Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esportazione dei report dei risultati da Amazon Inspector
Oltre a inviare i risultati ad Amazon EventBridge AWS Security Hub, puoi facoltativamente esportare i risultati in un bucket Amazon Simple Storage Service (Amazon S3) come rapporto sui risultati. Un rapporto sui risultati è un file CSV o JSON che contiene i dettagli dei risultati che scegli di includere nel rapporto. Fornisce un'istantanea dettagliata dei risultati in un momento specifico. Per ogni risultato, il file include dettagli come l'Amazon Resource Name (ARN) della risorsa interessata, la data e l'ora di creazione del risultato, l'ID Common Vulnerabilities and Exposures (CVE) associato, la gravità, lo stato e i punteggi Amazon Inspector e CVSS del risultato.
Quando configuri un report sui risultati, inizi specificando quali risultati includere nel rapporto. Per impostazione predefinita, Amazon Inspector include i dati per tutte le tue scoperte nel sistema corrente Regione AWS che hanno lo stato di Attivo. Se sei l'amministratore delegato di Amazon Inspector di un'organizzazione, questo include i dati relativi ai risultati di tutti gli account membri della tua organizzazione.
Facoltativamente, puoi personalizzare un report filtrando i dati. Con i filtri, puoi includere o escludere i dati per i risultati con caratteristiche specifiche, ad esempio tutti i risultati critici creati in un intervallo di tempo specifico, tutti i risultati attivi per una particolare risorsa o tutti i risultati critici di un tipo specifico. Se sei l'amministratore di Amazon Inspector di un'organizzazione, puoi utilizzare i filtri per creare un report che includa i risultati relativi Account AWS a uno specifico elemento dell'organizzazione, ad esempio tutti i risultati critici di un account con stato Attivo e per i quali è disponibile una correzione. Puoi quindi condividere il rapporto con il proprietario dell'account per porvi rimedio.
Nota
Quando esporti un rapporto sui risultati utilizzando l'CreateFindingsReportAPI, per impostazione predefinita vedrai solo i risultati attivi. Per visualizzare i risultati soppressi o chiusi, devi specificare SUPPRESSED o CLOSED come valori per i criteri del filtro FindingStatus.
Quando esporti un report sui risultati, Amazon Inspector crittografa i dati con una chiave AWS Key Management Service (AWS KMS) specificata e aggiunge il report a un bucket S3 da te specificato. La chiave di crittografia deve essere una chiave di crittografia AWS Key Management Service (AWS KMS) simmetrica gestita dal cliente e inclusa nella versione corrente. Regione AWS Inoltre, la politica chiave deve consentire ad Amazon Inspector di utilizzare la chiave. Il bucket S3 deve inoltre trovarsi nella regione corrente e la politica del bucket deve consentire ad Amazon Inspector di aggiungere oggetti al bucket.
Dopo che Amazon Inspector ha completato la crittografia e l'archiviazione del report, puoi scaricare il report dal bucket S3 specificato o spostarlo in un'altra posizione. In alternativa, puoi conservare il report nello stesso bucket S3 e utilizzarlo come repository per i report sui risultati da esportare successivamente.
Questo argomento ti guida attraverso il processo di utilizzo di AWS Management Console per esportare un rapporto sui risultati. Il processo consiste nella verifica di disporre delle autorizzazioni necessarie, nella configurazione delle risorse necessarie e quindi nella configurazione ed esportazione del rapporto.
Nota
È possibile esportare un solo rapporto sui risultati alla volta. Se è attualmente in corso un'esportazione, attendi il completamento dell'esportazione prima di provare a esportare un altro rapporto.
Attività
Dopo aver esportato un rapporto sui risultati per la prima volta, i passaggi da 1 a 3 possono essere facoltativi. Ciò dipende principalmente dal fatto che desideri utilizzare lo stesso bucket S3 e AWS KMS key per i report successivi.
Se preferisci esportare un report a livello di codice dopo i passaggi 1-3, utilizza il CreateFindingsReportfunzionamento dell'API Amazon Inspector.
Passaggio 1: verifica le autorizzazioni
Prima di esportare un report sui risultati da Amazon Inspector, verifica di disporre delle autorizzazioni necessarie sia per esportare i report sui risultati sia per configurare le risorse per la crittografia e l'archiviazione dei report. Per verificare le tue autorizzazioni, utilizza AWS Identity and Access Management (IAM) per rivedere le policy IAM associate alla tua identità IAM. Quindi confronta le informazioni contenute in tali policy con il seguente elenco di azioni che devi essere autorizzato a eseguire per esportare un rapporto sui risultati.
- Amazon Inspector
-
Per Amazon Inspector, verifica di essere autorizzato a eseguire le seguenti azioni:
-
inspector2:ListFindings -
inspector2:CreateFindingsReport
Queste azioni ti consentono di recuperare i dati dei risultati per il tuo account e di esportare tali dati nei report sui risultati.
Se prevedi di esportare report di grandi dimensioni a livello di codice, potresti anche verificare di essere autorizzato a eseguire le seguenti azioni:
inspector2:GetFindingsReportStatuscontrollare lo stato dei report einspector2:CancelFindingsReportannullare le esportazioni in corso. -
- AWS KMS
-
Verifica AWS KMS, infatti, di avere il permesso di eseguire le seguenti azioni:
-
kms:GetKeyPolicy -
kms:PutKeyPolicy
Queste azioni ti consentono di recuperare e aggiornare la policy chiave AWS KMS key che desideri che Amazon Inspector utilizzi per crittografare il report.
Per utilizzare la console Amazon Inspector per esportare un report, verifica anche di essere autorizzato a eseguire le seguenti AWS KMS azioni:
-
kms:DescribeKey -
kms:ListAliases
Queste azioni ti consentono di recuperare e visualizzare informazioni AWS KMS keys relative al tuo account. Puoi quindi scegliere una di queste chiavi per crittografare il rapporto.
Se intendi creare una nuova chiave KMS per la crittografia del rapporto, devi anche essere autorizzato a eseguire l'
kms:CreateKeyazione. -
- Amazon S3
-
Per Amazon S3, verifica di essere autorizzato a eseguire le seguenti azioni:
-
s3:CreateBucket -
s3:DeleteObject -
s3:PutBucketAcl -
s3:PutBucketPolicy -
s3:PutBucketPublicAccessBlock -
s3:PutObject -
s3:PutObjectAcl
Queste azioni ti consentono di creare e configurare il bucket S3 in cui desideri che Amazon Inspector memorizzi il report. Consentono inoltre di aggiungere ed eliminare oggetti dal bucket.
Se prevedi di utilizzare la console Amazon Inspector per esportare il report, verifica anche di avere il permesso di eseguire le azioni
s3:ListAllMyBucketses3:GetBucketLocation. Queste azioni ti consentono di recuperare e visualizzare informazioni sui bucket S3 del tuo account. Puoi quindi scegliere uno di questi bucket per archiviare il rapporto. -
Se non sei autorizzato a eseguire una o più delle azioni richieste, chiedi assistenza AWS all'amministratore prima di procedere al passaggio successivo.
Passaggio 2: configura un bucket S3
Dopo aver verificato le autorizzazioni, sei pronto per configurare il bucket S3 in cui desideri archiviare il rapporto sui risultati. Può essere un bucket esistente per il tuo account o un bucket esistente di proprietà di un altro Account AWS a cui puoi accedere. Se desideri archiviare il rapporto in un nuovo bucket, crea il bucket prima di procedere.
Il bucket S3 deve trovarsi nella Regione AWS stessa cartella dei risultati che desideri esportare. Ad esempio, se utilizzi Amazon Inspector nella regione Stati Uniti orientali (Virginia settentrionale) e desideri esportare i dati dei risultati per quella regione, il bucket deve trovarsi anche nella regione Stati Uniti orientali (Virginia settentrionale).
Inoltre, la politica del bucket deve consentire ad Amazon Inspector di aggiungere oggetti al bucket. Questo argomento spiega come aggiornare la policy del bucket e fornisce un esempio della dichiarazione da aggiungere alla policy. Per informazioni dettagliate sull'aggiunta e l'aggiornamento delle policy dei bucket, consulta Using bucket policies nella Amazon Simple Storage Service User Guide.
Se desideri archiviare il report in un bucket S3 di proprietà di un altro account, contatta il proprietario del bucket per aggiornare la policy del bucket. Ottieni anche l'URI per il bucket. Dovrai inserire questo URI quando esporti il rapporto.
Per aggiornare la policy sui bucket
-
Apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3.
-
Nel pannello di navigazione, scegli Bucket.
-
Scegli il bucket S3 in cui desideri archiviare il report dei risultati.
-
Scegli la scheda Autorizzazioni.
-
Seleziona Modifica nella sezione Policy bucket.
-
Copia la seguente dichiarazione di esempio negli appunti:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "allow-inspector", "Effect": "Allow", "Principal": { "Service": "inspector2.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*" } } } ] } -
Nell'editor di policy Bucket sulla console Amazon S3, incolla l'istruzione precedente nella policy per aggiungerla alla policy.
Quando aggiungi l'istruzione, assicurati che la sintassi sia valida. Le policy Bucket utilizzano il formato JSON. Ciò significa che è necessario aggiungere una virgola prima o dopo l'istruzione, a seconda di dove si aggiunge l'istruzione alla politica. Se aggiungete l'istruzione come ultima istruzione, aggiungete una virgola dopo la parentesi di chiusura dell'istruzione precedente. Se la aggiungete come prima istruzione o tra due istruzioni esistenti, aggiungete una virgola dopo la parentesi che chiude l'istruzione.
-
Aggiorna l'istruzione con i valori corretti per il tuo ambiente, dove:
-
DOC-EXAMPLE-BUCKET è il nome del bucket. -
111122223333è l'ID dell'account per il tuo. Account AWS -
La
regioneè la regione Regione AWS in cui utilizzi Amazon Inspector e desideri consentire ad Amazon Inspector di aggiungere report al bucket. Ad esempio,us-east-1per la regione Stati Uniti orientali (Virginia settentrionale).
Nota
Se utilizzi Amazon Inspector in modalità abilitata manualmente Regione AWS, aggiungi anche il codice regionale appropriato al valore del campo.
ServiceQuesto campo specifica il principale del servizio Amazon Inspector.Ad esempio, se utilizzi Amazon Inspector nella regione del Medio Oriente (Bahrain), che ha il codice regionale
me-south-1, sostituisciloinspector2.amazonaws.comconinspector2.me-south-1.amazonaws.comnell'istruzione.Tieni presente che l'istruzione di esempio definisce condizioni che utilizzano due chiavi di condizione globali IAM:
-
aws: SourceAccount — Questa condizione consente ad Amazon Inspector di aggiungere report al bucket solo per il tuo account. Impedisce ad Amazon Inspector di aggiungere report per altri account. Più specificamente, la condizione specifica quale account può utilizzare il bucket per le risorse e le azioni specificate dalla condizione.
aws:SourceArnPer archiviare i report relativi ad account aggiuntivi nel bucket, aggiungi l'ID account per ogni account aggiuntivo a questa condizione. Per esempio:
"aws:SourceAccount": [111122223333,444455556666,123456789012] -
aws: SourceArn — Questa condizione limita l'accesso al bucket in base alla fonte degli oggetti che vengono aggiunti al bucket. Impedisce ad altri Servizi AWS di aggiungere oggetti al bucket. Inoltre, impedisce ad Amazon Inspector di aggiungere oggetti al bucket mentre esegue altre azioni per il tuo account. Più specificamente, la condizione consente ad Amazon Inspector di aggiungere oggetti al bucket solo se si tratta di report sui risultati e solo se tali report vengono creati dall'account e nella regione specificata nella condizione.
Per consentire ad Amazon Inspector di eseguire le azioni specificate per account aggiuntivi, aggiungi Amazon Resource Names (ARN) per ogni account aggiuntivo a questa condizione. Per esempio:
"aws:SourceArn": [ "arn:aws:inspector2:Region:111122223333:report/*", "arn:aws:inspector2:Region:444455556666:report/*", "arn:aws:inspector2:Region:123456789012:report/*" ]Gli account specificati dalle
aws:SourceArncondizioniaws:SourceAccounte devono corrispondere.
Entrambe le condizioni aiutano a evitare che Amazon Inspector venga usato come sostituto confuso durante le transazioni con Amazon S3. Sebbene non sia consigliabile, puoi rimuovere queste condizioni dalla bucket policy.
-
-
Al termine dell'aggiornamento della policy del bucket, scegli Salva modifiche.
Fase 3: Configurare un AWS KMS key
Dopo aver verificato le autorizzazioni e configurato il bucket S3, stabilisci quale AWS KMS key vuoi che Amazon Inspector utilizzi per crittografare il report dei risultati. La chiave deve essere una chiave KMS di crittografia simmetrica gestita dal cliente. Inoltre, la chiave deve trovarsi nello stesso Regione AWS bucket S3 configurato per archiviare il report.
La chiave può essere una chiave KMS esistente del tuo account o una chiave KMS esistente di proprietà di un altro account. Se desideri utilizzare una nuova chiave KMS, crea la chiave prima di procedere. Se desideri utilizzare una chiave esistente di proprietà di un altro account, ottieni l'Amazon Resource Name (ARN) della chiave. Dovrai inserire questo ARN quando esporti il report da Amazon Inspector. Per informazioni sulla creazione e la revisione delle impostazioni per le chiavi KMS, consulta Managing keys nella Developer Guide.AWS Key Management Service
Dopo aver determinato quale chiave KMS desideri utilizzare, autorizza Amazon Inspector a utilizzare la chiave. In caso contrario, Amazon Inspector non sarà in grado di crittografare ed esportare il report. Per autorizzare Amazon Inspector a utilizzare la chiave, aggiorna la policy relativa alla chiave. Per informazioni dettagliate sulle politiche chiave e sulla gestione dell'accesso alle chiavi KMS, consulta le politiche chiave AWS KMS nella Guida per gli AWS Key Management Service sviluppatori.
Per aggiornare la politica chiave
Nota
La procedura seguente serve per aggiornare una chiave esistente per consentire ad Amazon Inspector di utilizzarla. Se non disponi già di una chiave, consulta https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html le indicazioni su come crearne una.
-
Apri la AWS KMS console all'indirizzo https://console.aws.amazon.com/kms
. -
Per modificare la Regione AWS, usa il selettore della regione nell'angolo superiore destro della pagina.
-
Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.
-
Scegli la chiave KMS che desideri utilizzare per crittografare il rapporto. La chiave deve essere una chiave di crittografia simmetrica (SYMMETRIC_DEFAULT).
-
Nella scheda Politica chiave, scegliete Modifica. Se non vedi una politica chiave con il pulsante Modifica, devi prima selezionare Passa alla visualizzazione della politica.
-
Copia la seguente dichiarazione di esempio negli appunti:
{ "Sid": "Allow Amazon Inspector to use the key", "Effect": "Allow", "Principal": { "Service": "inspector2.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*" } } } -
Nell'editor Key policy sulla AWS KMS console, incolla l'istruzione precedente nella policy chiave per aggiungerla alla policy.
Quando aggiungi l'istruzione, assicurati che la sintassi sia valida. Le politiche chiave utilizzano il formato JSON. Ciò significa che è necessario aggiungere una virgola prima o dopo l'istruzione, a seconda di dove si aggiunge l'istruzione alla politica. Se aggiungete l'istruzione come ultima istruzione, aggiungete una virgola dopo la parentesi di chiusura dell'istruzione precedente. Se la aggiungete come prima istruzione o tra due istruzioni esistenti, aggiungete una virgola dopo la parentesi che chiude l'istruzione.
-
Aggiorna l'istruzione con i valori corretti per il tuo ambiente, dove:
-
111122223333è l'ID dell'account per il tuo. Account AWS -
La
regioneè la regione Regione AWS in cui desideri consentire ad Amazon Inspector di crittografare i report con la chiave. Ad esempio,us-east-1per la regione Stati Uniti orientali (Virginia settentrionale).
Nota
Se utilizzi Amazon Inspector in modalità abilitata manualmente Regione AWS, aggiungi anche il codice regionale appropriato al valore del campo.
ServiceAd esempio, se utilizzi Amazon Inspector nella regione del Medio Oriente (Bahrain), sostituiscilo con.inspector2.amazonaws.cominspector2.me-south-1.amazonaws.comCome l'istruzione di esempio per la bucket policy nel passaggio precedente, i
Conditioncampi di questo esempio utilizzano due chiavi di condizione globali IAM:-
aws: SourceAccount — Questa condizione consente ad Amazon Inspector di eseguire le azioni specificate solo per il tuo account. Più specificamente, determina quale account può eseguire le azioni specificate per le risorse e le azioni specificate dalla
aws:SourceArncondizione.Per consentire ad Amazon Inspector di eseguire le azioni specificate per account aggiuntivi, aggiungi l'ID account per ogni account aggiuntivo a questa condizione. Per esempio:
"aws:SourceAccount": [111122223333,444455556666,123456789012] -
aws: SourceArn — Questa condizione Servizi AWS impedisce ad altri di eseguire le azioni specificate. Inoltre, impedisce ad Amazon Inspector di utilizzare la chiave mentre esegue altre azioni per il tuo account. In altre parole, consente ad Amazon Inspector di crittografare gli oggetti S3 con la chiave solo se si tratta di report sui risultati e solo se tali report vengono creati dall'account e nella regione specificata nella condizione.
Per consentire ad Amazon Inspector di eseguire le azioni specificate per account aggiuntivi, aggiungi gli ARN per ogni account aggiuntivo a questa condizione. Per esempio:
"aws:SourceArn": [ "arn:aws:inspector2:us-east-1:111122223333:report/*", "arn:aws:inspector2:us-east-1:444455556666:report/*", "arn:aws:inspector2:us-east-1:123456789012:report/*" ]Gli account specificati dalle
aws:SourceArncondizioniaws:SourceAccounte devono corrispondere.
Queste condizioni aiutano a evitare che Amazon Inspector venga usato come assistente confuso durante le transazioni con. AWS KMS Sebbene non sia consigliabile, puoi rimuovere queste condizioni dall'informativa.
-
-
Al termine dell'aggiornamento della politica chiave, scegli Salva modifiche.
Fase 4: Configurare ed esportare un rapporto sui risultati
Dopo aver verificato le autorizzazioni e configurato le risorse per crittografare e archiviare il rapporto sui risultati, sei pronto per configurare ed esportare il rapporto.
Per configurare ed esportare un rapporto sui risultati
-
Apri la console Amazon Inspector all'indirizzo https://console.aws.amazon.com/inspector/v2/home.
-
Nel pannello di navigazione, in Risultati, scegli Tutti i risultati.
-
(Facoltativo) Utilizzando la barra dei filtri sopra la tabella Risultati, aggiungete criteri di filtro che specificano quali risultati includere nel rapporto. Man mano che aggiungi criteri, Amazon Inspector aggiorna la tabella per includere solo i risultati che soddisfano i criteri. La tabella fornisce un'anteprima dei dati che conterrà il rapporto.
Nota
Ti consigliamo di aggiungere criteri di filtro. In caso contrario, il rapporto includerà i dati relativi a tutti i risultati attualmente trovati Regione AWS con lo stato Attivo. Se sei l'amministratore di Amazon Inspector di un'organizzazione, questo include i dati relativi ai risultati di tutti gli account membri della tua organizzazione.
Se un report include dati relativi a tutti o a molti risultati, la generazione e l'esportazione del report possono richiedere molto tempo e puoi esportare solo un report alla volta.
-
Scegli Esporta risultati.
-
Nella sezione Impostazioni di esportazione, per Tipo di file di esportazione, specifica un formato di file per il rapporto:
-
Per creare un file JavaScript Object Notation (.json) che contenga i dati, scegliete JSON.
Se scegli l'opzione JSON, il rapporto includerà tutti i campi per ogni risultato. Per un elenco di possibili campi JSON, consulta il tipo di dati Finding nel riferimento all'API Amazon Inspector.
-
Per creare un file con valori separati da virgole (.csv) che contenga i dati, scegli CSV.
Se scegli l'opzione CSV, il rapporto includerà solo un sottoinsieme dei campi per ogni risultato, circa 45 campi che riportano gli attributi chiave di un risultato. I campi includono: Tipo di ricerca, Titolo, Severità, Stato, Descrizione, Primo visualizzato, Ultima visualizzazione, Correzione disponibile, ID AWS account, ID risorsa, Tag risorsa e Correzione. Questi si aggiungono ai campi che raccolgono i dettagli del punteggio e gli URL di riferimento per ogni risultato. Di seguito è riportato un esempio delle intestazioni CSV in un rapporto sui risultati:
AWS ID dell'account Gravità Correzione disponibile Tipo di ricerca Title Descrizione Ricerca di ARN visto per la prima volta Visto l'ultima volta Ultimo aggiornamento ID risorsa Tag di immagine del contenitore Regione Piattaforma Tag delle risorse Pacchetti interessati Versione installata del pacchetto Risolto nella versione Package Remediation (Percorso del file) Percorsi di rete Età (giorni) Correzione Punteggio Inspector Inspector Score vettoriale Stato ID di vulnerabilità Vendor Severità del fornitore Avviso al fornitore Pubblicazione dell'avviso per i fornitori Punteggio NVD CVSS3 Vettore NVD CVSS3 Punteggio NVD CVSS2 Vettore NVD CVSS2 Punteggio CVSS3 del fornitore Fornitore CVSS3 Vector Punteggio CVSS2 del fornitore Vettore CVSS2 del fornitore Tipo di risorsa Ami Risorsa pubblica Ipv4 Risorsa privata Ipv4 Risorsa Ipv6 Risorsa Vpc Intervallo porte Exploit disponibile Ultimo sfruttato a Strati Lambda Tipo di pacchetto Lambda Lambda Ultimo aggiornamento a URL di riferimento
-
-
In Export location, per S3 URI, specifica il bucket S3 in cui desideri archiviare il report:
-
Per archiviare il report in un bucket di proprietà del tuo account, scegli Browse S3. Amazon Inspector visualizza una tabella dei bucket S3 per il tuo account. Seleziona la riga per il bucket che desideri, quindi scegli Scegli.
Suggerimento
Per specificare anche un prefisso di percorso Amazon S3 per il report, aggiungi una barra (/) e il prefisso al valore nella casella URI S3. Amazon Inspector include quindi il prefisso quando aggiunge il report al bucket e Amazon S3 genera il percorso specificato dal prefisso.
Ad esempio, se desideri utilizzare il tuo Account AWS ID come prefisso e l'ID dell'account è 111122223333,
/111122223333aggiungilo al valore nella casella URI S3.Un prefisso è simile al percorso di una directory all'interno di un bucket S3. Ti consente di raggruppare oggetti simili in un bucket, proprio come potresti archiviare file simili in una cartella su un file system. Per ulteriori informazioni, consulta Organizzazione degli oggetti nella console Amazon S3 utilizzando le cartelle nella Guida per l'utente di Amazon Simple Storage Service.
-
Per archiviare il report in un bucket di proprietà di un altro account, inserisci l'URI del bucket, ad esempio
s3://DOC-EXAMPLE_BUCKET, dove DOC-EXAMPLE_BUCKET è il nome del bucket. Il proprietario del bucket può trovare queste informazioni per te nelle proprietà del bucket.
-
-
Per la chiave KMS, specifica quella AWS KMS key che desideri utilizzare per crittografare il rapporto:
-
Per utilizzare una chiave del tuo account, scegli la chiave dall'elenco. L'elenco mostra le chiavi KMS con crittografia simmetrica gestite dal cliente per il tuo account.
-
Per utilizzare una chiave di proprietà di un altro account, inserisci l'Amazon Resource Name (ARN) della chiave. Il proprietario della chiave può trovare queste informazioni per te nelle proprietà della chiave. Per ulteriori informazioni, consulta Finding the key ID and key ARN nella AWS Key Management Service Developer Guide.
-
-
Scegli Export (Esporta).
Amazon Inspector genera il report dei risultati, lo crittografa con la chiave KMS specificata e lo aggiunge al bucket S3 specificato. A seconda del numero di risultati che hai scelto di includere nel report, questo processo può richiedere diversi minuti o ore. Una volta completata l'esportazione, Amazon Inspector visualizza un messaggio che indica che il report dei risultati è stato esportato correttamente. Facoltativamente, scegli Visualizza report nel messaggio per accedere al report in Amazon S3.
Tieni presente che puoi esportare solo un report alla volta. Se è attualmente in corso un'esportazione, attendi il completamento dell'esportazione prima di provare a esportare un altro rapporto.
Risolvi gli errori di esportazione
Se si verifica un errore durante il tentativo di esportare un report sui risultati, Amazon Inspector visualizza un messaggio che descrive l'errore. Puoi utilizzare le informazioni contenute in questo argomento come guida per identificare le possibili cause e soluzioni dell'errore.
Ad esempio, verifica che il bucket S3 sia nella versione corrente Regione AWS e che la politica del bucket consenta ad Amazon Inspector di aggiungere oggetti al bucket. Verifica inoltre che AWS KMS key sia abilitato nella regione corrente e assicurati che la policy chiave consenta ad Amazon Inspector di utilizzare la chiave.
Dopo aver risolto l'errore, prova a esportare nuovamente il report.
Non è possibile avere più segnalazioni di errore
Se stai tentando di creare un report ma Amazon Inspector lo sta già generando, riceverai un errore che indica Motivo: impossibile avere più report in corso. Questo errore si verifica perché Amazon Inspector può generare un solo report per account alla volta.
Per risolvere l'errore, puoi attendere che l'altro report finisca o annullarlo prima di richiedere un nuovo report.
È possibile controllare lo stato di un rapporto utilizzando l'GetFindingsReportStatusoperazione, questa operazione restituisce l'ID del rapporto di qualsiasi rapporto attualmente in fase di generazione.
Se necessario, è possibile utilizzare l'ID del rapporto fornito dall'GetFindingsReportStatusoperazione per annullare un'esportazione attualmente in corso utilizzando l'CancelFindingsReportoperazione.
