翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Inspector の使用を開始する
このチュートリアルでは、Amazon Inspector の実践的な紹介を行います。
ステップ 1 では、スタンドアロンアカウントで Amazon Inspector スキャンをアクティブ化する方法、またはマルチアカウント環境で Amazon Inspector 委任管理者としてスキャンをアクティブ化する方法について説明します。AWS Organizations
ステップ 2 では、コンソールに表示される Amazon Inspector の結果を理解する方法について説明します。
注記
このチュートリアルでは、AWS リージョン現在のタスクを完了します。他のリージョンで Amazon Inspector をセットアップするには、それぞれのリージョンで以下の手順を実行する必要があります。
開始する前に
Amazon Inspector は、Amazon EC2 インスタンス、Amazon ECR コンテナイメージ、AWS Lambda関数を継続的にスキャンして、ソフトウェアの脆弱性や意図しないネットワークへの露出がないか調べる脆弱性管理サービスです。
Amazon Inspector をアクティベートする前に、次の点に注意してください。
-
Amazon Inspector はリージョナルサービスです。このチュートリアルで行う設定手順はすべて、Amazon Inspector でモニタリングする各リージョンで繰り返す必要があります。
-
Amazon Inspector を使用すると、Amazon EC2 インスタンス、Amazon ECR コンテナイメージ、AWS Lambdaおよび関数スキャンを柔軟にアクティブ化できます。スキャンタイプは、Amazon Inspector コンソールのアカウント管理ページから、または Amazon Inspector API を使用して管理できます。
-
Amazon Inspector は、Amazon EC2 システムマネージャ(SSM)エージェントがインストールされアクティブ化されている場合にのみ、EC2 インスタンスの一般的な脆弱性とエクスポージャー(CVE)データを提供できます。このエージェントは多くの EC2 インスタンスにプリインストールされていますが、手動でアクティブ化する必要がある場合があります。SSM エージェントのステータスにかかわらず、すべての EC2 インスタンスがスキャンされ、ネットワークへの露出の問題がないかどうかが確認されます。Amazon EC2 のスキャン設定の詳細については、を参照してくださいAmazon EC2 インスタンスのスキャン。Amazon ECR AWS Lambda と関数スキャンではエージェントを使用する必要はありません。
-
に管理者権限を持つ IAM ユーザーアイデンティティがあれば、Amazon Inspector AWS アカウント を有効にできます。データ保護のため、認証情報を保護し、AWS IAM Identity Centerまたは AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。そうすれば、各ユーザーには Amazon Inspector の管理に必要な権限のみが与えられます。Amazon Inspector を有効にするために必要なアクセス権限については、を参照してくださいAWS マネージドポリシー: AmazonInspector2FullAccess。
-
Amazon Inspector をいずれかのリージョンで初めてアクティブ化すると、という名前のアカウントに対してサービスにリンクされたロールがグローバルに作成されます。
AWSServiceRoleForAmazonInspector2
このロールには、Amazon Inspector がソフトウェアパッケージの詳細を収集し、Amazon VPC の設定を分析して脆弱性の検出結果を生成できるようにする権限と信頼ポリシーが含まれます。詳細については、「Amazon Inspector のサービスにリンクされたロールを使用する」を参照してください。サービスにリンクされたロールの詳細については、「サービスリンクロールの使用」を参照してください。
ステップ 1: Amazon Inspector を有効にする
Amazon Inspector を使用するための最初のステップは、AWS アカウントお客様のためにアクティベーションを行うことです。Amazon Inspector のスキャンタイプをアクティブ化すると、Amazon Inspector はただちにすべての対象リソースの検出とスキャンを開始します。
一元化された管理者アカウントを使用して組織内の複数のアカウントの Amazon Inspector を管理する場合は、Amazon Inspector に委任された管理者を割り当てる必要があります。以下のオプションのいずれかを選択して、ご使用の環境に合わせて Amazon Inspector をアクティベートする方法を確認してください。
ステップ 2: Amazon Inspector の調査結果を表示する
Amazon Inspector コンソールまたは API を使用して、環境に関する結果を確認できます。結果はすべて Amazon EventBridge と AWS Security Hub (有効化されている場合) にもプッシュされます。さらに、コンテナイメージの結果は Amazon ECR にプッシュされます。
Amazon Inspector コンソールには、結果の表示形式がいくつか用意されています。Amazon Inspector ダッシュボードには環境に対するリスクの概要が表示され、Findings テーブルでは特定の結果の詳細を表示できます。
このステップでは、Findings テーブルと Findings ダッシュボードを使用して結果の詳細を調べます。Amazon Inspector ダッシュボードの詳細については、を参照してくださいダッシュボードを理解する。
Amazon Inspector コンソールでご使用の環境の結果の詳細を表示するには:
-
https://console.aws.amazon.com/inspector/v2/home
で Amazon Inspector コンソールを開きます。 -
ナビゲーションペインから [ダッシュボード] を選択します。ダッシュボード内の任意のリンクを選択して、その項目の詳細が記載された Amazon Inspector コンソールのページに移動できます。
-
ナビゲーションペインから [結果] を選択します。
-
デフォルトでは、すべての結果タブが表示され、環境内のすべての EC2 インスタンス、ECR コンテナイメージ、AWS Lambda関数の結果が表示されます。
-
結果リストの [タイトル] 列で結果名を選択すると、その結果の詳細ペインが開きます。すべての結果には [結果の詳細] タブがあります。[検索結果の詳細] タブは次の方法で操作できます。
-
脆弱性の詳細については、「脆弱性の詳細」セクションのリンクをクリックして、この脆弱性に関するドキュメントを開いてください。
-
リソースをさらに調査するには、「影響を受けるリソース」セクションの「リソース ID」リンクをクリックして、影響を受けるリソースのサービスコンソールを開きます。
Package 脆弱性タイプの結果には、インスペクタースコアと脆弱性インテリジェンスタブもあり、その結果の Amazon Inspector スコアがどのように計算されたかを説明し、その結果に関連する一般的な脆弱性とエクスプロイト(CVE)に関する情報を提供します。タイプの検出の詳細については、を参照してください。Amazon Inspector でタイプを検索する
-