Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Amazon Inspector
Ces contrôles sont liés aux ressources Amazon Inspector.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::::Account
Règle AWS Config : inspector-ec2-scan-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si le EC2 scan Amazon Inspector est activé. Le contrôle échoue si le EC2 scan Amazon Inspector n'est pas activé.
Note
Dans un environnement multi-comptes, ce contrôle évalue uniquement le compte administrateur Amazon Inspector délégué. Seul l'administrateur délégué peut activer ou désactiver la fonction de EC2 numérisation pour les comptes des membres de l'organisation. Les comptes membres d'Amazon Inspector ne peuvent pas modifier cette configuration depuis leurs comptes.
L'EC2analyse d'Amazon Inspector extrait les métadonnées de votre instance Amazon Elastic Compute Cloud (AmazonEC2), puis compare ces métadonnées aux règles collectées à partir des avis de sécurité afin de produire des résultats. Amazon Inspector analyse les instances pour détecter les vulnérabilités des packages et les problèmes d'accessibilité au réseau. Pour plus d'informations sur les systèmes d'exploitation pris en charge, notamment sur les systèmes d'exploitation pouvant être scannés sans SSM agent, consultez Systèmes d'exploitation pris en charge : Amazon EC2 scanning.
Correction
Pour activer le EC2 scan Amazon Inspector, consultez la section Activation des scans dans le guide de l'utilisateur d'Amazon Inspector.
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::::Account
Règle AWS Config : inspector-ecr-scan-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si le ECR scan Amazon Inspector est activé. Le contrôle échoue si le ECR scan Amazon Inspector n'est pas activé.
Note
Dans un environnement multi-comptes, ce contrôle évalue uniquement le compte administrateur Amazon Inspector délégué. Seul l'administrateur délégué peut activer ou désactiver la fonction de ECR numérisation pour les comptes des membres de l'organisation. Les comptes membres d'Amazon Inspector ne peuvent pas modifier cette configuration depuis leurs comptes.
Amazon Inspector analyse les images des conteneurs stockées dans Amazon Elastic Container Registry (AmazonECR) pour détecter les vulnérabilités logicielles afin de générer des informations sur les vulnérabilités des packages. Lorsque vous activez les scans Amazon Inspector pour AmazonECR, vous définissez Amazon Inspector comme service de numérisation préféré pour votre registre privé. Cela remplace la numérisation de base, qui est fournie gratuitement par AmazonECR, par une numérisation améliorée, qui est fournie et facturée via Amazon Inspector. L'analyse améliorée vous permet de bénéficier de l'analyse des vulnérabilités pour les packages de système d'exploitation et de langage de programmation au niveau du registre. Vous pouvez consulter les résultats découverts grâce à la numérisation améliorée au niveau de l'image, pour chaque couche de l'image, sur la ECR console Amazon. En outre, vous pouvez consulter et utiliser ces résultats dans d'autres services qui ne sont pas disponibles pour les résultats de numérisation de base, notamment AWS Security Hub Amazon EventBridge.
Correction
Pour activer le ECR scan Amazon Inspector, consultez la section Activation des scans dans le guide de l'utilisateur d'Amazon Inspector.
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::::Account
Règle AWS Config : inspector-lambda-code-scan-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si le scan du code Lambda d'Amazon Inspector est activé. Le contrôle échoue si le scan du code Lambda par Amazon Inspector n'est pas activé.
Note
Dans un environnement multi-comptes, ce contrôle évalue uniquement le compte administrateur Amazon Inspector délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de numérisation du code Lambda pour les comptes des membres de l'organisation. Les comptes membres d'Amazon Inspector ne peuvent pas modifier cette configuration depuis leurs comptes.
Le scan du code Lambda par Amazon Inspector analyse le code d'application personnalisé au sein d'une AWS Lambda fonction pour détecter les vulnérabilités du code, sur la base des meilleures pratiques AWS de sécurité. L'analyse du code Lambda permet de détecter des défauts d'injection, des fuites de données, une cryptographie faible ou un chiffrement manquant dans votre code. Cette fonctionnalité n'est disponible Régions AWS que de manière spécifique. Vous pouvez activer le scan de code Lambda en même temps que le scan standard Lambda (voir). [Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
Correction
Pour activer la numérisation du code Lambda d'Amazon Inspector, consultez la section Activation des scans dans le guide de l'utilisateur d'Amazon Inspector.
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::::Account
Règle AWS Config : inspector-lambda-standard-scan-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si le scan standard Amazon Inspector Lambda est activé. Le contrôle échoue si le scan standard Amazon Inspector Lambda n'est pas activé.
Note
Dans un environnement multi-comptes, ce contrôle évalue uniquement le compte administrateur Amazon Inspector délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité d'analyse standard Lambda pour les comptes des membres de l'organisation. Les comptes membres d'Amazon Inspector ne peuvent pas modifier cette configuration depuis leurs comptes.
L'analyse standard Amazon Inspector Lambda identifie les vulnérabilités logicielles dans les dépendances des packages d'applications que vous ajoutez à votre code de AWS Lambda fonction et à vos couches. Si Amazon Inspector détecte une vulnérabilité dans les dépendances des packages d'applications de votre fonction Lambda, Amazon Inspector produit une recherche de Package Vulnerability type détaillée. Vous pouvez activer le scan de code Lambda en même temps que le scan standard Lambda (voir). [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
Correction
Pour activer le scan standard Amazon Inspector Lambda, consultez la section Activation des scans dans le guide de l'utilisateur Amazon Inspector.
