使用 Amazon Inspector 自動化資源

Amazon Inspector 使用專門打造的掃描引擎，監控您的資源是否存在軟體漏洞和意外的網路暴露。當 Amazon Inspector 偵測到軟體弱點或意外的網路暴露時，就會建立一個發現項目。當您第一次啟用 Amazon Inspector 時，您的帳戶會自動註冊所有掃描類型，包括 Amazon EC2 掃描、Amazon ECR 掃描和 Lambda 標準掃描。

注意

Lambda 程式碼掃描是選用的 Lambda 函數掃描層，您可以隨時啟動它。

Amazon Inspector 掃描類型概觀

Amazon Inspector 提供不同的掃描類型，專注於您 AWS 環境中的特定資源類型。

Amazon EC2 掃描

當您啟用亞馬遜EC2掃描時，Amazon Inspector 會掃描您的EC2執行個體是否有下列項目

• 常見的漏洞和風險

• 作業系統及程式語言套件漏洞

• 網路連線能力

• 網路暴露問題

Amazon Inspector 透過使用您執行個體上安裝的SSM代理程式或透過 Amazon 執行個體EBS快照執行個體來執行掃描。如需 Amazon 掃描的詳細資訊EC2，請參閱掃描 Amazon EC2 實例與 Amazon Inspector。

注意

依預設，當您啟用 Amazon EC2 掃描時，會自動啟用混合掃描模式。如需詳細資訊，請參閱無代理程式掃描。

Amazon ECR 掃描

當您啟用 Amazon ECR 掃描時，Amazon Inspector 會將私有登錄中的所有基本掃描容器儲存庫轉換為持續掃描的增強型掃描。您也可以選擇將此設定設定為僅在推送時掃描，或透過包含規則掃描選取的儲存庫。一開始掃描過去 30 天內推送或過去 90 天內提取的所有影像。Amazon Inspector 預設會持續監控影像 90 天，此設定可隨時變更。如需 Amazon 掃描的詳細資訊ECR，請參閱使用 Amazon 督察掃描亞馬遜彈性容器註冊表容器。

Lambda 準掃描

當您啟用 Lambda 標準掃描時，Amazon Inspector 會探索您帳戶中的 Lambda 函數，並立即開始掃描它們是否有漏洞。Amazon Inspector 會在部署新的 Lambda 函數和層時進行掃描，並在更新或發佈新的常見弱點和曝光 (CVEs) 時重新掃描這些函數和層。如需 Lambda 函數掃描的詳細資訊，請參閱Amazon Inspector 掃描 AWS Lambda 功能。

Lambda 準掃描 + 程 Lambda 碼掃描

此可選項將 Lambda 標準掃描與 Lambda 程式碼掃描相結合。啟動 Lambda 程式碼掃描後，Amazon Inspector 會探索您帳戶中的 Lambda 函數和層，並掃描應用程式套件相依性的程式碼弱點。Lambda 程式碼掃描會掃描 Lambda 函數中的自訂應用程式程式碼，找出程式碼 這兩種掃瞄類型必須同時啟動。如需更多資訊，請參閱Amazon Inspector Lambda 代碼。