Memulai dengan Amazon Inspector - Amazon Inspector
Sebelum mengaktifkan Amazon InspectorTutorial memulai

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan Amazon Inspector

Bagian ini memberikan informasi yang perlu dipertimbangkan sebelum mengaktifkan Amazon Inspector dan tutorial memulai yang menjelaskan cara mengaktifkan Amazon Inspector dan melihat temuan Anda di konsol Amazon Inspector dan dengan Amazon Inspector. API

Sebelum mengaktifkan Amazon Inspector

Sebelum mengaktifkan Amazon Inspector, pertimbangkan hal berikut:

Amazon Inspector adalah layanan Regional

Data Anda disimpan di Wilayah AWS tempat Anda mengaktifkan Amazon Inspector. Ulangi langkah-langkah di bagian pertama tutorial memulai untuk semua Wilayah AWS tempat Anda berencana menggunakan Amazon Inspector.

Amazon Inspector membuat peran terkait layanan 2 dan AWSServiceRoleForAmazonInspector AWSServiceRoleForAmazonInspector2Agentless

Peran terkait layanan adalah peran dalam AWS Identity and Access Management (IAM) yang ditautkan ke servce. AWS AWSServiceRoleForAmazonInspector2dan AWSServiceRoleForAmazonInspector2Agentlessmemungkinkan Amazon Inspector mengakses yang AWS layanan diperlukan untuk melakukan penilaian keamanan.

IAMidentitas dengan izin administrator dapat mengaktifkan Amazon Inspector

Lindungi kredensional Anda dengan membuat pengguna dengan IAMatau. AWS IAM Identity Center Ini membantu Anda memastikan pengguna hanya memiliki izin yang diperlukan untuk mengelola Amazon Inspector. Untuk informasi selengkapnya, lihat kebijakan AWS terkelola: AmazonInspectorFullAccess.

Pemindaian hibrida diaktifkan secara otomatis

Pemindaian hibrida mencakup pemindaian berbasis agen dan pemindaian tanpa agen. Secara default, Amazon Inspector menggunakan metode pemindaian ini di semua instans Amazon EC2 yang memenuhi syarat. Untuk informasi selengkapnya, lihat Memindai EC2 instans Amazon dengan Amazon Inspector.

ECRPemindaian Amazon dan pemindaian fungsi Lambda tidak memerlukan agen SSM

Pemindaian berbasis agen menggunakan SSMagen untuk mengumpulkan inventaris perangkat lunak. Pemindaian tanpa agen menggunakan EBS snapshot Amazon untuk mengumpulkan perangkat lunak inverntory.

catatan

Secara default, SSM agen sudah diinstal di EC2 instans Amazon berdasarkan Amazon Machine Images. Namun, Anda mungkin perlu mengaktifkan SSM agen secara manual dalam beberapa kasus. Untuk informasi selengkapnya, lihat Bekerja dengan SSM agen di Panduan AWS Systems Manager Pengguna.

Biaya bulanan didasarkan pada beban kerja yang dipindai

Untuk informasi selengkapnya, lihat harga Amazon Inspector.

Tutorial memulai

Di bagian pertama tutorial ini, Anda mengaktifkan Amazon Inspector untuk lingkungan akun mandiri atau lingkungan multi-akun. Di bagian kedua tutorial ini, Anda mempelajari cara melihat temuan Anda di konsol Amazon Inspector dan dengan Amazon Inspector. API

Mengaktifkan Amazon Inspector

Selesaikan salah satu prosedur berikut untuk mengaktifkan Amazon Inspector. Setelah Anda mengaktifkan Amazon Inspector, Amazon Inspector secara otomatis mulai menemukan beban kerja dan terus memindai mereka untuk kerentanan perangkat lunak dan paparan jaringan yang tidak diinginkan.

Standalone account environment

  1. Masuk menggunakan kredensional Anda, lalu buka konsol Amazon Inspector di v2/home. https://console.aws.amazon.com/inspector/

  2. Pilih Memulai.

  3. Pilih Aktifkan Amazon Inspector.

Saat Anda mengaktifkan Amazon Inspector di akun mandiri, semua jenis pemindaian diaktifkan secara default. Anda dapat mengelola jenis pemindaian yang diaktifkan dari halaman manajemen akun dalam konsol Amazon Inspector atau dengan menggunakan Amazon Inspector. APIs Setelah Amazon Inspector diaktifkan, Amazon Inspector secara otomatis menemukan dan mulai memindai semua sumber daya yang memenuhi syarat. Tinjau informasi jenis pemindaian berikut untuk memahami sumber daya mana yang memenuhi syarat secara default:

EC2Pemindaian Amazon

Untuk menyediakan data Common Vulnerabilities and Exposures (CVE) untuk EC2 instans Anda, Amazon Inspector mengharuskan agen Systems AWS Manager SSM () diinstal dan diaktifkan. Agen ini sudah diinstal sebelumnya pada banyak EC2 contoh, tetapi Anda mungkin perlu mengaktifkannya secara manual. Terlepas dari status SSM agen, semua EC2 instans Anda akan dipindai untuk masalah paparan jaringan. Untuk informasi selengkapnya tentang mengonfigurasi pemindaian untuk AmazonEC2, lihat. Memindai EC2 instans Amazon dengan Amazon Inspector

ECRPemindaian Amazon

Saat Anda mengaktifkan ECR pemindaian Amazon, Amazon Inspector mengonversi semua repositori kontainer di registri pribadi Anda yang dikonfigurasi untuk pemindaian Dasar default yang disediakan oleh Amazon ECR ke Pemindaian yang disempurnakan dengan pemindaian berkelanjutan. Anda juga dapat secara opsional mengonfigurasi pengaturan ini untuk memindai on-push saja atau untuk memindai repositori tertentu melalui aturan inklusi. Semua gambar yang didorong dalam 30 hari terakhir dijadwalkan untuk pemindaian Seumur Hidup, pengaturan ECR pemindaian Amazon ini dapat diubah kapan saja. Untuk informasi selengkapnya tentang mengonfigurasi pemindaian untuk AmazonECR, lihat. Memindai gambar wadah Amazon Elastic Container Registry dengan Amazon Inspector

AWS Lambda pemindaian fungsi

Saat Anda mengaktifkan pemindaian AWS Lambda fungsi, Amazon Inspector menemukan fungsi Lambda di akun Anda dan segera mulai memindai mereka untuk kerentanan. Amazon Inspector memindai fungsi dan layer Lambda baru saat di-deploy, dan memindainya kembali saat diperbarui atau saat Common Vulnerabilities and Exposures () baru diterbitkan. CVEs Amazon Inspector menawarkan dua tingkat pemindaian fungsi Lambda yang berbeda. Secara default saat Anda pertama kali mengaktifkan Amazon Inspector, pemindaian standar Lambda diaktifkan, yang memindai dependensi paket dalam fungsi Anda. Anda juga dapat mengaktifkan pemindaian kode Lambda untuk memindai kode pengembang di fungsi Anda untuk kerentanan kode. Untuk informasi selengkapnya tentang mengonfigurasi pemindaian fungsi Lambda, lihat. AWS Lambda Fungsi pemindaian dengan Amazon Inspector

Multi-account environment
penting

Untuk menyelesaikan langkah-langkah ini, Anda harus berada di organisasi yang sama dengan semua akun yang ingin Anda kelola dan memiliki akses ke akun AWS Organizations manajemen untuk mendelegasikan administrator untuk Amazon Inspector dalam organisasi Anda. Izin tambahan mungkin diperlukan untuk mendelegasikan administrator. Untuk informasi selengkapnya, lihat Izin yang diperlukan untuk menetapkan administrator yang didelegasikan.

catatan

Untuk mengaktifkan Amazon Inspector secara terprogram untuk beberapa akun di beberapa Wilayah, Anda dapat menggunakan skrip shell yang dikembangkan oleh Amazon Inspector. Untuk informasi lebih lanjut tentang penggunaan skrip ini, lihat inspector2- enablement-with-cli on. GitHub

Mendelegasikan administrator untuk Amazon Inspector

  1. Masuk ke akun AWS Organizations manajemen.

  2. Buka konsol Amazon Inspector di https://console.aws.amazon.com/inspector/ v2/home.

  3. Dalam panel Administrator yang didelegasikan, masukkan ID dua belas digit Akun AWS yang ingin Anda tetapkan sebagai administrator delegasi Amazon Inspector untuk organisasi. Kemudian pilih Delegasi. Kemudian, di jendela konfirmasi, pilih Delegasi lagi.

    catatan

    Amazon Inspector diaktifkan untuk akun Anda saat Anda mendelegasikan administrator.

Menambahkan akun anggota

Sebagai administrator yang didelegasikan, Anda dapat mengaktifkan pemindaian untuk setiap anggota yang terkait dengan akun manajemen Organisasi. Alur kerja ini mengaktifkan semua jenis pemindaian untuk semua akun anggota. Namun, anggota juga dapat mengaktifkan Amazon Inspector untuk akun mereka sendiri, atau pemindaian untuk layanan dapat diaktifkan secara selektif oleh administrator yang didelegasikan. Untuk informasi selengkapnya, lihat Mengelola beberapa akun.

  1. Masuk ke akun administrator yang didelegasikan.

  2. Buka konsol Amazon Inspector di https://console.aws.amazon.com/inspector/ v2/home.

  3. Di panel navigasi, pilih Manajemen Akun. Tabel Akun menampilkan semua akun anggota yang terkait dengan akun manajemen Organisasi.

  4. Dari halaman Manajemen Akun, Anda dapat memilih Aktifkan pemindaian untuk semua akun dari spanduk atas untuk mengaktifkan EC2 instance, gambar ECR kontainer, dan, pemindaian AWS Lambda fungsi untuk semua akun di organisasi Anda. Atau, Anda dapat memilih akun yang ingin Anda tambahkan sebagai anggota dengan memilihnya di tabel Akun. Kemudian dari menu Aktifkan, pilih Semua pemindaian.

  5. (Opsional) Aktifkan fitur Aktifkan Inspector secara otomatis untuk akun anggota baru dan pilih jenis pemindaian yang akan disertakan untuk mengaktifkan pemindaian tersebut untuk akun anggota baru yang ditambahkan ke organisasi Anda.

Amazon Inspector saat ini menawarkan pemindaian untuk EC2 instance, gambar ECR kontainer, dan fungsi. AWS Lambda Setelah Anda mengaktifkan Amazon Inspector, Amazon Inspector secara otomatis mulai menemukan dan memindai semua sumber daya yang memenuhi syarat. Tinjau informasi jenis pemindaian berikut untuk memahami sumber daya mana yang memenuhi syarat secara default:

EC2Pemindaian Amazon

Untuk menyediakan data CVE kerentanan untuk EC2 instans Anda, Amazon Inspector mengharuskan agen Systems AWS Manager SSM () diinstal dan diaktifkan. Agen ini sudah diinstal sebelumnya pada banyak EC2 contoh, tetapi Anda mungkin perlu mengaktifkannya secara manual. Terlepas dari status SSM agen, semua EC2 instans Anda akan dipindai untuk masalah paparan jaringan. Untuk informasi selengkapnya tentang mengonfigurasi pemindaian untuk AmazonEC2, lihat. Memindai EC2 instans Amazon dengan Amazon Inspector

ECRPemindaian Amazon

Saat Anda mengaktifkan ECR pemindaian Amazon, Amazon Inspector mengonversi semua repositori kontainer di registri pribadi Anda yang dikonfigurasi untuk pemindaian Dasar default yang disediakan oleh Amazon ECR ke Pemindaian yang disempurnakan dengan pemindaian berkelanjutan. Anda juga dapat secara opsional mengonfigurasi pengaturan ini untuk memindai on-push saja atau untuk memindai repositori tertentu melalui aturan inklusi. Semua gambar yang didorong dalam 30 hari terakhir dijadwalkan untuk pemindaian Seumur Hidup. Pengaturan ECR pemindaian Amazon ini dapat diubah oleh administrator yang didelegasikan kapan saja. Untuk informasi selengkapnya tentang mengonfigurasi pemindaian untuk AmazonECR, lihat. Memindai gambar wadah Amazon Elastic Container Registry dengan Amazon Inspector

AWS Lambda pemindaian fungsi

Saat Anda mengaktifkan pemindaian AWS Lambda fungsi, Amazon Inspector menemukan fungsi Lambda di akun Anda dan segera mulai memindai mereka untuk kerentanan. Amazon Inspector memindai fungsi dan layer Lambda baru saat di-deploy, dan memindainya kembali saat diperbarui atau saat Common Vulnerabilities and Exposures () baru diterbitkan. CVEs Untuk informasi selengkapnya tentang mengonfigurasi pemindaian fungsi Lambda, lihat. AWS Lambda Fungsi pemindaian dengan Amazon Inspector

Melihat temuan Amazon Inspector Anda

Anda dapat melihat temuan Anda di konsol Amazon Inspector dan dengan Amazon Inspector. API Di konsol, Anda dapat melihat temuan Anda di dasbor dan di layar Temuan. Untuk menyelesaikan bagian tutorial ini, lihat Melihat temuan Amazon Inspector Anda.

catatan

Karena Anda baru saja mengaktifkan Amazon Inspector, Anda mungkin tidak memiliki temuan apa pun.