Guida introduttiva ad Amazon Inspector - Amazon Inspector
Prima di attivare Amazon InspectorTutorial sulle nozioni di base

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Guida introduttiva ad Amazon Inspector

Questa sezione fornisce informazioni da prendere in considerazione prima di attivare Amazon Inspector e un tutorial introduttivo che descrive come attivare Amazon Inspector e visualizzare i risultati nella console Amazon Inspector e con Amazon Inspector. API

Prima di attivare Amazon Inspector

Prima di attivare Amazon Inspector, considera quanto segue:

Amazon Inspector è un servizio regionale

I tuoi dati vengono archiviati nel Regione AWS punto in cui attivi Amazon Inspector. Ripeti i passaggi indicati nella prima parte del tutorial introduttivo per tutti i Regioni AWS casi in cui intendi utilizzare Amazon Inspector.

Amazon Inspector crea i ruoli collegati ai servizi 2 e AWSServiceRoleForAmazonInspector AWSServiceRoleForAmazonInspector2Agentless

Un ruolo collegato a un servizio è un ruolo in AWS Identity and Access Management (IAM) collegato a un servizio. AWS AWSServiceRoleForAmazonInspector2e AWSServiceRoleForAmazonInspector2Agentlessconsenti ad Amazon Inspector di accedere ai Servizi AWS requisiti necessari per eseguire le valutazioni di sicurezza.

IAMle identità con autorizzazioni di amministratore possono abilitare Amazon Inspector

Proteggi le tue credenziali creando utenti con o. IAMAWS IAM Identity Center Questo ti aiuta ad assicurarti che gli utenti dispongano solo delle autorizzazioni necessarie per gestire Amazon Inspector. Per ulteriori informazioni, consulta la policy AWS gestita:. AmazonInspectorFullAccess

La scansione ibrida viene abilitata automaticamente

La scansione ibrida include la scansione basata su agenti e la scansione senza agenti. Per impostazione predefinita, Amazon Inspector utilizza questi metodi di scansione su tutte le istanze Amazon EC2 idonee. Per ulteriori informazioni, consulta Scansione EC2 delle istanze Amazon con Amazon Inspector.

ECRLa scansione Amazon e la scansione della funzione Lambda non richiedono l'agente SSM

La scansione basata su agenti utilizza l'SSMagente per raccogliere l'inventario del software. La scansione senza agente utilizza le EBS istantanee di Amazon per raccogliere l'inventario del software.

Nota

Per impostazione predefinita, l'SSMagente è già installato nelle EC2 istanze Amazon basate su Amazon Machine Images. Tuttavia, in alcuni casi potrebbe essere necessario attivare l'SSMagente manualmente. Per ulteriori informazioni, consulta Lavorare con l'SSMagente nella Guida AWS Systems Manager per l'utente.

I costi mensili si basano sui carichi di lavoro scansionati

Per ulteriori informazioni, consulta Prezzi di Amazon Inspector.

Tutorial sulle nozioni di base

Nella prima parte di questo tutorial, attivi Amazon Inspector per un ambiente con account autonomo o con più account. Nella seconda parte di questo tutorial, imparerai a visualizzare i risultati nella console Amazon Inspector e con Amazon Inspector. API

Attivazione di Amazon Inspector

Completa una delle seguenti procedure per attivare Amazon Inspector. Una volta attivato Amazon Inspector, Amazon Inspector inizia automaticamente a rilevare i carichi di lavoro e a scansionarli continuamente per individuare vulnerabilità del software ed esposizione involontaria alla rete.

Standalone account environment

  1. Accedi utilizzando le tue credenziali, quindi apri la console https://console.aws.amazon.com/inspector/ Amazon Inspector su v2/home.

  2. Seleziona Inizia.

  3. Scegli Activate Amazon Inspector.

Quando attivi Amazon Inspector in un account standalone, tutti i tipi di scansione vengono attivati per impostazione predefinita. Puoi gestire i tipi di scansione attivati dalla pagina di gestione dell'account all'interno della console Amazon Inspector o utilizzando Amazon Inspector. APIs Dopo l'attivazione, Amazon Inspector rileva automaticamente e avvia la scansione di tutte le risorse idonee. Consulta le seguenti informazioni sul tipo di scansione per capire quali risorse sono idonee di default:

EC2Scansione Amazon

Per fornire dati Common Vulnerabilities and Exposures (CVE) per la tua EC2 istanza, Amazon Inspector richiede che l'agente AWS Systems Manager (SSM) sia installato e attivato. Questo agente è preinstallato in molte EC2 istanze, ma potrebbe essere necessario attivarlo manualmente. Indipendentemente dallo stato dell'SSMagente, tutte le EC2 istanze verranno analizzate per individuare eventuali problemi di esposizione alla rete. Per ulteriori informazioni sulla configurazione delle scansioni per AmazonEC2, consulta. Scansione EC2 delle istanze Amazon con Amazon Inspector

ECRScansione Amazon

Quando attivi Amazon scan, Amazon Inspector converte tutti gli archivi di container nel tuo registro privato configurati per la ECR scansione Basic predefinita fornita da Amazon ECR in scansione avanzata con scansione continua. Puoi anche configurare facoltativamente questa impostazione per eseguire la scansione solo in modalità push o per scansionare determinati repository tramite regole di inclusione. Tutte le immagini inviate negli ultimi 30 giorni sono programmate per la scansione a vita, questa impostazione di ECR scansione di Amazon può essere modificata in qualsiasi momento. Per ulteriori informazioni sulla configurazione delle scansioni per AmazonECR, consulta. Scansione delle immagini dei container Amazon Elastic Container Registry con Amazon Inspector

AWS Lambda funzione di scansione

Quando attivi la scansione delle AWS Lambda funzioni, Amazon Inspector rileva le funzioni Lambda nel tuo account e inizia immediatamente a scansionarle per individuare eventuali vulnerabilità. Amazon Inspector analizza nuove funzioni e layer Lambda quando vengono distribuiti e li scansiona nuovamente quando vengono aggiornati o quando vengono pubblicati nuovi Common Vulnerabilities and Exposures (). CVEs Amazon Inspector offre due diversi livelli di scansione della funzione Lambda. Per impostazione predefinita, quando attivi Amazon Inspector per la prima volta, viene attivata la scansione standard Lambda, che analizza le dipendenze dei pacchetti nelle tue funzioni. Puoi anche attivare la scansione del codice Lambda per scansionare il codice dello sviluppatore nelle tue funzioni alla ricerca di vulnerabilità del codice. Per ulteriori informazioni sulla configurazione della scansione della funzione Lambda, vedere. AWS Lambda Funzioni di scansione con Amazon Inspector

Multi-account environment
Importante

Per completare questi passaggi, devi far parte della stessa organizzazione di tutti gli account che desideri gestire e avere accesso all'account di AWS Organizations gestione per delegare un amministratore di Amazon Inspector all'interno della tua organizzazione. Potrebbero essere necessarie autorizzazioni aggiuntive per delegare un amministratore. Per ulteriori informazioni, consulta Autorizzazioni necessarie per designare un amministratore delegato.

Nota

Per abilitare in modo programmatico Amazon Inspector per più account in più regioni, puoi utilizzare uno script di shell sviluppato da Amazon Inspector. Per ulteriori informazioni sull'uso di questo script, consulta inspector2 - on. enablement-with-cli GitHub

Delega di un amministratore per Amazon Inspector

  1. Accedi all'account di AWS Organizations gestione.

  2. Apri la console Amazon Inspector su v2/home. https://console.aws.amazon.com/inspector/

  3. Nel riquadro Amministratore delegato, inserisci l'ID a dodici cifre di chi desideri designare come amministratore delegato di Amazon Inspector per l'organizzazione. Account AWS Quindi scegli Delegato. Quindi, nella finestra di conferma, scegli nuovamente Delega.

    Nota

    Amazon Inspector viene attivato per il tuo account quando deleghi un amministratore.

Aggiungere account membri

In qualità di amministratore delegato, puoi attivare la scansione per qualsiasi membro associato all'account di gestione Organizations. Questo flusso di lavoro attiva tutti i tipi di scansione per tutti gli account dei membri. Tuttavia, i membri possono anche attivare Amazon Inspector per i propri account oppure le scansioni di un servizio possono essere attivate selettivamente dall'amministratore delegato. Per ulteriori informazioni, consulta Gestione di più account .

  1. Accedi all'account amministratore delegato.

  2. Apri la console Amazon Inspector su v2/home. https://console.aws.amazon.com/inspector/

  3. Nel pannello di navigazione, scegli Gestione account. La tabella Account mostra tutti gli account membro associati all'account di gestione Organizations.

  4. Dalla pagina Gestione account, puoi scegliere Attiva la scansione per tutti gli account dal banner superiore per attivare EC2 le istanze, le immagini dei ECR contenitori e la scansione delle AWS Lambda funzioni per tutti gli account dell'organizzazione. In alternativa, puoi scegliere gli account che desideri aggiungere come membri selezionandoli nella tabella Account. Quindi, dal menu Attiva, seleziona Tutte le scansioni.

  5. (Facoltativo) Attiva la funzionalità Attiva automaticamente Inspector per i nuovi account membro e seleziona i tipi di scansione da includere per attivare tali scansioni per tutti i nuovi account membro aggiunti alla tua organizzazione.

Amazon Inspector attualmente offre scansioni di EC2 istanze, immagini di ECR container e funzioni. AWS Lambda Dopo aver attivato Amazon Inspector, inizia automaticamente a scoprire e scansionare tutte le risorse idonee. Consulta le seguenti informazioni sul tipo di scansione per capire quali risorse sono idonee di default:

EC2Scansione Amazon

Per fornire dati sulle CVE vulnerabilità per le tue EC2 istanze, Amazon Inspector richiede l'installazione e l'attivazione dell'agente Systems AWS Manager SSM (). Questo agente è preinstallato in molte EC2 istanze, ma potrebbe essere necessario attivarlo manualmente. Indipendentemente dallo stato dell'SSMagente, tutte le EC2 istanze verranno analizzate per individuare eventuali problemi di esposizione alla rete. Per ulteriori informazioni sulla configurazione delle scansioni per AmazonEC2, consulta. Scansione EC2 delle istanze Amazon con Amazon Inspector

ECRScansione Amazon

Quando attivi Amazon scan, Amazon Inspector converte tutti gli archivi di container nel tuo registro privato configurati per la ECR scansione Basic predefinita fornita da Amazon ECR in scansione avanzata con scansione continua. Puoi anche configurare facoltativamente questa impostazione per eseguire la scansione solo in modalità push o per scansionare determinati repository tramite regole di inclusione. È prevista la scansione a vita per tutte le immagini inviate negli ultimi 30 giorni. Questa impostazione di ECR scansione di Amazon può essere modificata dall'amministratore delegato in qualsiasi momento. Per ulteriori informazioni sulla configurazione delle scansioni per AmazonECR, consulta. Scansione delle immagini dei container Amazon Elastic Container Registry con Amazon Inspector

AWS Lambda funzione di scansione

Quando attivi la scansione delle AWS Lambda funzioni, Amazon Inspector rileva le funzioni Lambda nel tuo account e inizia immediatamente a scansionarle per individuare eventuali vulnerabilità. Amazon Inspector analizza nuove funzioni e layer Lambda quando vengono distribuiti e li scansiona nuovamente quando vengono aggiornati o quando vengono pubblicati nuovi Common Vulnerabilities and Exposures (). CVEs Per ulteriori informazioni sulla configurazione della scansione della funzione Lambda, vedere. AWS Lambda Funzioni di scansione con Amazon Inspector

Visualizzazione dei risultati di Amazon Inspector

Puoi visualizzare i risultati nella console Amazon Inspector e con Amazon Inspector. API Nella console, puoi visualizzare i risultati nella dashboard e nella schermata Findings. Per completare questa parte del tutorial, consulta Visualizzazione dei risultati di Amazon Inspector.

Nota

Poiché hai appena attivato Amazon Inspector, potresti non avere alcun risultato.