翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Inspector の検出結果レポートのエクスポート
検出結果レポートは、検出結果の詳細なスナップショットを提供する CSVまたは JSON ファイルです。検出結果レポートは AWS Security Hub、、Amazon EventBridge、および Amazon Simple Storage Service (Amazon S3) にエクスポートできます。検出結果レポートを設定するときは、レポートに含める検出結果を指定します。デフォルトでは、検出結果レポートにはアクティブな検出結果のデータがすべて含まれています。組織の委任管理者である場合、結果レポートには組織内のすべてのメンバーアカウントのデータが含まれます。結果レポートをカスタマイズするには、フィルターを作成して適用します。
検出結果レポートをエクスポートすると、Amazon Inspector は AWS KMS key 指定した を使用して検出結果データを暗号化します。Amazon Inspector が検出結果を暗号化すると、検出結果は指定した Amazon S3 バケットに保存されます。 AWS KMS キーは Amazon S3 バケット AWS リージョン と同じ で使用する必要があります。 AWS KMS キーポリシーは Amazon Inspector がそれを使用することを許可し、Amazon S3 バケットポリシーは Amazon Inspector がそれにオブジェクトを追加することを許可する必要があります。検出結果レポートをエクスポートしたら、Amazon S3 バケットからダウンロードするか、新しい場所に転送できます。Amazon S3 バケットを、エクスポートされた他の検出結果レポートのリポジトリとして使用することもできます。
このセクションでは、Amazon Inspector コンソールで結果レポートをエクスポートする方法について説明します。以下のタスクでは、アクセス許可の検証、Amazon S3 バケットの設定、 の設定 AWS KMS key、検出結果レポートの設定とエクスポートを行う必要があります。
注記
Amazon Inspector を使用して検出結果レポートをエクスポートする場合CreateFindingsReportAPI、アクティブな検出結果のみを表示できます。抑制またはクローズされた検出結果を表示するには、フィルター条件 CLOSED
の一部として SUPPRESSED
または を指定する必要があります。 https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html
タスク
ステップ 1: アクセス許可を確認する
注記
結果レポートを初めてエクスポートした後、ステップ 1~3 はオプションです。これらのステップは、同じ Amazon S3 バケットとエクスポートされた AWS KMS key 他の検出結果レポートのどちらを使用するかに基づいています。ステップ 1~3 を完了した後に検出結果レポートをプログラムでエクスポートする場合は、Amazon Inspector の CreateFindingsReportオペレーションを使用しますAPI。
Amazon Inspector から調査結果レポートをエクスポートする前に、調査結果レポートのエクスポートと、レポートの暗号化と保存のためのリソースの設定の両方に必要なアクセス許可があることを確認してください。アクセス許可を確認するには、 AWS Identity and Access Management (IAM) を使用して IAM ID にアタッチされているIAMポリシーを確認します。次にこれらのポリシー内の情報を、調査結果レポートをエクスポートするために実行を許可されなければならない以下のアクションのリストと比較します。
- Amazon Inspector
-
Amazon Inspector の場合、次のアクションの実行が許可されていることを確認します。
-
inspector2:ListFindings
-
inspector2:CreateFindingsReport
これらのアクションにより、アカウントの検出結果データを取得し、そのデータを調査結果レポートにエクスポートできます。
サイズの大きいレポートをプログラムでエクスポートする予定の場合は、レポートのステータスを確認する、
inspector2:CancelFindingsReport
、進行中のエクスポートをキャンセルする操作が許可されていることも確認してください。inspector2:GetFindingsReportStatus
-
- AWS KMS
-
では AWS KMS、次のアクションを実行できることを確認します。
-
kms:GetKeyPolicy
-
kms:PutKeyPolicy
これらのアクションにより、Amazon Inspector にレポートの暗号化に使用させたい AWS KMS key のキーポリシーを取得して更新できます。
Amazon Inspector コンソールを使用してレポートをエクスポートするには、次の AWS KMS アクションを実行できることを確認します。
-
kms:DescribeKey
-
kms:ListAliases
これらのアクションにより、アカウントの AWS KMS keys に関する情報を取得して表示することが許可されます。その後、これらのキーのいずれかを選択してレポートを暗号化できます。
レポートの暗号化用に新しいKMSキーを作成する場合は、
kms:CreateKey
アクションの実行も許可する必要があります。 -
- Amazon S3
-
Amazon S3 の場合、次のアクションの実行が許可されていることを確認します。
-
s3:CreateBucket
-
s3:DeleteObject
-
s3:PutBucketAcl
-
s3:PutBucketPolicy
-
s3:PutBucketPublicAccessBlock
-
s3:PutObject
-
s3:PutObjectAcl
これらのアクションにより、Amazon Inspector でレポートを保存する S3 バケットを作成して設定できます。また、バケットにオブジェクトを追加したり、バケットからオブジェクトを削除したりすることもできます。
Amazon Inspector コンソールを使用してレポートをエクスポートする予定がある場合は、
s3:ListAllMyBuckets
およびs3:GetBucketLocation
アクションの実行が許可されていることも確認してください。これらのアクションにより、アカウントの S3 バケットに関する情報を取得して表示することができます。その後、レポートを保存するバケットを 1 つ選択できます。 -
必要なアクションの 1 つ以上を実行できない場合は、次のステップに進む前に、 AWS 管理者にサポートを依頼してください。
ステップ 2: S3 バケットを設定する
アクセス許可を確認したら、調査結果レポートを保存する S3 バケットを設定します。これは、自分のアカウントの既存のバケット、または別の が所有する既存のバケット AWS アカウント で、アクセスが許可されています。レポートを新しいバケットに保存する場合は、先に進む前にバケットを作成してください。
S3 バケットは、エクスポートする検出結果データ AWS リージョン と同じ にある必要があります。例えば、Amazon Inspector を米国東部 (バージニア北部) リージョンで使用していて、そのリージョンの検出結果データをエクスポートする場合、バケットも米国東部 (バージニア北部) リージョンにある必要があります。
さらに、バケットのポリシーでは、Amazon Inspector がバケットにオブジェクトを追加することを許可する必要があります。このトピックでは、バケットポリシーを更新する方法について説明し、ポリシーに追加するステートメントの例も示します。バケットポリシーの追加と更新の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットポリシーの使用」を参照してください。
別のアカウントが所有する S3 バケットにレポートを保存する場合は、バケットの所有者と連携してバケットのポリシーを更新します。また、バケットURIの も取得します。レポートをエクスポートURIするときに、これを入力する必要があります。
バケットポリシーを更新するには
-
認証情報を使用してサインインし、https://console.aws.amazon.com/s
3 で Amazon S3 コンソールを開きます。 -
ナビゲーションペインで、バケットを選択します。
-
調査結果レポートを保存する S3 バケットを選択します。
-
アクセス許可 タブを選択します。
-
バケットポリシー セクションで、編集 を選択します。
-
次のステータス例をクリップボードにコピーします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "allow-inspector", "Effect": "Allow", "Principal": { "Service": "inspector2.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket
/*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333
" }, "ArnLike": { "aws:SourceArn": "arn:aws:inspector2:Region
:111122223333
:report/*" } } } ] } -
Amazon S3 コンソールのバケットポリシーエディタで、前のステートメントをポリシーに貼り付けてポリシーに追加します。
ステートメントをポリシーに追加するときに、構文が有効であることを確認します。バケットポリシーは JSON 形式を使用します。これは、ステートメントをポリシーに追加する場所に応じて、ステートメントの前後にカンマを追加する必要があることを意味します。ステートメントを最後のステートメントとして追加する場合は、前のステートメントの右中括弧の後にカンマを追加します。最初のステートメントとして追加するか、既存の 2 つのステートメントの間に追加する場合は、右中括弧の後にカンマを追加します。
-
環境に合った正しい値でステートメントを更新します。
-
amzn-s3-demo-bucket
はバケットの名前です。 -
111122223333
は、 のアカウント ID です AWS アカウント。 -
Region
は AWS リージョン 、Amazon Inspector を使用していて、Amazon Inspector にバケットへのレポートの追加を許可する です。たとえば、米国東部 (バージニア北部) リージョンの場合はus-east-1
です。
注記
手動で有効な で Amazon Inspector を使用している場合は AWS リージョン、適切なリージョンコードを
Service
フィールドの値に追加します。このフィールドは Amazon Inspector サービスプリンシパルを指定します。たとえば、リージョンコード
me-south-1
が設定されている中東 (バーレーン) リージョンで Amazon Inspector を使用している場合は、ステートメントでinspector2.amazonaws.com
をinspector2.me-south-1.amazonaws.com
に置き換えます。ステートメントの例は、2 つのIAMグローバル条件キーを使用する条件を定義することに注意してください。
-
aws:SourceAccount – この条件により、Amazon Inspector はアカウントのバケットにのみレポートを追加できます。これにより、Amazon Inspector が他のアカウントのバケットにレポートを追加できなくなります。具体的には、条件は、
aws:SourceArn
条件で指定されたリソースおよびアクションに対して、バケットを使用できるアカウントを指定します。バケット内の追加アカウントのレポートを保存するには、追加のアカウントごとにアカウント ID をこの条件に追加します。例:
"aws:SourceAccount": [111122223333,444455556666,123456789012]
-
aws:SourceArn – この条件は、バケットに追加されるオブジェクトのソースに基づいてバケットへのアクセスを制限します。これにより、他の AWS のサービス がバケットにオブジェクトを追加できなくなります。また、Amazon Inspector がお客様のアカウントで他のアクションを実行中にオブジェクトをバケットに追加するのを防ぐこともできます 具体的には、Amazon Inspectorは、オブジェクトが調査結果レポートであり、かつ、それらのレポートがアカウントによって作成され、かつ、条件で指定されたリージョンにある場合にのみ、オブジェクトをバケットに追加することができます。
Amazon Inspector が追加のアカウントに対して指定されたアクションを実行できるようにするには、追加のアカウントごとに Amazon リソースネーム (ARNs) をこの条件に追加します。例:
"aws:SourceArn": [ "arn:aws:inspector2:
Region
:111122223333
:report/*", "arn:aws:inspector2:Region
:444455556666
:report/*", "arn:aws:inspector2:Region
:123456789012
:report/*" ]aws:SourceAccount
とaws:SourceArn
の条件によって指定されたアカウントは、一致する必要があります。
どちらの条件も、Amazon Inspector が Amazon S3 とのトランザクション中に [混乱した代理] として使用されるのを防ぐのに役立ちます。お勧めしませんが、バケットポリシーからこれらの条件を削除できます。
-
-
バケットポリシーの更新が完了したら、変更を保存する を選択します。
ステップ 3: AWS KMS keyを設定する
アクセス許可を確認して S3 バケットを設定したら、Amazon Inspector で調査結果レポートを暗号化するためにどの AWS KMS key を使用するかを決定します。キーは、カスタマー管理の対称暗号化KMSキーである必要があります。さらに、キーは、レポートを保存するように設定した S3 バケット AWS リージョン と同じ にある必要があります。
キーは、独自のアカウントからの既存のKMSキー、または別のアカウントが所有する既存のKMSキーにすることができます。新しいKMSキーを使用する場合は、先に進む前にキーを作成します。別のアカウントが所有する既存のキーを使用する場合は、キーの Amazon リソースネーム (ARN) を取得します。Amazon Inspector からレポートをエクスポートARNするときに、これを入力する必要があります。KMS キーの設定の作成と確認については、AWS Key Management Service 「 デベロッパーガイド」の「キーの管理」を参照してください。
使用するKMSキーを特定したら、キーを使用するアクセス許可を Amazon Inspector に付与します。そうしないと、Amazon Inspector がレポートを暗号化しエクスポートすることができません。Amazon Inspector にキーを使用するアクセス許可を付与するには、キーのキーポリシーを更新します。キーポリシーとKMSキーへのアクセス管理の詳細については、AWS Key Management Service 「 デベロッパーガイド」の「 のキーポリシー AWS KMS」を参照してください。
注記
以下の手順は、Amazon Inspector が既存のキーを使用できるように更新するためのものです。既存のキーがない場合は、「 デベロッパーガイド」の「キーの作成」を参照してください。 AWS Key Management Service
キーポリシーを更新するには
-
認証情報を使用してサインインし、 AWS KMS コンソールを https://console.aws.amazon.com/kms
で開きます。 -
ナビゲーションペインで、[カスタマーマネージドキー] を選択します。
-
レポートの暗号化に使用するKMSキーを選択します。キーは対称暗号化 (SYMMETRIC_DEFAULT) キーである必要があります。
-
アクセスポリシー タブで 編集 を選択します。[編集] ボタンのあるキーポリシーが表示されない場合は、まず [ポリシービューへの切り替え] を選択する必要があります。
-
次のステートメント例をクリップボードにコピーします。
{ "Sid": "Allow Amazon Inspector to use the key", "Effect": "Allow", "Principal": { "Service": "inspector2.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "
111122223333
" }, "ArnLike": { "aws:SourceArn": "arn:aws:inspector2:Region
:111122223333
:report/*" } } } -
AWS KMS コンソールのキーポリシーエディタで、前述のステートメントをキーポリシーに貼り付けてポリシーに追加します。
ステートメントをポリシーに追加するときに、構文が有効であることを確認します。キーポリシーは JSON 形式を使用します。これは、ステートメントをポリシーに追加する場所に応じて、ステートメントの前後にカンマを追加する必要があることを意味します。ステートメントを最後のステートメントとして追加する場合は、前のステートメントの右中括弧の後にカンマを追加します。最初のステートメントとして追加するか、既存の 2 つのステートメントの間に追加する場合は、右中括弧の後にカンマを追加します。
-
環境に合った正しい値でステートメントを更新します。
-
111122223333
は、 のアカウント ID です AWS アカウント。 -
Region
は、Amazon Inspector が キーを使用してレポートを暗号化することを許可する AWS リージョン です。たとえば、米国東部 (バージニア北部) リージョンの場合はus-east-1
です。
注記
手動で有効な で Amazon Inspector を使用している場合は AWS リージョン、適切なリージョンコードを
Service
フィールドの値に追加します。たとえば、リージョンコードが設定されている中東 (バーレーン) リージョンで Amazon Inspector を使用している場合は、inspector2.amazonaws.com
をinspector2.me-south-1.amazonaws.com
に置き換えます。前のステップのバケットポリシーのステートメント例と同様に、この例の
Condition
フィールドは 2 つのIAMグローバル条件キーを使用します。-
aws:SourceAccount – この条件により、Amazon Inspector はアカウントに対してのみ指定されたアクションを実行できます。具体的には、
aws:SourceArn
条件で指定されたリソースおよびアクションに対して、指定されたアクションを実行できるアカウントを決定します。Amazon Inspector が追加のアカウントに対して指定されたアクションを実行することを許可するには、追加の各アカウントのアカウント ID をこの条件に追加します。例:
"aws:SourceAccount": [111122223333,444455556666,123456789012]
-
aws:SourceArn – この条件により、他の が指定されたアクションを実行 AWS のサービス できなくなります。また、Amazon Inspector がお客様のアカウントで他のアクションを実行中にキーを使用するのを防ぐこともできます。つまり、Amazon Inspector は、オブジェクトが調査結果レポートであり、それらのレポートがアカウントによって作成され、条件で指定されたリージョンにある場合にのみ、S3 オブジェクトをキーで暗号化することができます。
Amazon Inspector が追加のアカウントに対して指定されたアクションを実行できるようにするには、この条件に追加のアカウントARNsごとに を追加します。例:
"aws:SourceArn": [ "arn:aws:inspector2:us-east-1:111122223333:report/*", "arn:aws:inspector2:us-east-1:444455556666:report/*", "arn:aws:inspector2:us-east-1:123456789012:report/*" ]
aws:SourceAccount
とaws:SourceArn
の条件によって指定されたアカウントは、一致する必要があります。
これらの条件は、 でのトランザクション中に Amazon Inspector が混乱した代理として使用されるのを防ぐのに役立ちます AWS KMS。お勧めしませんが、ステートメントからこれらの条件を削除できます。
-
-
キーポリシーの更新が完了したら、[変更を保存する] を選択します。
ステップ 4: 調査結果レポートを設定しエクスポートする
注記
一度にエクスポートできる結果レポートは 1 つだけです。エクスポートが現在進行中の場合は、エクスポートが完了するまで待ってから、別の検出結果レポートをエクスポートする必要があります。
アクセス許可を確認し、調査結果レポートを暗号化して保存するリソースを設定したら、レポートを設定してエクスポートします。
調査結果レポートの設定とエクスポートをするには
-
認証情報を使用してサインインし、https://console.aws.amazon.com/inspector/v2/home
で Amazon Inspector コンソールを開きます。 -
ナビゲーションペインで [検出結果] の [すべての検出結果] を選択します。
-
(オプション) 検出結果 テーブルの上にあるフィルターバーを使用して、レポートに含める検出結果を指定するフィルター条件を追加します。条件を追加すると、Amazon Inspector は条件に一致する検出結果のみを含むようにテーブルを更新します。このテーブルには、レポートに含まれるデータのプレビューが表示されます。
注記
フィルター条件を追加することをお勧めします。そうしないと、レポートには、ステータスがアクティブ AWS リージョン の現在のすべての検出結果のデータが含まれます。お客様が組織の Amazon Inspector 管理者である場合、これには、組織内のすべてのメンバーアカウントの検出結果データが含まれます。
レポートにすべてまたは多数の検出結果データが含まれている場合、レポートの生成とエクスポートには時間がかかり、エクスポートは一度に 1 つのレポートしか生成できません。
-
[検出結果をエクスポート] を選択します。
-
[エクスポート設定] セクションの [エクスポートファイルタイプ] で、レポートのファイル形式を指定します。
-
データを含む JavaScript Object Notation (.json) ファイルを作成するには、 を選択しますJSON。
JSON オプションを選択すると、レポートには各結果のすべてのフィールドが含まれます。可能なJSONフィールドのリストについては、Amazon Inspector APIリファレンスの「検出結果データ型」を参照してください。
-
データを含むカンマ区切り値 (.csv) ファイルを作成するには、 を選択しますCSV。
CSV オプションを選択すると、レポートには各検出結果のフィールドのサブセットのみが含まれ、検出結果の主要な属性を報告する約 45 のフィールドが含まれます。フィールドには、[検出結果のタイプ]、[タイトル]、[重要度]、[ステータス]、[説明]、[初回確認日]、[最終確認日]、[使用可能な修正]、[ AWS アカウント ID]、[リソース ID]、[リソースタグ]、および [対策] が含まれます。これらは、各結果URLsのスコアリングの詳細とリファレンスをキャプチャするフィールドに加えてあります。検出結果レポートのCSVヘッダーの例を次に示します。
AWS アカウント ID 緊急度 利用可能な修正 検出結果タイプ タイトル 説明 検出結果 ARN 最初の表示 最終表示 最終更新日 リソース ID コンテナイメージタグ リージョン プラットフォーム リソースタグ 影響を受けるパッケージ パッケージインストールバージョン バージョン で修正済み パッケージの修正 ファイルパス ネットワークパス 年齢 (日) 修正 Inspector スコア Inspector Score ベクトル ステータス 脆弱性 ID Vendor ベンダーの重要度 ベンダーのアドバイザリ ベンダーアドバイザリーが公開されました NVD CVSS3 スコア NVD CVSS3 ベクトル NVD CVSS2 スコア NVD CVSS2 ベクトル ベンダーCVSS3スコア ベンダーCVSS3ベクトル ベンダーCVSS2スコア ベンダーCVSS2ベクトル リソースタイプ Ami リソースパブリック Ipv4 リソースプライベート Ipv4 リソース Ipv6 リソース Vpc ポート範囲 利用可能なエクスプロイト 最終利用日時 Lambda レイヤー Lambda パッケージタイプ Lambda の最終更新日時 リファレンス URL
-
-
S3 のエクスポート場所 で、レポートを保存する S3 バケットを指定します。 S3 URI
-
アカウントが所有するバケットにレポートを保存するには、[S3 の参照] を選択します。Amazon Inspector は、アカウントの S3 バケットのテーブルを表示します。使用したいバケットを選択し、[選択] を選択します。
ヒント
レポートの Amazon S3 パスプレフィックスも指定するには、S3 URI ボックスの値にスラッシュ (/) とプレフィックスを追加します。その後、Amazon Inspector はレポートをバケットに追加するときにプレフィックスを含め、Amazon S3 はプレフィックスで指定されたパスを生成します。
例えば、 AWS アカウント ID をプレフィックスとして使用し、アカウント ID が 111122223333 である場合は、S3 URI ボックスの値
/111122223333
に を追加します。[プレフィックス] は、バケット内のディレクトリパスと類似しています。これにより、類似ファイルをファイルシステム上のフォルダにまとめて保存する場合と同様に、バケット内の類似オブジェクトをまとめてグループ化できます。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「フォルダを使用して Amazon S3 コンソールのオブジェクトを整理する」を参照してください。
-
別のアカウントが所有するバケットにレポートを保存するには、バケットURIの を入力します。例えば、 を入力します。ここで
s3://DOC-EXAMPLE_BUCKET
、DOC-EXAMPLE_BUCKET はバケットの名前です。バケット所有者は、この情報をバケットのプロパティで確認できます。
-
-
KMS キー には、レポートの暗号化 AWS KMS key に使用する を指定します。
-
ご自分のアカウントのキーを使用するには、リストからキーを選択します。このリストには、アカウントのカスタマー管理の対称暗号化KMSキーが表示されます。
-
別のアカウントが所有するキーを使用するには、キーの Amazon リソースネーム (ARN) を入力します。キーの所有者は、キーのプロパティでこの情報をユーザーに代わって確認できます。詳細については、AWS Key Management Service 「 デベロッパーガイド」の「キー ID とキーの検索ARN」を参照してください。
-
-
[エクスポート] をクリックします。
Amazon Inspector は検出結果レポートを生成し、指定したKMSキーで暗号化し、指定した S3 バケットに追加します。レポートに含めるように選択した検出結果の数によっては、このプロセスに数分または数時間かかる場合があります。エクスポートが完了すると、Amazon Inspector は調査結果レポートが正常にエクスポートされたことを示すメッセージを表示します。オプションで、メッセージ内の [レポートを表示] を選択し、Amazon S3 のレポートに移動します。
一度に 1 つのレポートしかエクスポートできないことに注意してください。エクスポートが進行中の場合は、エクスポートが完了するまで待ってから別のレポートをエクスポートしてください。
エクスポートエラーのトラブルシューティング
調査結果レポートをエクスポートしようとしたときにエラーが発生した場合、Amazon Inspector では、エラーを説明するメッセージが表示されます。このトピックに記載されている情報を参考にして、考えられるエラーの原因と解決策を特定してください。
例えば、S3 バケットが現在の にあり AWS リージョン 、バケットのポリシーによって Amazon Inspector がバケットにオブジェクトを追加できることを確認します。また、現在のリージョンで AWS KMS key が有効になっていることを確認し、キーポリシーで Amazon Inspector がキーを使用できるようにしてください。
エラーに対処したら、もう一度レポートのエクスポートを試します。
「Cannot have multiple reports」エラー
レポートを作成しようとしても、Amazon Inspector が既にレポートを生成している場合、「Reason: Cannot have multiple reports in-progress」というエラーが表示されます。このエラーは、Amazon Inspector がアカウントに対して一度に 1 つのレポートしか生成できないために発生します。
エラーを解決するには、他のレポートが終了するのを待つか、キャンセルしてから新しいレポートをリクエストしてください。
GetFindingsReportStatus オペレーションを使用してレポートのステータスを確認できます。このオペレーションは、現在生成されているレポートのレポート ID を返します。
必要に応じて、 GetFindingsReportStatus
オペレーションによって指定されたレポート ID を使用して、 CancelFindingsReportオペレーションを使用して現在進行中のエクスポートをキャンセルできます。