本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Inspector 入门
Amazon Inspector 是一项漏洞管理服务,可持续扫描您的 Amazon EC2 实例、Amazon ECR 容器映像和 AWS Lambda 函数,以查找软件漏洞和意外网络泄露。以下教程为您介绍了 Amazon Inspector。第 1 步介绍如何为独立账户或委托管理员账户激活 Amazon Inspector 扫描。第 2 步介绍如何查看 Amazon Inspector 的调查结果
开始前的准备工作
在激活 Amazon Inspector 之前,请考虑以下几点:
-
Amazon Inspector 是一项区域服务。数据存储在您激活 Amazon Inspector AWS 区域 的地方。对于要激活 Amazon Inspector 的每个 AWS 区域 位置,您都必须重复本教程中的步骤。
-
您可以从 Amazon Inspector 控制台的账户管理页面或使用 Amazon Inspector API 激活和停用亚马逊 EC2 实例、Amazon ECR 容器镜像和 AWS Lambda 功能扫描。
-
Amazon Inspector 可以通过亚马逊 EC2 Systems Manager (SSM) 代理为您的 EC2 实例提供常见漏洞和风险敞口 (CVE) 数据。许多 EC2 实例上都预装了 SSM 代理,但您可能需要手动将其激活。不管 SSM 代理状态如何,都会对您的所有 EC2 实例进行网络泄露问题扫描。Amazon ECR 和 AWS Lambda 功能扫描不需要使用代理。有关为亚马逊 EC2 配置扫描的更多信息,请参阅使用 Amazon Ins pector 扫描亚马逊 EC2 实例。
-
具有管理员权限的 IAM 用户身份可以启用 Amazon Inspector。我们建议您通过使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户来保护您的证书。这可以帮助您确保每位用户仅拥有管理 Amazon Inspector 的必要权限。有关启用 Amazon Inspector 所需的权限的信息,请参阅AWS 托管策略:AmazonInspector2FullAccess。
-
Amazon Inspector 为您的账户创建一个名为
AWSServiceRoleForAmazonInspector2
和AWSServiceRoleForAmazonInspector2Agentless
的服务相关角色。该角色包括权限和信任策略,它们允许 Amazon Inspector 收集软件包详细信息并分析 Amazon VPC 配置以生成漏洞发现。 -
当你激活 Amazon Inspector 时,混合扫描模式会自动启用。混合扫描模式包括基于代理的扫描和符合条件的实例上的无代理扫描方法。对于基于代理的扫描,Amazon Inspector 使用 SSM 关联从您的实例收集软件清单。对于无代理扫描,Amazon Inspector 使用亚马逊 EBS 快照从您的实例收集软件清单。有关这些扫描方法的更多信息,请参阅使用 Amazon Inspector 扫描亚马逊 EC2 实例。
-
每月费用基于扫描的工作负载。有关更多信息,请参阅 Amazon Inspector 定价
。
步骤 1:激活 Amazon Inspector
使用 Amazon Inspector 的第一步是为 AWS 账户激活它。激活任意 Amazon Inspector 扫描类型后,Amazon Inspector 会立即开始发现和扫描所有符合条件的资源。
如果您希望通过集中式管理员账户管理组织内多个账户的 Amazon Inspector,则必须为 Amazon Inspector 分配一名委托管理员。选择以下选项之一,了解如何为您的环境激活 Amazon Inspector。
步骤 2:查看 Amazon Inspector 调查发现
您可以在 Amazon Inspector 控制台中或通过 API 查看您的环境的调查发现。所有调查结果也会推送到 Amazon EventBridge 和 AWS Security Hub (如果已激活)。此外,容器映像调查发现会推送到 Amazon ECR。
Amazon Inspector 控制台为调查发现提供了多种不同的查看格式。Amazon Inspector 控制面板为您提供了环境风险的总体概况,而调查发现表提供了特定调查发现的详细信息。
在此步骤中,您可以使用调查发现表和调查发现控制面板浏览调查发现的详细信息。有关 Amazon Inspector 控制面板的更多信息,请参阅了解控制面板。
要在 Amazon Inspector 控制台中查看您的环境的调查发现的详细信息,请执行以下操作:
-
使用您的凭证登录,然后打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home
。 -
从导航窗格中选择控制面板。您可以选择控制面板中的任意链接,导航到 Amazon Inspector 控制台中的页面,了解相应项目的更多详细信息。
-
从导航窗格中选择调查发现。
-
默认情况下,您将看到 “所有调查结果” 选项卡,其中显示您的环境的所有 EC2 实例、ECR 容器映像和 AWS Lambda 函数查找结果。
-
在调查发现列表中,在标题列中选择一个调查发现名称,打开其详细信息窗格。所有调查发现都有一个调查发现详细信息选项卡。您可以通过以下方式与调查发现详细信息选项卡进行交互:
-
要了解有关脆弱性的更多详细信息,请点击脆弱性详细信息部分中的链接,打开该脆弱性的文档。
-
要进一步调查资源,请点击受影响的资源部分中的资源 ID 链接,打开受影响资源的服务控制台。
程序包脆弱性类型的调查发现也具有 Inspector 评分和脆弱性情报选项卡,此选项卡解释了该调查发现的 Amazon Inspector 评分是如何计算的,并提供了与该调查发现相关的常见脆弱性和风险 (CVE) 的信息。有关调查发现类型的更多信息,请参阅Amazon Inspector 中的调查发现类型。
-