Commencer à utiliser Amazon Inspector - Amazon Inspector
Avant d'activer Amazon InspectorDidacticiel de démarrage

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Commencer à utiliser Amazon Inspector

Cette section fournit des informations à prendre en compte avant d'activer Amazon Inspector ainsi qu'un didacticiel de démarrage expliquant comment activer Amazon Inspector et consulter vos résultats dans la console Amazon Inspector et avec Amazon InspectorAPI.

Avant d'activer Amazon Inspector

Avant d'activer Amazon Inspector, prenez en compte les points suivants :

Amazon Inspector est un service régional

Vos données sont stockées dans l' Région AWS endroit où vous activez Amazon Inspector. Répétez les étapes décrites dans la première partie du didacticiel de mise en route pour tous les Régions AWS sites où vous prévoyez d'utiliser Amazon Inspector.

Amazon Inspector crée les rôles AWSServiceRoleForAmazonInspector liés au service 2 et AWSServiceRoleForAmazonInspector2Agentless

Un rôle lié à un service est un rôle dans AWS Identity and Access Management (IAM) qui est lié à un AWS service. AWSServiceRoleForAmazonInspector2et AWSServiceRoleForAmazonInspector2Agentlessautorisez Amazon Inspector à accéder aux Services AWS informations nécessaires pour effectuer des évaluations de sécurité.

IAMles identités dotées d'autorisations d'administrateur peuvent activer Amazon Inspector

Protégez vos informations d'identification en créant des utilisateurs avec IAMou AWS IAM Identity Center. Cela vous permet de vous assurer que les utilisateurs disposent uniquement des autorisations requises pour gérer Amazon Inspector. Pour plus d'informations, consultez la section Politique AWS gérée : AmazonInspectorFullAccess.

La numérisation hybride est automatiquement activée

Le scan hybride inclut le scan basé sur un agent et le scan sans agent. Par défaut, Amazon Inspector utilise ces méthodes de scan sur toutes les EC2 instances Amazon éligibles. Pour plus d'informations, consultez Scanner EC2 des instances Amazon avec Amazon Inspector.

Le ECR scan Amazon et le scan par fonction Lambda ne nécessitent pas l'agent SSM

L'analyse basée sur un agent utilise l'SSMagent pour collecter l'inventaire des logiciels. L'analyse sans agent utilise les EBS instantanés Amazon pour collecter l'inventaire des logiciels.

Note

Par défaut, l'SSMagent est déjà installé dans les EC2 instances Amazon basées sur Amazon Machine Images. Toutefois, il se peut que vous deviez activer l'SSMagent manuellement dans certains cas. Pour plus d'informations, consultez la section Utilisation de l'SSMagent dans le Guide de AWS Systems Manager l'utilisateur.

Les coûts mensuels sont basés sur les charges de travail numérisées

Pour plus d'informations, consultez la Tarification d'Amazon Inspector.

Didacticiel de démarrage

Dans la première partie de ce didacticiel, vous allez activer Amazon Inspector pour un environnement de compte autonome ou un environnement multi-comptes. Dans la deuxième partie de ce didacticiel, vous apprendrez à consulter vos résultats dans la console Amazon Inspector et à l'aide d'Amazon InspectorAPI.

Activation d'Amazon Inspector

Effectuez l'une des procédures suivantes pour activer Amazon Inspector. Une fois que vous avez activé Amazon Inspector, Amazon Inspector commence automatiquement à détecter les charges de travail et à les analyser en permanence pour détecter les vulnérabilités logicielles et toute exposition involontaire au réseau.

Standalone account environment

  1. Connectez-vous à l'aide de vos informations d'identification, puis ouvrez la console Amazon Inspector sur https://console.aws.amazon.com/inspector/v2/home.

  2. Sélectionnez Get started (Mise en route).

  3. Choisissez Activer Amazon Inspector.

Lorsque vous activez Amazon Inspector dans un compte autonome, tous les types de scan sont activés par défaut. Vous pouvez gérer les types de scan activés depuis la page de gestion des comptes de la console Amazon Inspector ou à l'aide d'Amazon InspectorAPIs. Une fois Amazon Inspector activé, il découvre et commence à analyser automatiquement toutes les ressources éligibles. Consultez les informations relatives au type de scan suivantes pour savoir quelles ressources sont éligibles par défaut :

EC2Numérisation Amazon

Pour fournir des données Common Vulnerabilities and Exposures (CVE) pour votre EC2 instance, Amazon Inspector exige que l'agent AWS Systems Manager (SSM) soit installé et activé. Cet agent est préinstallé sur de nombreuses EC2 instances, mais vous devrez peut-être l'activer manuellement. Quel que soit le statut de l'SSMagent, toutes vos EC2 instances seront analysées pour détecter tout problème d'exposition au réseau. Pour plus d'informations sur la configuration des scans pour AmazonEC2, consultezNumérisation d'EC2instances Amazon avec Amazon Inspector.

ECRNumérisation Amazon

Lorsque vous activez le ECR scan Amazon, Amazon Inspector convertit tous les référentiels de conteneurs de votre registre privé qui sont configurés pour le scan de base par défaut fourni par Amazon ECR en un scan amélioré avec analyse continue. Vous pouvez également éventuellement configurer ce paramètre pour analyser uniquement en mode push ou pour analyser certains référentiels via des règles d'inclusion. Toutes les images envoyées au cours des 30 derniers jours sont programmées pour une numérisation à vie. Ce paramètre de ECR numérisation Amazon peut être modifié à tout moment. Pour plus d'informations sur la configuration des scans pour AmazonECR, consultezNumérisation d'images de conteneurs Amazon Elastic Container Registry avec Amazon Inspector.

AWS Lambda fonction de numérisation

Lorsque vous activez l'analyse des AWS Lambda fonctions, Amazon Inspector découvre les fonctions Lambda de votre compte et commence immédiatement à les analyser pour détecter les vulnérabilités. Amazon Inspector analyse les nouvelles fonctions et couches Lambda lorsqu'elles sont déployées, et les réanalyse lorsqu'elles sont mises à jour ou lorsque de nouvelles vulnérabilités et expositions communes () CVEs sont publiées. Amazon Inspector propose deux niveaux différents de numérisation des fonctions Lambda. Par défaut, lorsque vous activez Amazon Inspector pour la première fois, le scan standard Lambda est activé, qui analyse les dépendances des packages dans vos fonctions. Vous pouvez également activer le scan du code Lambda pour scanner le code du développeur dans vos fonctions afin de détecter les vulnérabilités du code. Pour plus d'informations sur la configuration de l'analyse des fonctions Lambda, consultez. AWS Lambda Fonctions de numérisation avec Amazon Inspector

Multi-account environment
Important

Pour effectuer ces étapes, vous devez appartenir à la même organisation que tous les comptes que vous souhaitez gérer et avoir accès au compte de AWS Organizations gestion afin de déléguer un administrateur pour Amazon Inspector au sein de votre organisation. Des autorisations supplémentaires peuvent être nécessaires pour déléguer un administrateur. Pour plus d’informations, consultez Autorisations requises pour désigner un administrateur délégué.

Note

Pour activer Amazon Inspector par programmation pour plusieurs comptes dans plusieurs régions, vous pouvez utiliser un script shell développé par Amazon Inspector. Pour plus d'informations sur l'utilisation de ce script, consultez l'inspector2- enablement-with-cli on. GitHub

Délégation d'un administrateur pour Amazon Inspector

  1. Connectez-vous au compte de AWS Organizations gestion.

  2. Ouvrez la console Amazon Inspector à l'adresse https://console.aws.amazon.com/inspector/v2/home.

  3. Dans le volet Administrateur délégué, entrez l'identifiant à douze chiffres de celui Compte AWS que vous souhaitez désigner comme administrateur délégué Amazon Inspector pour l'organisation. Choisissez ensuite Déléguer. Ensuite, dans la fenêtre de confirmation, sélectionnez à nouveau Déléguer.

    Note

    Amazon Inspector est activé pour votre compte lorsque vous déléguez un administrateur.

Ajouter des comptes de membres

En tant qu'administrateur délégué, vous pouvez activer le scan pour tout membre associé au compte de gestion des Organizations. Ce flux de travail active tous les types de scan pour tous les comptes membres. Toutefois, les membres peuvent également activer Amazon Inspector pour leurs propres comptes, ou les scans d'un service peuvent être activés de manière sélective par l'administrateur délégué. Pour plus d’informations, consultez Gestion de plusieurs comptes .

  1. Connectez-vous au compte d'administrateur délégué.

  2. Ouvrez la console Amazon Inspector à l'adresse https://console.aws.amazon.com/inspector/v2/home.

  3. Dans le volet de navigation, choisissez Account Management. Le tableau Accounts affiche tous les comptes membres associés au compte de gestion des Organizations.

  4. Sur la page Gestion des comptes, vous pouvez sélectionner Activer la numérisation pour tous les comptes dans le bandeau supérieur pour activer les EC2 instances, les images de ECR conteneurs et la AWS Lambda fonction de numérisation pour tous les comptes de votre organisation. Vous pouvez également choisir les comptes que vous souhaitez ajouter en tant que membres en les sélectionnant dans le tableau Comptes. Ensuite, dans le menu Activer, sélectionnez Toutes les numérisations.

  5. (Facultatif) Activez la fonctionnalité Activation automatique de l'Inspecteur pour les nouveaux comptes membres et sélectionnez les types de scan à inclure pour activer ces scans pour tous les nouveaux comptes membres ajoutés à votre organisation.

Amazon Inspector propose actuellement des scans pour les EC2 instances, les images de ECR conteneurs et AWS Lambda les fonctions. Une fois que vous avez activé Amazon Inspector, celui-ci commence automatiquement à découvrir et à analyser toutes les ressources éligibles. Consultez les informations relatives au type de scan suivantes pour savoir quelles ressources sont éligibles par défaut :

EC2Numérisation Amazon

Pour fournir des données sur les CVE vulnérabilités de vos EC2 instances, Amazon Inspector exige que l'agent AWS Systems Manager (SSM) soit installé et activé. Cet agent est préinstallé sur de nombreuses EC2 instances, mais vous devrez peut-être l'activer manuellement. Quel que soit le statut de l'SSMagent, toutes vos EC2 instances seront analysées pour détecter tout problème d'exposition au réseau. Pour plus d'informations sur la configuration des scans pour AmazonEC2, consultezNumérisation d'EC2instances Amazon avec Amazon Inspector.

ECRNumérisation Amazon

Lorsque vous activez le ECR scan Amazon, Amazon Inspector convertit tous les référentiels de conteneurs de votre registre privé qui sont configurés pour le scan de base par défaut fourni par Amazon ECR en un scan amélioré avec scan continu. Vous pouvez également éventuellement configurer ce paramètre pour analyser uniquement en mode push ou pour analyser certains référentiels via des règles d'inclusion. Toutes les images envoyées au cours des 30 derniers jours sont programmées pour une numérisation à vie. Ce paramètre de ECR scan Amazon peut être modifié à tout moment par l'administrateur délégué. Pour plus d'informations sur la configuration des scans pour AmazonECR, consultezNumérisation d'images de conteneurs Amazon Elastic Container Registry avec Amazon Inspector.

AWS Lambda fonction de numérisation

Lorsque vous activez l'analyse des AWS Lambda fonctions, Amazon Inspector découvre les fonctions Lambda de votre compte et commence immédiatement à les analyser pour détecter les vulnérabilités. Amazon Inspector analyse les nouvelles fonctions et couches Lambda lorsqu'elles sont déployées, et les réanalyse lorsqu'elles sont mises à jour ou lorsque de nouvelles vulnérabilités et expositions communes () CVEs sont publiées. Pour plus d'informations sur la configuration de l'analyse des fonctions Lambda, consultez. AWS Lambda Fonctions de numérisation avec Amazon Inspector

Afficher les résultats de votre Amazon Inspector

Vous pouvez consulter vos résultats dans la console Amazon Inspector et avec Amazon InspectorAPI. Dans la console, vous pouvez consulter vos résultats dans le tableau de bord et sur l'écran Résultats. Pour terminer cette partie du didacticiel, consultez la section Visualisation des résultats de votre Amazon Inspector.

Note

Comme vous venez d'activer Amazon Inspector, il se peut que vous n'ayez aucun résultat.