Amazon Inspector 결과 보고서 내보내기 - Amazon Inspector

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Inspector 결과 보고서 내보내기

조사 결과 보고서는 조사 결과에 대한 자세한 스냅샷을 제공하는 CSV 또는 JSON 파일입니다. 조사 결과 보고서를 AWS Security Hub, Amazon 및 EventBridgeAmazon Simple Storage Service(Amazon S3)로 내보낼 수 있습니다. 조사 결과 보고서를 구성할 때 조사 결과 보고서에 포함할 조사 결과를 지정합니다. 기본적으로 조사 결과 보고서에는 모든 활성 조사 결과에 대한 데이터가 포함됩니다. 조직의 위임된 관리자인 경우 조사 결과 보고서에는 조직의 모든 멤버 계정에 대한 데이터가 포함됩니다. 조사 결과 보고서를 사용자 지정하려면 필터를 생성하고 해당 보고서에 적용합니다.

조사 결과 보고서를 내보내면 Amazon Inspector는 AWS KMS key 지정한 로 조사 결과 데이터를 암호화합니다. Amazon Inspector가 조사 결과 데이터를 암호화하면 사용자가 지정한 Amazon S3 버킷에 조사 결과 보고서를 저장합니다. AWS KMS 키는 Amazon S3 버킷 AWS 리전 과 동일한 에서 사용해야 합니다. AWS KMS 키 정책은 Amazon Inspector가 이를 사용하도록 허용해야 하며, Amazon S3 버킷 정책은 Amazon Inspector가 객체를 추가하도록 허용해야 합니다. 조사 결과 보고서를 내보낸 후 Amazon S3 버킷에서 다운로드하거나 새 위치로 전송할 수 있습니다. Amazon S3 버킷을 내보낸 다른 결과 보고서의 리포지토리로 사용할 수도 있습니다.

이 섹션에서는 Amazon Inspector 콘솔에서 조사 결과 보고서를 내보내는 방법을 설명합니다. 다음 작업에서는 권한을 확인하고, Amazon S3 버킷을 구성하고, 를 구성하고 AWS KMS key, 조사 결과 보고서를 구성하고 내보내야 합니다.

참고

Amazon Inspector 를 사용하여 조사 결과 보고서를 내보내CreateFindingsReportAPI는 경우 활성 조사 결과만 볼 수 있습니다. 억제되거나 종료된 조사 결과를 보려면 필터 기준의 CLOSED 일부로 SUPPRESSED 또는 를 지정해야 합니다. https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html

1단계: 권한 확인

참고

조사 결과 보고서를 처음 내보낸 후 1~3단계는 선택 사항입니다. 다음 단계는 동일한 Amazon S3 버킷을 사용할지 여부와 내보낸 다른 결과 보고서에 AWS KMS key 따라 달라집니다. 1~3단계를 완료한 후 결과 보고서를 프로그래밍 방식으로 내보내려면 Amazon Inspector 의 CreateFindingsReport 작업을 사용합니다API.

Amazon Inspector에서 결과 보고서를 내보내기 전에 결과 보고서를 내보내고 보고서를 암호화 및 저장하기 위한 리소스를 구성하는 데 필요한 권한이 있는지 확인합니다. 권한을 확인하려면 AWS Identity and Access Management (IAM)를 사용하여 IAM 자격 증명에 연결된 IAM 정책을 검토합니다. 그런 다음 해당 정책의 정보를 다음 작업 목록과 비교하여 결과 보고서 내보내기를 위해 사용자가 수행할 수 있어야 하는 작업을 확인합니다.

Amazon Inspector

Amazon Inspector의 경우 다음 작업을 수행할 수 있는지 확인합니다.

  • inspector2:ListFindings

  • inspector2:CreateFindingsReport

이러한 작업을 통해 계정의 결과 데이터를 검색하고 해당 데이터를 결과 보고서로 내보낼 수 있습니다.

대용량 보고서를 프로그래밍 방식으로 내보내려는 경우 inspector2:GetFindingsReportStatus(보고서 상태 확인) 및 inspector2:CancelFindingsReport(진행 중인 내보내기 취소) 작업을 수행할 수 있는 권한이 있는지도 확인할 수 있습니다.

AWS KMS

의 경우 다음 작업을 수행할 수 있는지 AWS KMS확인합니다.

  • kms:GetKeyPolicy

  • kms:PutKeyPolicy

이러한 작업을 통해 Amazon Inspector에서 보고서를 암호화하는 데 사용할 AWS KMS key 에 대한 키 정책을 검색하고 업데이트할 수 있습니다.

Amazon Inspector 콘솔을 사용하여 보고서를 내보내려면 다음 AWS KMS 작업을 수행할 수 있는지도 확인합니다.

  • kms:DescribeKey

  • kms:ListAliases

이러한 작업을 통해 계정의 AWS KMS keys 에 대한 정보를 검색하고 표시할 수 있습니다. 그런 다음 이러한 키 중 하나를 선택하여 보고서를 암호화할 수 있습니다.

보고서 암호화를 위한 새 KMS 키를 생성하려는 경우 kms:CreateKey 작업을 수행할 수 있어야 합니다.

Amazon S3

Amazon S3의 경우 다음 작업을 수행할 수 있는지 확인합니다.

  • s3:CreateBucket

  • s3:DeleteObject

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutBucketPublicAccessBlock

  • s3:PutObject

  • s3:PutObjectAcl

이러한 작업을 통해 Amazon Inspector에서 보고서를 저장할 S3 버킷을 생성하고 구성할 수 있습니다. 또한 버킷에서 객체를 추가하고 삭제할 수도 있습니다.

Amazon Inspector 콘솔을 사용하여 보고서를 내보내려는 경우 s3:ListAllMyBucketss3:GetBucketLocation 작업을 수행할 수 있는지도 확인합니다. 이러한 작업을 통해 계정의 S3 버킷에 대한 정보를 검색하고 표시할 수 있습니다. 그런 다음 이러한 버킷 중 하나를 선택하여 보고서를 저장할 수 있습니다.

필요한 작업을 하나 이상 수행할 수 없는 경우 다음 단계로 진행하기 전에 AWS 관리자에게 도움을 요청하세요.

2단계: S3 버킷 구성

권한을 확인했으면 결과 보고서를 저장할 S3 버킷을 구성할 준비가 된 것입니다. 자체 계정의 기존 버킷이거나 다른 사용자가 소유하고 액세스 AWS 계정 가 허용된 기존 버킷일 수 있습니다. 보고서를 새 버킷에 저장하려면 진행하기 전에 버킷을 생성합니다.

S3 버킷은 내보내려는 조사 결과 데이터와 AWS 리전 동일해야 합니다. 예를 들어, Amazon Inspector를 미국 동부(버지니아 북부) 리전에서 사용 중이고 해당 리전에 대한 결과 데이터를 내보내려면 버킷도 미국 동부(버지니아 북부) 리전에 있어야 합니다.

또한 버킷 정책에서 Amazon Inspector가 버킷에 객체를 추가할 수 있도록 허용해야 합니다. 이 주제에서는 버킷 정책을 업데이트하는 방법을 설명하고 정책에 추가할 명령문의 예를 제공합니다. 버킷 정책 추가 및 업데이트에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서에서 버킷 정책 사용을 참조하세요.

다른 계정이 소유하고 있는 S3 버킷에 보고서를 저장하려면 버킷 소유자와 협력하여 버킷 정책을 업데이트합니다. 버킷에 URI 대한 도 가져옵니다. 보고서를 내보낼 URI 때 이를 입력해야 합니다.

버킷 정책을 업데이트하려면
  1. 자격 증명을 사용하여 로그인한 다음 https://console.aws.amazon.com/s3에서 Amazon S3 콘솔을 엽니다.

  2. 탐색 창에서 버킷을 선택합니다.

  3. 결과 보고서를 저장할 S3 버킷을 선택합니다.

  4. 권한 탭을 선택합니다.

  5. 버킷 정책 섹션에서 편집을 선택합니다.

  6. 다음 예제 명령문을 클립보드로 복사합니다.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "allow-inspector", "Effect": "Allow", "Principal": { "Service": "inspector2.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:AbortMultipartUpload" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*" } } } ] }
  7. Amazon S3 콘솔의 버킷 정책 편집기에서 위의 명령문을 정책에 붙여넣어 정책에 추가합니다.

    명령문을 추가할 때 구문이 올바른지 확인합니다. 버킷 정책은 JSON 형식을 사용합니다. 즉, 정책에 명령문을 추가하는 위치에 따라 명령문 앞이나 뒤에 쉼표를 추가해야 합니다. 명령문을 마지막 명령문으로 추가하는 경우 위 명령문의 닫는 괄호 뒤에 쉼표를 추가합니다. 명령문을 첫 번째 명령문으로 추가하거나 기존 두 명령문 사이에 추가하는 경우 명령문의 닫는 괄호 뒤에 쉼표를 추가합니다.

  8. 사용 환경에 적합한 값으로 명령문을 업데이트합니다.

    • amzn-s3-demo-bucket 는 버킷의 이름입니다.

    • 111122223333 는 의 계정 ID입니다 AWS 계정.

    • Region 는 Amazon Inspector를 사용 중이고 Amazon Inspector가 버킷 AWS 리전 에 보고서를 추가하도록 허용하려는 입니다. 예를 들어 미국 동부(버지니아 북부) 리전의 경우 us-east-1입니다.

    참고

    수동으로 활성화된 에서 Amazon Inspector를 사용하는 경우 AWS 리전필드 값에 적절한 리전 코드도 추가합니다Service. 이 필드는 Amazon Inspector 서비스 주체를 지정합니다.

    예를 들어 리전 코드가 me-south-1인 중동(바레인) 리전에서 Amazon Inspector를 사용하는 경우, 명령문에서 inspector2.amazonaws.cominspector2.me-south-1.amazonaws.com으로 바꿉니다.

    예제 문은 두 개의 IAM 전역 조건 키를 사용하는 조건을 정의합니다.

    • aws:SourceAccount – 이 조건을 사용하면 Amazon Inspector가 계정에 대해서만 버킷에 보고서를 추가할 수 있습니다. Amazon Inspector가 다른 계정에 대해 버킷에 보고서를 추가하지 못하도록 합니다. 더 구체적으로, 이 조건은 aws:SourceArn 조건에 지정된 리소스 및 작업에 대해 버킷을 사용할 수 있는 계정을 지정합니다.

      버킷의 추가 계정에 대한 보고서를 저장하려면 각 추가 계정의 계정 ID를 이 조건에 추가합니다. 예:

      "aws:SourceAccount": [111122223333,444455556666,123456789012]
    • aws:SourceArn – 이 조건은 버킷에 추가되는 객체의 소스에 따라 버킷에 대한 액세스를 제한합니다. 다른 사용자가 버킷 AWS 서비스 에 객체를 추가하는 것을 방지합니다. 또한 사용자 계정에 대해 다른 작업을 수행하는 동안 Amazon Inspector가 버킷에 객체를 추가하지 못하도록 합니다. 더 구체적으로, 이 조건은 객체가 결과 보고서인 경우에만, 그리고 해당 보고서가 조건에 지정된 계정과 리전에서 생성된 경우에만 Amazon Inspector가 버킷에 객체를 추가할 수 있도록 허용합니다.

      Amazon Inspector가 추가 계정에 대해 지정된 작업을 수행하도록 허용하려면 이 조건에 각 추가 계정의 Amazon 리소스 이름(ARNs)을 추가합니다. 예:

      "aws:SourceArn": [ "arn:aws:inspector2:Region:111122223333:report/*", "arn:aws:inspector2:Region:444455556666:report/*", "arn:aws:inspector2:Region:123456789012:report/*" ]

      aws:SourceAccountaws:SourceArn 조건에 지정된 계정이 일치해야 합니다.

    두 조건 모두 Amazon S3와의 트랜잭션 중에 Amazon Inspector가 혼동되는 대리자로 사용되는 것을 방지하는 데 도움이 됩니다. 권장하지는 않지만 버킷 정책에서 이러한 조건을 제거할 수 있습니다.

  9. 버킷 정책 업데이트가 완료되면 변경 사항 저장을 선택합니다.

3단계: AWS KMS key구성

권한을 확인하고 S3 버킷을 구성한 후에는 Amazon Inspector에서 결과 보고서를 암호화하는 데 사용할 AWS KMS key 를 결정해야 합니다. 키는 고객 관리형 대칭 암호화 KMS 키여야 합니다. 또한 키는 보고서를 저장하도록 구성한 S3 버킷 AWS 리전 과 동일해야 합니다.

키는 사용자 계정의 기존 KMS 키 또는 다른 계정이 소유한 기존 KMS 키일 수 있습니다. 새 KMS 키를 사용하려면 계속하기 전에 키를 생성합니다. 다른 계정이 소유한 기존 키를 사용하려면 키의 Amazon 리소스 이름(ARN)을 가져옵니다. Amazon Inspector 에서 보고서를 내보낼 ARN 때 이를 입력해야 합니다. KMS 키 설정 생성 및 검토에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서키 관리를 참조하세요.

사용할 KMS 키를 결정한 후 Amazon Inspector에 키를 사용할 수 있는 권한을 부여합니다. 그렇지 않으면 Amazon Inspector에서 보고서를 암호화하고 내보낼 수 없습니다. Amazon Inspector에 키 사용 권한을 부여하려면 키에 대한 키 정책을 업데이트합니다. 키 정책 및 키에 대한 액세스 관리에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 에서 키 정책을 AWS KMS KMS 참조하세요.

참고

다음 절차는 Amazon Inspector에서 사용할 수 있도록 기존 키를 업데이트하는 절차입니다. 기존 키가 없는 경우 AWS Key Management Service 개발자 안내서키 생성을 참조하세요.

키 정책을 업데이트하려면
  1. 자격 증명을 사용하여 로그인한 다음 /km 에서 AWS KMS 콘솔을 엽니다. https://console.aws.amazon.com

  2. 탐색 창에서 고객 관리형 키를 선택합니다.

  3. 보고서를 암호화하는 데 사용할 KMS 키를 선택합니다. 키는 대칭 암호화(SYMMETRIC_DEFAULT) 키여야 합니다.

  4. 키 정책 탭에서 편집을 선택합니다. 키 정책에서 편집 버튼이 보이지 않으면 먼저 정책 보기로 전환을 선택해야 합니다.

  5. 다음 예제 명령문을 클립보드로 복사합니다.

    { "Sid": "Allow Amazon Inspector to use the key", "Effect": "Allow", "Principal": { "Service": "inspector2.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*" } } }
  6. AWS KMS 콘솔의 키 정책 편집기에서 앞의 문을 키 정책에 붙여 넣어 정책에 추가합니다.

    명령문을 추가할 때 구문이 올바른지 확인합니다. 키 정책은 JSON 형식을 사용합니다. 즉, 정책에 명령문을 추가하는 위치에 따라 명령문 앞이나 뒤에 쉼표를 추가해야 합니다. 명령문을 마지막 명령문으로 추가하는 경우 위 명령문의 닫는 괄호 뒤에 쉼표를 추가합니다. 명령문을 첫 번째 명령문으로 추가하거나 기존 두 명령문 사이에 추가하는 경우 명령문의 닫는 괄호 뒤에 쉼표를 추가합니다.

  7. 사용 환경에 적합한 값으로 명령문을 업데이트합니다.

    • 111122223333 는 의 계정 ID입니다 AWS 계정.

    • Region 는 Amazon Inspector AWS 리전 가 키를 사용하여 보고서를 암호화하도록 허용하려는 입니다. 예를 들어 미국 동부(버지니아 북부) 리전의 경우 us-east-1입니다.

    참고

    수동으로 활성화된 에서 Amazon Inspector를 사용하는 경우 AWS 리전필드 값에 적절한 리전 코드도 추가합니다Service. 예를 들어 중동(바레인) 리전에서 Amazon Inspector를 사용할 경우 inspector2.amazonaws.cominspector2.me-south-1.amazonaws.com으로 바꿉니다.

    이전 단계의 버킷 정책에 대한 예제 문과 마찬가지로 이 예제의 Condition 필드는 두 개의 IAM 전역 조건 키를 사용합니다.

    • aws:SourceAccount – 이 조건을 사용하면 Amazon Inspector가 계정에 대해 지정된 작업만 수행할 수 있습니다. 더 구체적으로, 이 조건은 aws:SourceArn 조건에 지정된 리소스 및 작업에 대해 지정된 작업을 수행할 수 있는 계정을 결정합니다.

      Amazon Inspector가 추가 계정에 대해 지정된 작업을 수행할 수 있도록 하려면 이 조건에 각 추가 계정의 계정 ID를 추가합니다. 예:

      "aws:SourceAccount": [111122223333,444455556666,123456789012]
    • aws:SourceArn – 이 조건은 다른 AWS 서비스 이 지정된 작업을 수행하지 못하도록 합니다. 또한 사용자 계정에 대해 다른 작업을 수행하는 동안 Amazon Inspector가 키를 사용하지 못하도록 합니다. 즉, 객체가 결과 보고서인 경우에만, 그리고 해당 보고서가 조건에 지정된 계정과 리전에서 생성된 경우에만 Amazon Inspector가 해당 키로 S3 객체를 암호화할 수 있도록 허용합니다.

      Amazon Inspector가 추가 계정에 대해 지정된 작업을 수행하도록 허용하려면 이 조건에 각 추가 계정에 ARNs 를 추가합니다. 예:

      "aws:SourceArn": [ "arn:aws:inspector2:us-east-1:111122223333:report/*", "arn:aws:inspector2:us-east-1:444455556666:report/*", "arn:aws:inspector2:us-east-1:123456789012:report/*" ]

      aws:SourceAccountaws:SourceArn 조건에 지정된 계정이 일치해야 합니다.

    이러한 조건은 Amazon Inspector가 와의 트랜잭션 중에 혼동된 대리인으로 사용되지 않도록 하는 데 도움이 됩니다 AWS KMS. 권장하지는 않지만 명령문에서 이러한 조건을 제거할 수 있습니다.

  8. 키 정책 업데이트가 완료되면 변경 사항 저장을 선택합니다.

4단계: 결과 보고서 구성 및 내보내기

참고

한 번에 하나의 조사 결과 보고서만 내보낼 수 있습니다. 내보내기가 현재 진행 중인 경우 내보내기가 완료될 때까지 기다렸다가 다른 조사 결과 보고서를 내보내야 합니다.

권한을 확인하고 결과 보고서를 암호화하고 저장하도록 리소스를 구성했으면 보고서를 구성하고 내보낼 준비가 된 것입니다.

결과 보고서를 구성하고 내보내려면
  1. 자격 증명을 사용하여 로그인한 다음 https://console.aws.amazon.com/inspector/v2/홈 에서 Amazon Inspector 콘솔을 엽니다.

  2. 탐색 창의 결과에서 모든 결과를 선택합니다.

  3. (선택 사항) 결과 테이블 위의 필터 막대를 사용하여 보고서에 포함할 결과를 지정하는 필터 기준을 추가합니다. 기준을 추가하면 Amazon Inspector에서 기준과 일치하는 결과만 포함하도록 테이블을 업데이트합니다. 이 테이블은 보고서에 포함될 데이터의 미리 보기를 제공합니다.

    참고

    필터 기준을 추가하는 것이 좋습니다. 그렇지 않으면 보고서에 활성 상태 AWS 리전 인 현재 의 모든 조사 결과에 대한 데이터가 포함됩니다. 조직의 Amazon Inspector 관리자인 경우 여기에 조직 내 모든 멤버 계정에 대한 결과 데이터가 포함됩니다.

    보고서에 전체 또는 여러 결과의 데이터가 포함되어 있는 경우 보고서를 생성하고 내보내는 데 시간이 오래 걸릴 수 있으며, 한 번에 하나의 보고서만 내보낼 수 있습니다.

  4. 결과 내보내기를 선택합니다.

  5. 내보내기 설정 섹션의 내보내기 파일 유형에서 보고서의 파일 형식을 지정합니다.

    • 데이터가 포함된 JavaScript 객체 표기법(.json) 파일을 생성하려면 를 선택합니다JSON.

      JSON 옵션을 선택하면 보고서에 각 결과에 대한 모든 필드가 포함됩니다. 가능한 JSON 필드 목록은 Amazon Inspector API 참조의 결과 데이터 유형을 참조하세요.

    • 데이터가 포함된 쉼표로 구분된 값(.csv) 파일을 생성하려면 를 선택합니다CSV.

      CSV 옵션을 선택하면 보고서에는 각 결과에 대한 필드의 하위 집합, 즉 결과의 주요 속성을 보고하는 약 45개의 필드만 포함됩니다. 이 필드에는 결과 유형, 제목, 심각도, 상태, 설명, 처음 발견 날짜, 최종 발견 날짜, 수정 버전 있음, AWS 계정 ID, 리소스 ID, 리소스 태그, 해결 등이 있습니다. 이는 각 결과에 URLs 대한 점수 세부 정보 및 참조를 캡처하는 필드 외에 추가로 제공됩니다. 다음은 조사 결과 보고서의 CSV 헤더 샘플입니다.

      AWS 계정 ID 심각도 수정 가능 결과 유형 Title 설명 조사 결과 ARN 처음 본 항목 마지막으로 본 항목 마지막 업데이트 리소스 ID 컨테이너 이미지 태그 리전 플랫폼 리소스 태그 영향을 받는 패키지 패키지 설치 버전 버전에서 수정됨 패키지 수정 파일 경로 네트워크 경로 연령(일) 이제 Security Hub가 와 통합되었습니다 검사자 점수 검사자 점수 벡터 상태 표시기 취약성 ID 공급 업체 공급업체 심각도 공급업체 자문 공급업체 자문 게시됨 NVD CVSS3 점수 NVD CVSS3 벡터 NVD CVSS2 점수 NVD CVSS2 벡터 공급업체 CVSS3 점수 공급업체 CVSS3 벡터 공급업체 CVSS2 점수 공급업체 CVSS2 벡터 리소스 유형 Ami 리소스 퍼블릭 Ipv4 리소스 프라이빗 Ipv4 리소스 Ipv6 리소스 Vpc 포트 범위 사용 가능한 익스플로잇 에서 마지막으로 악용된 위치 Lambda 계층 Lambda 패키지 유형 Lambda 최종 업데이트 날짜 참조 URL
  6. 내보내기 위치 에서 S3 URI에 대해 보고서를 저장할 S3 버킷을 지정합니다.

    • 계정이 소유한 버킷에 보고서를 저장하려면 S3 찾아보기를 선택합니다. Amazon Inspector에서 계정의 S3 버킷 테이블을 표시합니다. 원하는 버킷의 행을 선택한 다음 선택을 선택합니다.

      작은 정보

      보고서에 Amazon S3 경로 접두사를 지정하려면 S3 URI 상자의 값에 슬래시(/)와 접두사를 추가합니다. 그러면 Amazon Inspector가 보고서를 버킷에 추가할 때 해당 접두사가 포함되고, Amazon S3는 접두사로 지정된 경로를 생성합니다.

      예를 들어 AWS 계정 ID를 접두사로 사용하고 계정 ID가 111122223333인 경우 S3 URI 상자/111122223333의 값에 를 추가합니다.

      접두사는 S3 버킷 내에서 디렉터리 경로와 비슷합니다. 유사한 파일을 파일 시스템의 폴더에 함께 저장하는 것처럼 유사한 객체를 버킷에 그룹화할 수 있습니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서에서 Amazon S3 콘솔에서 폴더를 사용하여 객체 구성을 참조하세요.

    • 다른 계정이 소유한 버킷에 보고서를 저장하려면 버킷에 URI 대한 를 입력합니다. 예를 들어 s3://DOC-EXAMPLE_BUCKET, 여기서 DOC-EXAMPLE_BUCKET는 버킷의 이름입니다. 버킷 소유자가 버킷 속성에서 이 정보를 찾을 수 있습니다.

  7. KMS 키 에서 보고서를 암호화하는 데 AWS KMS key 사용할 를 지정합니다.

    • 내 계정의 키를 사용하려면 목록에서 키를 선택합니다. 목록에는 계정의 고객 관리형 대칭 암호화 KMS 키가 표시됩니다.

    • 다른 계정이 소유한 키를 사용하려면 키의 Amazon 리소스 이름(ARN)을 입력합니다. 키 소유자가 키 속성에서 이 정보를 찾을 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 키 ID 및 키 찾기ARN를 참조하세요.

  8. 내보내기를 선택합니다.

Amazon Inspector는 조사 결과 보고서를 생성하고 지정한 KMS 키로 암호화한 다음 지정한 S3 버킷에 추가합니다. 보고서에 포함되도록 선택한 결과 수에 따라 이 프로세스는 몇 분 또는 몇 시간이 걸릴 수 있습니다. 내보내기가 완료되면 Amazon Inspector에서 결과 보고서를 성공적으로 내보냈다는 메시지를 표시합니다. 선택적으로 메시지에서 보고서 보기를 선택하여 Amazon S3의 보고서로 이동합니다.

보고서는 한 번에 하나만 내보낼 수 있습니다. 내보내기가 현재 진행 중이라면 내보내기가 완료될 때까지 기다린 후 다른 보고서를 내보냅니다.

내보내기 오류 해결

결과 보고서를 내보내려고 할 때 오류가 발생하면 Amazon Inspector에서 오류를 설명하는 메시지를 표시합니다. 이 주제에 설명된 정보를 참고하여 오류의 가능한 원인과 해결 방법을 파악할 수 있습니다.

예를 들어 S3 버킷이 현재 에 AWS 리전 있고 버킷의 정책에서 Amazon Inspector가 버킷에 객체를 추가할 수 있도록 허용하는지 확인합니다. 또한 현재 리전에서 이 활성화 AWS KMS key 되어 있는지 확인하고 키 정책에서 Amazon Inspector가 키를 사용하도록 허용하는지 확인합니다.

오류를 해결한 후 보고서를 다시 내보냅니다.

보고서가 여러 개일 수 없음 오류

보고서를 생성하려고 하는데 Amazon Inspector에서 이미 보고서를 생성하고 있는 경우 원인: 진행 중인 보고서가 여러 개일 수 없음이라는 오류 메시지가 나타납니다. Amazon Inspector에서는 계정에 대해 한 번에 하나의 보고서만 생성할 수 있기 때문에 이 오류가 발생합니다.

이 오류를 해결하려면 다른 보고서가 완료될 때까지 기다리거나 새 보고서를 요청하기 전에 보고서를 취소하면 됩니다.

GetFindingsReportStatus 작업을 사용하여 보고서 상태를 확인할 수 있습니다. 이 작업은 현재 생성 중인 모든 보고서의 보고서 ID를 반환합니다.

필요한 경우 GetFindingsReportStatus 작업에서 제공한 보고서 ID를 사용하여 CancelFindingsReport 작업을 사용하여 현재 진행 중인 내보내기를 취소할 수 있습니다.