翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Inspector の開始方法
このチュートリアルでは、Amazon Inspector の実践的入門を示します。
ステップ 1 では、スタンドアロンアカウントまたは Amazon Inspector の委任された管理者として、マルチアカウント環境で AWS Organizations を使用して Amazon Inspector スキャンをアクティブ化します。
ステップ 2 では、コンソールに表示される Amazon Inspector の検出結果を理解する方法について説明します。
注記
このチュートリアルでは、現在の でタスクを完了します AWS リージョン。他のリージョンで Amazon Inspector をセットアップするには、それぞれのリージョンで以下の手順を実行する必要があります。
開始する前に
Amazon Inspector は、Amazon EC2 インスタンス、Amazon ECR コンテナイメージ、および AWS Lambda 関数を継続的にスキャンし、ソフトウェアの脆弱性や意図しないネットワークへの露出を検出する脆弱性管理サービスです。
Amazon Inspector をアクティブ化する前に、次の点に注意してください。
-
Amazon Inspector はリージョナルサービスであり、データはサービス AWS リージョン を使用する に保存されます。このチュートリアルで完了する設定手順は、Amazon Inspector でモニタリング AWS リージョン する各 で繰り返す必要があります。
-
Amazon Inspector では、Amazon EC2 インスタンス、Amazon ECR コンテナイメージ、および AWS Lambda 関数スキャンを柔軟にアクティブ化できます。スキャンタイプは、Amazon Inspector コンソールのアカウント管理ページから、または Amazon Inspector API を使用して管理できます。
-
Amazon Inspector は、Amazon EC2 Systems Manager (SSM) エージェントがインストールされアクティブ化になっている場合にのみ、EC2 インスタンスの共通脆弱性識別子 (CVE) データを提供できます。このエージェントは多くの EC2 インスタンスにプリインストールされていますが、手動でアクティブ化する必要がある場合があります。SSM Agent のステータスにかかわらず、すべての EC2 インスタンスがスキャンされ、ネットワークの露出の問題がないかどうかが確認されます。Amazon EC2 のスキャンを設定する方法については、「Amazon EC2 インスタンスのスキャン」を参照してください。Amazon ECR と AWS Lambda 関数スキャンでは、エージェントを使用する必要はありません。
-
の管理者権限を持つ IAM ユーザー ID は、Amazon Inspector を有効に AWS アカウント できます。データ保護の目的で、 認証情報を保護し、 AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。そうすることで、各ユーザーには Amazon Inspector の管理に必要なアクセス許可のみが与えられます。Amazon Inspector を有効にするために必要なアクセス許可の詳細については、「AWS マネージドポリシー: AmazonInspector2FullAccess」を参照してください。
-
いずれかのリージョンで Amazon Inspector をはじめてアクティブ化すると、
AWSServiceRoleForAmazonInspector2
というアカウントのグローバルなサービスリンクロールが作成されます。このロールには、Amazon Inspector が脆弱性検出結果を生成するために Amazon Inspector がソフトウェアパッケージの詳細を収集し、Amazon VPC 設定を分析することを可能にする許可と信頼ポリシーが含まれます。詳細については、「Amazon Inspector でのサービスにリンクされたロールの使用」を参照してください。サービスにリンクされたロールの詳細については、「サービスリンクロールの使用」を参照してください。
ステップ 1: Amazon Inspector をアクティブ化する
Amazon Inspector を使用する最初のステップは、お客様の AWS アカウントでそれをアクティブ化することです。Amazon Inspector のスキャンタイプをアクティブ化すると、Amazon Inspector はただちにすべての対象リソースの検出とスキャンを開始します。
一元化された管理者アカウントを使用して組織内の複数のアカウントの Amazon Inspector を管理する場合は、Amazon Inspector の委任された管理者を割り当てる必要があります。以下のいずれかのオプションを選択し、お使いの環境に合わせて Amazon Inspector をアクティブ化する方法を確認します。
ステップ 2: Amazon Inspector の検出結果を表示する
Amazon Inspector コンソールで、または API を使用して、お使いの環境の検出結果を表示できます。すべての検出結果も Amazon EventBridge と AWS Security Hub (アクティブ化されている場合) にプッシュされます。さらに、コンテナイメージの検出結果は Amazon ECR にプッシュされます。
Amazon Inspector コンソールには、検出結果の表示形式がいくつか用意されています。Amazon Inspector ダッシュボードには環境に対するリスクの概要が表示され、[検出結果] テーブルでは特定の検出結果の詳細を表示できます。
このステップでは、[検出結果] テーブルと検出結果ダッシュボードを使用して検出結果の詳細を調べます。Amazon Inspector ダッシュボードの詳細については、「ダッシュボードについて」を参照してください。
Amazon Inspector コンソールでご使用の環境の検出結果の詳細を表示するには:
-
https://console.aws.amazon.com/inspector/v2/home
で Amazon Inspector コンソールを開きます。 -
ナビゲーションペインの [ダッシュボード] を選択します。ダッシュボード内の任意のリンクを選択して、その項目の詳細が記載された Amazon Inspector コンソールのページに移動できます。
-
ナビゲーションペインで [検出結果] を選択します。
-
デフォルトでは、すべての検出結果タブが表示され、環境のすべての EC2 インスタンス、ECR コンテナイメージ、 AWS Lambda 関数の検出結果が表示されます。
-
検出結果リストのタイトル列で検出結果名を選択すると、その検出結果の詳細ペインが開きます。すべての検出結果には [検出結果の詳細] タブがあります。[検出結果の詳細] タブは次の方法で操作できます。
-
脆弱性の詳細については、[脆弱性の詳細] セクションのリンクをクリックして、この脆弱性に関するドキュメントを開いてください。
-
リソースをさらに調査するには、[影響を受けるリソース] セクションの「リソース ID」リンクをクリックして、影響を受けるリソースのサービスコンソールを開きます。
パッケージ脆弱性タイプの結果には、インスペクタースコアと脆弱性インテリジェンスタブもあり、その結果の Amazon Inspector スコアがどのように計算されたかを説明し、検出結果に関連する Common Vulnerability and Exploits (CVE) に関する情報を提供します。検出結果タイプの詳細については、「Amazon Inspector での 検出結果タイプ」を参照してください。
-