Amazon Inspector 評価ターゲット - Amazon Inspector

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

Amazon Inspector 評価ターゲット

Amazon Inspector を使用すると、AWS 評価ターゲット (AWS リソースの集合体) に対処が必要な潜在的なセキュリティ上の問題が存在するかどうかを評価できます。

重要

現在、評価ターゲットは、サポートされているオペレーティングシステムで実行される EC2 インスタンスのみを含めることができます。サポートされているオペレーティングシステムとサポートされている AWS リージョンについては、「Amazon Inspector でサポートされているオペレーティングシステムとリージョン」を参照してください。

注記

EC2 instances の起動の詳細については、Amazon Elastic Compute Cloud のドキュメントを参照してください。

リソースをタグ付けして評価ターゲットを作成する

Amazon Inspector の評価ターゲットを作成して評価するには、最初にターゲットに含める EC2 instances のタグ付けを行います。タグは、インスタンスやその他の AWS リソースを識別して整理するためのメタデータとして機能する単語またはフレーズです。Amazon Inspector は、作成したタグを使用して、ターゲットに属するインスタンスを識別します。

すべての AWS タグは、ユーザーが選択したキーと値のペアで構成されています。たとえば、キーの名前で [Name]、値で [MyFirstInstance] を選択します。インスタンスをタグ付けした後は、Amazon Inspector コンソールを使用して評価ターゲットにインスタンスを追加します。インスタンスが 1 つ以上のタグのキー/値のペアに一致する必要はありません。

EC2 instances をタグ付けし、評価ターゲットを作成している場合、固有のカスタムタグキーを作成するか、同じ AWS アカウントの他のユーザーが作成したタグキーを使用することができます。AWS が自動的に作成するタグキーを使用することもできます。たとえば、AWS は起動した EC2 instances の [Name (名前)] タグキーを自動的に作成します。

作成した EC2 instances にはタグを追加できます。これらのタグは、各 EC2 instance のコンソールページで 1 度に 1 つずつ追加、変更、または削除できます。タグ エディターを使用すると、一度に複数の EC2 instances にタグを追加することもできます。

詳細については、「タグ エディター」を参照してください。EC2 instances のタグ付けの詳細については、「リソースとタグ」を参照してください。

Amazon Inspector 評価ターゲットの制限

AWS アカウントごとに最大 50 の評価ターゲットを作成できます。詳細については、「Amazon Inspector サービスの制限」を参照してください。

評価ターゲットを作成する

Amazon Inspector コンソールを使用して評価ターゲットを作成できます。

評価ターゲットを作成するには

  1. Sign in to the AWS マネジメントコンソール and open the Amazon Inspector console at https://console.aws.amazon.com/inspector/.

  2. ナビゲーション ペインで、[Assessment Targets (評価ターゲット)]、[Create (作成)] の順に選択します。

  3. [Name (名前)] に、評価ターゲットの名前を入力します。

  4. 以下のいずれかを行います。

    • この評価ターゲットに、この AWS アカウントとリージョンのすべての EC2 instances を含めるには、[All instances (すべてのインスタンス)] チェックボックスをオンにします。

      注記

      このオプションを使用する場合、評価の実行に含めることができるエージェントの最大数の制限が適用されます。詳細については、「Amazon Inspector サービスの制限」を参照してください。

    • この評価ターゲットに含める EC2 instances を選択するには、[Use Tags (使用するタグ)] で、タグキー名とキーと値のペアを入力します。

  5. (省略可能) ターゲットの作成中に、[Install Agents (エージェントのインストール)] チェックボックスを選択してエージェントをこのターゲットのすべての EC2 instances にインストールします。このオプションを使用するには、EC2 instances に SSM エージェントがインストールされており、Run Command を許可する IAM ロールがなければなりません。SSM エージェントは、デフォルトでは、Amazon EC2 Windows インスタンスおよび Amazon Linux インスタンスにインストールされます。Amazon EC2 Systems Manager では、コマンドを処理する EC2 instances の IAM ロールと、それとは別にコマンドを実行するユーザーのロールが必要です。詳細については、「SSM エージェントのインストールと設定」と「Configuring Security Roles for System Manager」を参照してください。

    重要

    既に EC2 instance で実行されているエージェントがある場合、このオプションを使用すると、インスタンスで現在実行されているエージェントが最新のエージェントバージョンに置き換えられます。

    注記

    既存の評価ターゲットの場合は、[Run Command でエージェントをインストール] ボタンを選択して、このターゲットのすべての EC2 instances にエージェントをインストールします。

    注記

    また、Systems Manager Run Command を使用して、エージェントを複数の EC2 instances に (同じコマンドで Linux ベースおよび Windows ベースのインスタンスの両方に) リモートでインストールできます。詳細については、「Systems Manager Run コマンドを使用した複数の EC2 インスタンスへの Amazon Inspector エージェントのインストール」を参照してください。

  6. [保存] を選択します。

注記

[Assessment Targets (評価ターゲット)] ページの [Preview Target (ターゲットをプレビュー)] を使用して、評価ターゲットに含まれるすべての EC2 instances を確認できます。EC2 instance ごとに、ホスト名、インスタンス ID、IP アドレス、および該当する場合はエージェントのステータスを確認できます。エージェントステータスには、次の値があります。[HEALTHY (正常)]、[UNHEALTHY (異常)]、および [UNKNOWN (不明)]。[UNKNOWN (不明)] ステータスは EC2 instance で実行中のエージェントの有無を判断できない場合に Amazon Inspector に表示されます。

評価ターゲットを削除する

評価ターゲットを削除するには、次の手順を実行します。

評価ターゲットを削除するには

  • [評価ターゲット] ページで、削除するターゲットを選択し、[削除] を選択します。確認を求めるメッセージが表示されたら、[Yes] を選択します。

    重要

    評価ターゲットを削除すると、すべての評価テンプレート、評価の実行、結果、およびターゲットに関連付けられたバージョンのレポートも削除されます。

DeleteAssessmentTarget API を使用して評価ターゲットを削除することもできます。