Memulai dengan Amazon Inspector - Amazon Inspector
Sebelum Anda mulaiLangkah 1: Aktifkan Amazon Inspector Langkah 2: Lihat temuan Amazon Inspector

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan Amazon Inspector

Tutorial ini memberikan pengenalan langsung ke Amazon Inspector.

Langkah 1 mencakup mengaktifkan pemindaian Amazon Inspector untuk akun mandiri atau sebagai administrator yang didelegasikan Amazon Inspector di lingkungan multi-akun. AWS Organizations

Langkah 2 mencakup pemahaman temuan Amazon Inspector di konsol.

catatan

Dalam tutorial ini, Anda menyelesaikan tugas di saat ini Wilayah AWS. Untuk menyiapkan Amazon Inspector di Wilayah lain, Anda harus menyelesaikan langkah-langkah ini di masing-masing Wilayah tersebut.

Sebelum Anda mulai

Amazon Inspector adalah layanan manajemen kerentanan yang terus-menerus memindai instans Amazon EC2 Anda, gambar wadah Amazon ECR, dan fungsi untuk kerentanan perangkat lunak AWS Lambda dan eksposur jaringan yang tidak diinginkan.

Perhatikan hal berikut sebelum Anda mengaktifkan Amazon Inspector:

  • Amazon Inspector adalah layanan Regional, dan data disimpan di Wilayah AWS tempat Anda menggunakan layanan. Setiap prosedur konfigurasi yang Anda selesaikan dalam tutorial ini harus diulang di setiap prosedur Wilayah AWS yang ingin Anda pantau dengan Amazon Inspector.

  • Amazon Inspector memberi Anda fleksibilitas untuk mengaktifkan instans Amazon EC2, image container Amazon ECR, dan pemindaian fungsi. AWS Lambda Anda dapat mengelola jenis pemindaian dari halaman manajemen akun di konsol Amazon Inspector atau menggunakan Amazon Inspector API.

  • Amazon Inspector dapat memberikan data Common Vulnerabilities and Exposures (CVE) untuk instans EC2 Anda hanya jika agen Amazon EC2 Systems Manager (SSM) diinstal dan diaktifkan. Agen ini sudah diinstal sebelumnya pada banyak instans EC2, tetapi Anda mungkin perlu mengaktifkannya secara manual. Terlepas dari status agen SSM, semua instans EC2 Anda dipindai untuk masalah paparan jaringan. Untuk informasi selengkapnya tentang mengonfigurasi pemindaian untuk Amazon EC2, lihat. Memindai instans Amazon EC2 Amazon ECR dan pemindaian AWS Lambda fungsi tidak memerlukan penggunaan agen.

  • Identitas pengguna IAM dengan izin administrator Akun AWS dapat mengaktifkan Amazon Inspector. Untuk tujuan perlindungan data, kami menyarankan Anda untuk melindungi kredensyal Anda dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan begitu, setiap pengguna hanya diberikan izin yang diperlukan untuk mengelola Amazon Inspector. Untuk informasi tentang izin yang diperlukan untuk mengaktifkan Amazon Inspector, lihat. AWS kebijakan terkelola: AmazonInspector2FullAccess

  • Saat Anda mengaktifkan Amazon Inspector untuk pertama kalinya di Wilayah mana pun, Amazon Inspector akan membuat peran terkait layanan secara global untuk akun Anda yang dipanggil. AWSServiceRoleForAmazonInspector2 Peran ini mencakup izin dan kebijakan kepercayaan yang memungkinkan Amazon Inspector mengumpulkan detail paket perangkat lunak dan menganalisis konfigurasi VPC Amazon untuk menghasilkan temuan kerentanan. Untuk informasi selengkapnya, lihat Menggunakan peran tertaut layanan untuk Amazon Inspector. Untuk informasi selengkapnya tentang peran terkait layanan, lihat Menggunakan peran terkait layanan.

Langkah 1: Aktifkan Amazon Inspector

Langkah pertama untuk menggunakan Amazon Inspector adalah mengaktifkannya untuk Anda. Akun AWS Setelah Anda mengaktifkan jenis pemindaian Amazon Inspector, Amazon Inspector segera mulai menemukan dan memindai semua sumber daya yang memenuhi syarat.

Jika Anda ingin mengelola Amazon Inspector untuk beberapa akun dalam organisasi Anda melalui akun administrator terpusat, Anda harus menetapkan administrator yang didelegasikan untuk Amazon Inspector. Pilih salah satu opsi berikut untuk mempelajari cara mengaktifkan Amazon Inspector untuk lingkungan Anda.

Standalone account environment

  1. Buka konsol Amazon Inspector di https://console.aws.amazon.com/inspector/v2/home.

  2. Pilih Memulai.

  3. Pilih Aktifkan Amazon Inspector.

Saat Anda mengaktifkan Amazon Inspector di akun mandiri, semua jenis pemindaian diaktifkan secara default. Anda dapat mengelola jenis pemindaian yang diaktifkan dari halaman manajemen akun dalam konsol Amazon Inspector atau dengan menggunakan Amazon Inspector API. Setelah Amazon Inspector diaktifkan, Amazon Inspector secara otomatis menemukan dan mulai memindai semua sumber daya yang memenuhi syarat. Tinjau informasi jenis pemindaian berikut untuk memahami sumber daya mana yang memenuhi syarat secara default:

Pemindaian Amazon EC2

Untuk menyediakan data Common Vulnerabilities and Exposures (CVE) untuk instans EC2 Anda, Amazon Inspector mengharuskan agen AWS Systems Manager (SSM) diinstal dan diaktifkan. Agen ini sudah diinstal sebelumnya pada banyak instans EC2, tetapi Anda mungkin perlu mengaktifkannya secara manual. Terlepas dari status agen SSM, semua instans EC2 Anda akan dipindai untuk masalah paparan jaringan. Untuk informasi selengkapnya tentang mengonfigurasi pemindaian untuk Amazon EC2, lihat. Memindai instans Amazon EC2 dengan Amazon Inspector

Pemindaian ECR Amazon

Saat Anda mengaktifkan pemindaian Amazon ECR, Amazon Inspector mengonversi semua repositori kontainer di registri pribadi Anda yang dikonfigurasi untuk pemindaian Dasar default yang disediakan oleh Amazon ECR menjadi Pemindaian yang disempurnakan dengan pemindaian berkelanjutan. Anda juga dapat secara opsional mengonfigurasi pengaturan ini untuk memindai on-push saja atau untuk memindai repositori tertentu melalui aturan inklusi. Semua gambar yang didorong dalam 30 hari terakhir dijadwalkan untuk pemindaian Seumur Hidup, pengaturan pemindaian Amazon ECR ini dapat diubah kapan saja. Untuk informasi selengkapnya tentang mengonfigurasi pemindaian untuk Amazon ECR, lihat. Memindai gambar wadah Amazon ECR dengan Amazon Inspector

AWS Lambda pemindaian fungsi

Saat Anda mengaktifkan pemindaian AWS Lambda fungsi, Amazon Inspector menemukan fungsi Lambda di akun Anda dan segera mulai memindai mereka untuk kerentanan. Amazon Inspector memindai fungsi dan lapisan Lambda baru saat digunakan, dan memindainya kembali saat diperbarui atau saat Common Vulnerabilities and Exposures (CVE) baru diterbitkan. Amazon Inspector menawarkan dua tingkat pemindaian fungsi Lambda yang berbeda. Secara default saat Anda pertama kali mengaktifkan Amazon Inspector, pemindaian standar Lambda diaktifkan, yang memindai dependensi paket dalam fungsi Anda. Anda juga dapat mengaktifkan pemindaian kode Lambda untuk memindai kode pengembang di fungsi Anda untuk kerentanan kode. Untuk informasi selengkapnya tentang mengonfigurasi pemindaian fungsi Lambda, lihat. AWS Lambda Fungsi pemindaian dengan Amazon Inspector

Multi-account environment
penting

Untuk menyelesaikan langkah-langkah ini, Anda harus berada di organisasi yang sama dengan semua akun yang ingin Anda kelola dan memiliki akses ke akun AWS Organizations manajemen untuk mendelegasikan administrator untuk Amazon Inspector dalam organisasi Anda. Izin tambahan mungkin diperlukan untuk mendelegasikan administrator. Untuk informasi selengkapnya, lihat Izin yang diperlukan untuk menetapkan administrator yang didelegasikan.

catatan

Untuk mengaktifkan Amazon Inspector secara terprogram untuk beberapa akun di beberapa Wilayah, Anda dapat menggunakan skrip shell yang dikembangkan oleh Amazon Inspector. Untuk informasi lebih lanjut tentang penggunaan skrip ini, lihat inspector2- enablement-with-cli on. GitHub

Mendelegasikan administrator untuk Amazon Inspector

  1. Masuk ke akun AWS Organizations manajemen.

  2. Buka konsol Amazon Inspector di https://console.aws.amazon.com/inspector/v2/home.

  3. Dalam panel Administrator yang didelegasikan, masukkan ID dua belas digit Akun AWS yang ingin Anda tetapkan sebagai administrator delegasi Amazon Inspector untuk organisasi. Kemudian pilih Delegasi. Kemudian, di jendela konfirmasi, pilih Delegasi lagi.

    catatan

    Amazon Inspector diaktifkan untuk akun Anda saat Anda mendelegasikan administrator.

Menambahkan akun anggota

Sebagai administrator yang didelegasikan, Anda dapat mengaktifkan pemindaian untuk setiap anggota yang terkait dengan akun manajemen Organisasi. Alur kerja ini mengaktifkan semua jenis pemindaian untuk semua akun anggota. Namun, anggota juga dapat mengaktifkan Amazon Inspector untuk akun mereka sendiri, atau pemindaian untuk layanan dapat diaktifkan secara selektif oleh administrator yang didelegasikan. Untuk informasi selengkapnya, lihat Mengelola beberapa akun.

  1. Masuk ke akun administrator yang didelegasikan.

  2. Buka konsol Amazon Inspector di https://console.aws.amazon.com/inspector/v2/home.

  3. Di panel navigasi, pilih Manajemen Akun. Tabel Akun menampilkan semua akun anggota yang terkait dengan akun manajemen Organisasi.

  4. Dari halaman Manajemen Akun, Anda dapat memilih Aktifkan pemindaian untuk semua akun dari spanduk atas untuk mengaktifkan instans EC2, gambar wadah ECR, dan, pemindaian AWS Lambda fungsi untuk semua akun di organisasi Anda. Atau, Anda dapat memilih akun yang ingin Anda tambahkan sebagai anggota dengan memilihnya di tabel Akun. Kemudian dari menu Aktifkan, pilih Semua pemindaian.

  5. (Opsional) Aktifkan fitur Aktifkan Inspector secara otomatis untuk akun anggota baru dan pilih jenis pemindaian yang akan disertakan untuk mengaktifkan pemindaian tersebut untuk akun anggota baru yang ditambahkan ke organisasi Anda.

Amazon Inspector saat ini menawarkan pemindaian untuk instans EC2, image container ECR, dan fungsi. AWS Lambda Setelah Anda mengaktifkan Amazon Inspector, Amazon Inspector secara otomatis mulai menemukan dan memindai semua sumber daya yang memenuhi syarat. Tinjau informasi jenis pemindaian berikut untuk memahami sumber daya mana yang memenuhi syarat secara default:

Pemindaian Amazon EC2

Untuk menyediakan data kerentanan CVE untuk instans EC2 Anda, Amazon Inspector mengharuskan agen AWS Systems Manager (SSM) diinstal dan diaktifkan. Agen ini sudah diinstal sebelumnya pada banyak instans EC2, tetapi Anda mungkin perlu mengaktifkannya secara manual. Terlepas dari status agen SSM, semua instans EC2 Anda akan dipindai untuk masalah paparan jaringan. Untuk informasi selengkapnya tentang mengonfigurasi pemindaian untuk Amazon EC2, lihat. Memindai instans Amazon EC2 dengan Amazon Inspector

Pemindaian ECR Amazon

Saat Anda mengaktifkan pemindaian Amazon ECR, Amazon Inspector mengonversi semua repositori kontainer di registri pribadi Anda yang dikonfigurasi untuk pemindaian Dasar default yang disediakan oleh Amazon ECR menjadi Pemindaian yang disempurnakan dengan pemindaian berkelanjutan. Anda juga dapat secara opsional mengonfigurasi pengaturan ini untuk memindai on-push saja atau untuk memindai repositori tertentu melalui aturan inklusi. Semua gambar yang didorong dalam 30 hari terakhir dijadwalkan untuk pemindaian Seumur Hidup. Pengaturan pemindaian ECR Amazon ini dapat diubah oleh administrator yang didelegasikan kapan saja. Untuk informasi selengkapnya tentang mengonfigurasi pemindaian untuk Amazon ECR, lihat. Memindai gambar wadah Amazon ECR dengan Amazon Inspector

AWS Lambda pemindaian fungsi

Saat Anda mengaktifkan pemindaian AWS Lambda fungsi, Amazon Inspector menemukan fungsi Lambda di akun Anda dan segera mulai memindai mereka untuk kerentanan. Amazon Inspector memindai fungsi dan lapisan Lambda baru saat digunakan, dan memindainya kembali saat diperbarui atau saat Common Vulnerabilities and Exposures (CVE) baru diterbitkan. Untuk informasi selengkapnya tentang mengonfigurasi pemindaian fungsi Lambda, lihat. AWS Lambda Fungsi pemindaian dengan Amazon Inspector

Langkah 2: Lihat temuan Amazon Inspector

Anda dapat melihat temuan untuk lingkungan Anda di konsol Amazon Inspector atau melalui API. Semua temuan juga didorong ke Amazon EventBridge dan AWS Security Hub (jika diaktifkan). Selain itu, temuan gambar kontainer didorong ke Amazon ECR.

Konsol Amazon Inspector menawarkan beberapa format tampilan berbeda untuk temuan Anda. Dasbor Amazon Inspector memberi Anda ikhtisar risiko tingkat tinggi terhadap lingkungan Anda, sementara tabel Temuan memungkinkan Anda melihat detail temuan tertentu.

Pada langkah ini, Anda menjelajahi detail temuan menggunakan tabel Temuan dan dasbor Temuan. Untuk informasi tentang dasbor Amazon Inspector, lihat. Memahami dasbor

Untuk melihat detail temuan untuk lingkungan Anda di konsol Amazon Inspector:

  1. Buka konsol Amazon Inspector di https://console.aws.amazon.com/inspector/v2/home.

  2. Dari panel navigasi, pilih Dasbor. Anda dapat memilih salah satu tautan di dasbor untuk menavigasi ke halaman di konsol Amazon Inspector dengan detail lebih lanjut tentang item tersebut.

  3. Dari panel navigasi, pilih Temuan.

  4. Secara default Anda akan melihat tab Semua temuan, yang menampilkan semua instans EC2, gambar wadah ECR, temuan AWS Lambda fungsi untuk lingkungan Anda.

  5. Dalam daftar Temuan, pilih nama temuan di kolom Judul untuk membuka panel detail untuk temuan tersebut. Semua temuan memiliki tab Menemukan detail. Anda dapat berinteraksi dengan tab Menemukan detail dengan cara berikut:

    • Untuk detail selengkapnya tentang kerentanan, ikuti tautan di bagian Detail kerentanan untuk membuka dokumentasi kerentanan ini.

    • Untuk menyelidiki sumber daya Anda lebih lanjut, ikuti tautan ID Sumber Daya di bagian Sumber yang terpengaruh untuk membuka konsol layanan untuk sumber daya yang terpengaruh.

    Temuan tipe kerentanan paket juga memiliki tab Inspector Score and vulnerability intelligence yang menjelaskan bagaimana skor Amazon Inspector dihitung untuk temuan tersebut dan memberikan informasi tentang Common Vulnerability and Exploits (CVE) yang terkait dengan temuan tersebut. Untuk detail selengkapnya tentang menemukan jenis, lihatMenemukan tipe di Amazon Inspector.