateFindingsReportInspector. API

Avant d'exporter un rapport de résultats depuis Amazon Inspector, vérifiez que vous disposez des autorisations nécessaires pour exporter les rapports de résultats et configurer les ressources nécessaires au chiffrement et au stockage des rapports. Pour vérifier vos autorisations, utilisez AWS Identity and Access Management (IAM) pour consulter les IAM politiques associées à votre IAM identité. Comparez ensuite les informations contenues dans ces politiques à la liste suivante des actions que vous devez être autorisé à effectuer pour exporter un rapport de résultats.

Amazon Inspector

Pour Amazon Inspector, vérifiez que vous êtes autorisé à effectuer les actions suivantes :

  • inspector2:ListFindings

  • inspector2:CreateFindingsReport

Ces actions vous permettent de récupérer les données de résultats pour votre compte et d'exporter ces données dans des rapports de résultats.

Si vous envisagez d'exporter des rapports volumineux par programmation, vous pouvez également vérifier que vous êtes autorisé à effectuer les actions suivantes : inspector2:GetFindingsReportStatus vérifier le statut des rapports et inspector2:CancelFindingsReport annuler les exportations en cours.

AWS KMS

Pour AWS KMS, vérifiez que vous êtes autorisé à effectuer les actions suivantes :

  • kms:GetKeyPolicy

  • kms:PutKeyPolicy

Ces actions vous permettent de récupérer et de mettre à jour la politique clé AWS KMS key que vous souhaitez qu'Amazon Inspector utilise pour chiffrer votre rapport.

Pour utiliser la console Amazon Inspector pour exporter un rapport, vérifiez également que vous êtes autorisé à effectuer les AWS KMS actions suivantes :

  • kms:DescribeKey

  • kms:ListAliases

Ces actions vous permettent de récupérer et d'afficher les informations relatives AWS KMS keys à votre compte. Vous pouvez ensuite choisir l'une de ces clés pour chiffrer votre rapport.

Si vous envisagez de créer une nouvelle KMS clé pour le chiffrement de votre rapport, vous devez également être autorisé à effectuer cette kms:CreateKey action.

Amazon S3

Pour Amazon S3, vérifiez que vous êtes autorisé à effectuer les actions suivantes :

  • s3:CreateBucket

  • s3:DeleteObject

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutBucketPublicAccessBlock

  • s3:PutObject

  • s3:PutObjectAcl

Ces actions vous permettent de créer et de configurer le compartiment S3 dans lequel vous souhaitez qu'Amazon Inspector stocke votre rapport. Ils vous permettent également d'ajouter et de supprimer des objets dans le compartiment.

Si vous prévoyez d'utiliser la console Amazon Inspector pour exporter votre rapport, vérifiez également que vous êtes autorisé à effectuer les s3:GetBucketLocation actions s3:ListAllMyBuckets et. Ces actions vous permettent de récupérer et d'afficher des informations sur les compartiments S3 de votre compte. Vous pouvez ensuite choisir l'un de ces compartiments pour stocker le rapport.

Si vous n'êtes pas autorisé à effectuer une ou plusieurs des actions requises, demandez de l'aide à votre AWS administrateur avant de passer à l'étape suivante.

Étape 2 : Configuration d'un compartiment S3

Après avoir vérifié vos autorisations, vous êtes prêt à configurer le compartiment S3 dans lequel vous souhaitez stocker votre rapport de résultats. Il peut s'agir d'un compartiment existant pour votre propre compte ou d'un compartiment existant appartenant à un autre Compte AWS et auquel vous êtes autorisé à accéder. Si vous souhaitez stocker votre rapport dans un nouveau compartiment, créez-le avant de continuer.

Le compartiment S3 doit se trouver dans le même Région AWS emplacement que les données de résultats que vous souhaitez exporter. Par exemple, si vous utilisez Amazon Inspector dans la région USA Est (Virginie du Nord) et que vous souhaitez exporter les données de résultats pour cette région, le bucket doit également se trouver dans la région USA Est (Virginie du Nord).

En outre, la politique du compartiment doit autoriser Amazon Inspector à ajouter des objets au compartiment. Cette rubrique explique comment mettre à jour la politique du bucket et fournit un exemple de l'instruction à ajouter à la politique. Pour obtenir des informations détaillées sur l'ajout et la mise à jour des politiques de compartiment, consultez la section Utilisation des politiques de compartiment dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Si vous souhaitez stocker votre rapport dans un compartiment S3 appartenant à un autre compte, contactez le propriétaire du compartiment pour mettre à jour la politique du compartiment. Procurez-vous également le URI pour le seau. Vous devrez le saisir URI lorsque vous exporterez votre rapport.

Pour mettre à jour la politique relative aux compartiments

  1. Connectez-vous à l'aide de vos informations d'identification, puis ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3.

  2. Dans le volet de navigation, choisissez Compartiments.

  3. Choisissez le compartiment S3 dans lequel vous souhaitez stocker le rapport de résultats.

  4. Choisissez l’onglet Permissions (Autorisations).

  5. Dans la section Bucket policy (Politique de compartiment), sélectionnez Edit (Modifier).

  6. Copiez l'exemple d'instruction suivant dans votre presse-papiers :

    {
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "allow-inspector",
			"Effect": "Allow",
			"Principal": {
				"Service": "inspector2.amazonaws.com"
			},
			"Action": [
				"s3:PutObject",
				"s3:PutObjectAcl",
				"s3:AbortMultipartUpload"
			],
			"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
			"Condition": {
				"StringEquals": {
					"aws:SourceAccount": "111122223333"
				},
				"ArnLike": {
					"aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*"
				}
			}
		}
	]
}

  7. Dans l'éditeur de politique Bucket de la console Amazon S3, collez l'instruction précédente dans la politique pour l'ajouter à la politique.

    Lorsque vous ajoutez l'instruction, assurez-vous que la syntaxe est valide. Les politiques relatives aux compartiments utilisent JSON le format. Cela signifie que vous devez ajouter une virgule avant ou après la déclaration, selon l'endroit où vous l'ajoutez à la politique. Si vous ajoutez l'instruction en tant que dernière instruction, ajoutez une virgule après l'accolade de fermeture pour l'instruction précédente. Si vous l'ajoutez en tant que première instruction ou entre deux instructions existantes, ajoutez une virgule après l'accolade de fermeture de l'instruction.

  8. Mettez à jour l'instruction avec les valeurs correctes pour votre environnement, où :

    • amzn-s3-demo-bucket est le nom du compartiment.

    • 111122223333 est l'identifiant de compte de votre Compte AWS.

    • Region est celui Région AWS dans lequel vous utilisez Amazon Inspector et souhaitez autoriser Amazon Inspector à ajouter des rapports au compartiment. Par exemple, us-east-1 pour la région de l'est des États-Unis (Virginie du Nord).

    Note

    Si vous utilisez Amazon Inspector dans un environnement activé manuellement Région AWS, ajoutez également le code de région approprié à la valeur du Service champ. Ce champ indique le principal du service Amazon Inspector.

    Par exemple, si vous utilisez Amazon Inspector dans la région du Moyen-Orient (Bahreïn), dont le code de région est indiquéme-south-1, remplacez-le inspector2.amazonaws.com par inspector2.me-south-1.amazonaws.com dans le relevé.

    Notez que l'exemple d'instruction définit des conditions qui utilisent deux clés de condition IAM globales :

    • aws : SourceAccount — Cette condition permet à Amazon Inspector d'ajouter des rapports au bucket uniquement pour votre compte. Cela empêche Amazon Inspector d'ajouter des rapports au compartiment pour d'autres comptes. Plus précisément, la condition indique quel compte peut utiliser le bucket pour les ressources et les actions spécifiées par la aws:SourceArn condition.

      Pour stocker les rapports relatifs à des comptes supplémentaires dans le compartiment, ajoutez l'ID de compte de chaque compte supplémentaire à cette condition. Par exemple :

      "aws:SourceAccount": [111122223333,444455556666,123456789012]

    • aws : SourceArn — Cette condition restreint l'accès au compartiment en fonction de la source des objets ajoutés au compartiment. Cela empêche les autres Services AWS utilisateurs d'ajouter des objets au compartiment. Cela empêche également Amazon Inspector d'ajouter des objets au compartiment tout en effectuant d'autres actions pour votre compte. Plus précisément, cette condition permet à Amazon Inspector d'ajouter des objets au compartiment uniquement s'il s'agit de rapports de résultats, et uniquement si ces rapports sont créés par le compte et dans la région spécifiée dans la condition.

      Pour permettre à Amazon Inspector d'effectuer les actions spécifiées pour des comptes supplémentaires, ajoutez Amazon Resource Names (ARNs) pour chaque compte supplémentaire à cette condition. Par exemple :

      "aws:SourceArn": [
    "arn:aws:inspector2:Region:111122223333:report/*",
    "arn:aws:inspector2:Region:444455556666:report/*",
    "arn:aws:inspector2:Region:123456789012:report/*"
]

      Les comptes spécifiés par les aws:SourceArn conditions aws:SourceAccount et doivent correspondre.

    Ces deux conditions permettent d'éviter qu'Amazon Inspector ne soit utilisé comme un adjoint confus lors des transactions avec Amazon S3. Bien que cela ne soit pas recommandé, vous pouvez supprimer ces conditions de la politique relative aux compartiments.

  9. Lorsque vous avez terminé de mettre à jour la politique de compartiment, choisissez Enregistrer les modifications.

Étape 3 : Configuration d'un AWS KMS key

Après avoir vérifié vos autorisations et configuré le compartiment S3, déterminez celui que AWS KMS key vous souhaitez qu'Amazon Inspector utilise pour chiffrer votre rapport de résultats. La clé doit être une KMS clé de chiffrement symétrique gérée par le client. En outre, la clé doit se trouver dans le même Région AWS compartiment S3 que vous avez configuré pour stocker le rapport.

La clé peut être une KMS clé existante de votre propre compte ou une KMS clé existante détenue par un autre compte. Si vous souhaitez utiliser une nouvelle KMS clé, créez-la avant de continuer. Si vous souhaitez utiliser une clé existante détenue par un autre compte, obtenez le nom de ressource Amazon (ARN) de la clé. Vous devrez le saisir ARN lorsque vous exporterez votre rapport depuis Amazon Inspector. Pour plus d'informations sur la création et la révision des paramètres des KMS clés, consultez la section Gestion des clés dans le guide du AWS Key Management Service développeur.

Après avoir déterminé la KMS clé que vous souhaitez utiliser, autorisez Amazon Inspector à utiliser la clé. Dans le cas contraire, Amazon Inspector ne sera pas en mesure de chiffrer et d'exporter le rapport. Pour autoriser Amazon Inspector à utiliser la clé, mettez à jour la politique relative à la clé. Pour obtenir des informations détaillées sur les politiques clés et la gestion de l'accès aux KMS clés, consultez la section Politiques clés du Guide du AWS Key Management Service développeur. AWS KMS

Note

La procédure suivante permet de mettre à jour une clé existante afin de permettre à Amazon Inspector de l'utiliser. Si vous n'avez pas de clé existante, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.

Pour mettre à jour la politique clé

  1. Connectez-vous à l'aide de vos informations d'identification, puis ouvrez la AWS KMS console à l'adresse https://console.aws.amazon.com/kms.

  2. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  3. Choisissez la KMS clé que vous souhaitez utiliser pour chiffrer le rapport. La clé doit être une clé de chiffrement symétrique (SYMMETRIC_ DEFAULT).

  4. Dans l'onglet Stratégie de clé choisissez Modifier. Si aucune politique clé n'est associée à un bouton Modifier, vous devez d'abord sélectionner Basculer vers l'affichage des politiques.

  5. Copiez l'exemple d'instruction suivant dans votre presse-papiers :

    {
    "Sid": "Allow Amazon Inspector to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "inspector2.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*"
        }
    }
}

  6. Dans l'éditeur de stratégie clé de la AWS KMS console, collez l'instruction précédente dans la politique clé pour l'ajouter à la stratégie.

    Lorsque vous ajoutez l'instruction, assurez-vous que la syntaxe est valide. Les politiques clés utilisent JSON le format. Cela signifie que vous devez ajouter une virgule avant ou après la déclaration, selon l'endroit où vous l'ajoutez à la politique. Si vous ajoutez l'instruction en tant que dernière instruction, ajoutez une virgule après l'accolade de fermeture pour l'instruction précédente. Si vous l'ajoutez en tant que première instruction ou entre deux instructions existantes, ajoutez une virgule après l'accolade de fermeture de l'instruction.

  7. Mettez à jour l'instruction avec les valeurs correctes pour votre environnement, où :

    • 111122223333 est l'identifiant de compte de votre Compte AWS.

    • Region est celui Région AWS dans lequel vous souhaitez autoriser Amazon Inspector à chiffrer les rapports à l'aide de la clé. Par exemple, us-east-1 pour la région de l'est des États-Unis (Virginie du Nord).

    Note

    Si vous utilisez Amazon Inspector dans un environnement activé manuellement Région AWS, ajoutez également le code de région approprié à la valeur du Service champ. Par exemple, si vous utilisez Amazon Inspector dans la région du Moyen-Orient (Bahreïn), remplacez inspector2.amazonaws.com parinspector2.me-south-1.amazonaws.com.

    À l'instar de l'exemple d'instruction pour la politique de compartiment présenté à l'étape précédente, Condition les champs de cet exemple utilisent deux clés de condition IAM globales :

    • aws : SourceAccount — Cette condition permet à Amazon Inspector d'effectuer les actions spécifiées uniquement pour votre compte. Plus précisément, il détermine quel compte peut effectuer les actions spécifiées pour les ressources et les actions spécifiées par la aws:SourceArn condition.

      Pour permettre à Amazon Inspector d'effectuer les actions spécifiées pour des comptes supplémentaires, ajoutez l'ID de compte de chaque compte supplémentaire à cette condition. Par exemple :

      "aws:SourceAccount": [111122223333,444455556666,123456789012]

    • aws : SourceArn — Cette condition empêche les autres d' Services AWS effectuer les actions spécifiées. Cela empêche également Amazon Inspector d'utiliser la clé lorsqu'il effectue d'autres actions pour votre compte. En d'autres termes, cela permet à Amazon Inspector de chiffrer les objets S3 avec la clé uniquement s'ils sont des rapports de résultats, et uniquement si ces rapports sont créés par le compte et dans la région spécifiée dans la condition.

      Pour permettre à Amazon Inspector d'effectuer les actions spécifiées pour des comptes supplémentaires, ajoutez cette condition ARNs pour chaque compte supplémentaire. Par exemple :

      "aws:SourceArn": [
    "arn:aws:inspector2:us-east-1:111122223333:report/*",
    "arn:aws:inspector2:us-east-1:444455556666:report/*",
    "arn:aws:inspector2:us-east-1:123456789012:report/*"
]

      Les comptes spécifiés par les aws:SourceArn conditions aws:SourceAccount et doivent correspondre.

    Ces conditions permettent d'éviter qu'Amazon Inspector ne soit utilisé comme un adjoint confus lors de transactions avec AWS KMS. Bien que cela ne soit pas recommandé, vous pouvez supprimer ces conditions de la déclaration.

  8. Lorsque vous avez terminé de mettre à jour la politique clé, choisissez Enregistrer les modifications.

Étape 4 : Configuration et exportation d'un rapport de résultats

Note

Vous ne pouvez exporter qu'un seul rapport de résultats à la fois. Si une exportation est en cours, vous devez attendre qu'elle soit terminée avant d'exporter un autre rapport de résultats.

Après avoir vérifié vos autorisations et configuré les ressources pour chiffrer et stocker votre rapport de résultats, vous êtes prêt à configurer et à exporter le rapport.

Pour configurer et exporter un rapport de résultats

  1. Connectez-vous à l'aide de vos informations d'identification, puis ouvrez la console Amazon Inspector sur https://console.aws.amazon.com/inspector/v2/home.

  2. Dans le volet de navigation, sous Résultats, sélectionnez Tous les résultats.

  3. (Facultatif) À l'aide de la barre de filtre située au-dessus du tableau des résultats, ajoutez des critères de filtre qui spécifient les résultats à inclure dans le rapport. Au fur et à mesure que vous ajoutez des critères, Amazon Inspector met à jour le tableau pour n'inclure que les résultats correspondant aux critères. Le tableau fournit un aperçu des données que votre rapport contiendra.

    Note

    Nous vous recommandons d'ajouter des critères de filtre. Si ce n'est pas le cas, le rapport inclura les données relatives à toutes vos découvertes actuelles Région AWS ayant le statut Actif. Si vous êtes l'administrateur Amazon Inspector d'une organisation, cela inclut les données de résultats pour tous les comptes membres de votre organisation.

    Si un rapport inclut des données pour l'ensemble ou plusieurs des résultats, la génération et l'exportation du rapport peuvent prendre du temps, et vous ne pouvez exporter qu'un seul rapport à la fois.

  4. Choisissez Exporter les résultats.

  5. Dans la section Paramètres d'exportation, pour Type de fichier d'exportation, spécifiez un format de fichier pour le rapport :

    • Pour créer un fichier de notation d' JavaScript objet (.json) contenant les données, choisissez JSON.

      Si vous choisissez JSONcette option, le rapport inclura tous les champs pour chaque résultat. Pour obtenir la liste des JSON champs possibles, consultez le type de données Finding dans la API référence Amazon Inspector.

    • Pour créer un fichier de valeurs séparées par des virgules (.csv) contenant les données, choisissez. CSV

      Si vous choisissez CSVcette option, le rapport inclura uniquement un sous-ensemble de champs pour chaque résultat, soit environ 45 champs qui indiquent les principaux attributs d'un résultat. Les champs incluent : le type de recherche, le titre, la gravité, le statut, la description, le premier vu, le correctif disponible, l'identifiant du AWS compte, l'identifiant de la ressource, les balises de ressource et la correction. Ces champs s'ajoutent aux champs qui capturent les détails de la notation et URLs les références pour chaque résultat. Voici un exemple des CSV en-têtes d'un rapport de résultats :

      AWS Identifiant du compte Sévérité Correctif disponible Type de recherche Title Description Découverte ARN Vu pour la première fois Vu pour la dernière fois Dernière mise à jour ID de ressource Balises d'image du conteneur Région Plateforme Balises des ressources Packages concernés Version installée du package Corrigé dans la version Assainissement du package File Path Chemins réseau Âge (jours) Correction Score de l'inspecteur Vecteur Inspector Score Statut ID de vulnérabilité Vendor Sévérité du fournisseur Conseil aux fournisseurs Avis aux fournisseurs publié NVDCVSS3Score NVDCVSS3Vecteur NVDCVSS2Score NVDCVSS2Vecteur CVSS3Note du fournisseur CVSS3Vecteur du fournisseur CVSS2Note du fournisseur CVSS2Vecteur du fournisseur Type de ressource Ami Ressource publique Ipv4 Ressource privée Ipv4 Ressource Ipv6 Ressource Vpc Plage de ports Exploit disponible Dernière exploitation à Couches Lambda Type de package Lambda Dernière mise à jour de Lambda à URL de référence

  6. Sous Emplacement d'exportation, pour S3 URI, spécifiez le compartiment S3 dans lequel vous souhaitez stocker le rapport :

    • Pour stocker le rapport dans un compartiment appartenant à votre compte, choisissez Browse S3. Amazon Inspector affiche un tableau des compartiments S3 associés à votre compte. Sélectionnez la ligne correspondant au compartiment souhaité, puis choisissez Choisir.

      Astuce

      Pour également spécifier un préfixe de chemin Amazon S3 pour le rapport, ajoutez une barre oblique (/) et le préfixe à la valeur dans la zone S3. URI Amazon Inspector inclut ensuite le préfixe lorsqu'il ajoute le rapport au compartiment, et Amazon S3 génère le chemin spécifié par le préfixe.

      Par exemple, si vous souhaitez utiliser votre Compte AWS identifiant comme préfixe et que l'identifiant de votre compte est 111122223333, ajoutez-le /111122223333 à la valeur dans la zone S3. URI

      Un préfixe est similaire à un chemin de répertoire dans un compartiment S3. Il vous permet de regrouper des objets similaires dans un compartiment, de la même manière que vous stockiez des fichiers similaires dans un dossier d'un système de fichiers. Pour plus d'informations, consultez la section Organisation des objets dans la console Amazon S3 à l'aide de dossiers dans le guide de l'utilisateur d'Amazon Simple Storage Service.

    • Pour stocker le rapport dans un compartiment appartenant à un autre compte, entrez le URI nom du compartiment, par exemples3://DOC-EXAMPLE_BUCKET, où DOC- EXAMPLE _ BUCKET est le nom du compartiment. Le propriétaire du bucket peut trouver ces informations pour vous dans les propriétés du bucket.

  7. Pour la KMSclé, spécifiez AWS KMS key celle que vous souhaitez utiliser pour chiffrer le rapport :

    • Pour utiliser une clé de votre propre compte, choisissez-la dans la liste. La liste affiche les KMS clés de chiffrement symétriques gérées par le client pour votre compte.

    • Pour utiliser une clé détenue par un autre compte, entrez le nom de ressource Amazon (ARN) de la clé. Le propriétaire de la clé peut trouver ces informations pour vous dans les propriétés de la clé. Pour plus d'informations, consultez la section Recherche de l'identifiant et de la clé ARN dans le Guide du AWS Key Management Service développeur.

  8. Cliquez sur Exporter.

Amazon Inspector génère le rapport de résultats, le chiffre avec la KMS clé que vous avez spécifiée et l'ajoute au compartiment S3 que vous avez spécifié. Selon le nombre de résultats que vous avez choisi d'inclure dans le rapport, ce processus peut prendre plusieurs minutes, voire plusieurs heures. Lorsque l'exportation est terminée, Amazon Inspector affiche un message indiquant que votre rapport de résultats a été correctement exporté. Choisissez éventuellement Afficher le rapport dans le message pour accéder au rapport dans Amazon S3.

Notez que vous ne pouvez exporter qu'un seul rapport à la fois. Si une exportation est en cours, attendez qu'elle soit terminée avant d'essayer d'exporter un autre rapport.

Résoudre les erreurs d'exportation

Si une erreur se produit lorsque vous essayez d'exporter un rapport de résultats, Amazon Inspector affiche un message décrivant l'erreur. Vous pouvez utiliser les informations de cette rubrique comme guide pour identifier les causes possibles de l'erreur et les solutions.

Par exemple, vérifiez que le compartiment S3 se trouve dans le compartiment actuel Région AWS et que la politique du compartiment autorise Amazon Inspector à ajouter des objets au compartiment. Vérifiez également que le AWS KMS key est activé dans la région actuelle et assurez-vous que la politique en matière de clés autorise Amazon Inspector à utiliser la clé.

Après avoir corrigé l'erreur, réessayez d'exporter le rapport.

Impossible d'avoir plusieurs rapports d'erreur

Si vous essayez de créer un rapport mais qu'Amazon Inspector est déjà en train de générer un rapport, vous recevrez un message d'erreur indiquant Raison : Impossible d'avoir plusieurs rapports en cours d'élaboration. Cette erreur se produit car Amazon Inspector ne peut générer qu'un seul rapport à la fois pour un compte.

Pour résoudre l'erreur, vous pouvez attendre que l'autre rapport soit terminé ou l'annuler avant de demander un nouveau rapport.

Vous pouvez vérifier l'état d'un rapport à l'aide de l'GetFindingsReportStatusopération. Cette opération renvoie l'ID de rapport de tout rapport en cours de génération.

Si nécessaire, vous pouvez utiliser l'ID de rapport fourni par l'GetFindingsReportStatusopération pour annuler une exportation en cours à l'aide de l'CancelFindingsReportopération.