기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon Inspector를 사용하여 AWS Lambda 함수 스캔
<a name="scanning-lambda"></a>

 AWS Lambda 함수 및 계층에 대한 Amazon Inspector 지원은 지속적인 자동 보안 취약성 평가를 제공합니다. Amazon Inspector는 두 가지 유형의 Lambda 함수 스캔을 제공합니다.

**[Amazon Inspector Lambda 표준 스캔](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_exclude_functions.html)**  
 이 스캔 유형이 기본 Lambda 스캔 유형입니다. Lambda 함수 및 계층의 애플리케이션 종속성을 스캔하여 [패키지 취약성](findings-types.md#findings-types-package)을 찾아냅니다.

**[Amazon Inspector Lambda 코드 스캔](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_code.html)**  
 이 스캔 유형은 Lambda 함수 및 계층의 사용자 지정 애플리케이션 코드를 스캔하여 [코드 취약성](findings-types.md#findings-types-code)을 찾아냅니다. Lambda 표준 스캔을 활성화하거나, Lambda 표준 스캔을 Lambda 코드 스캔과 함께 활성화할 수 있습니다.

 Lambda 코드 스캔을 활성화하려면 먼저 Lambda 표준 스캔을 활성화해야 합니다. 자세한 내용은 [스캔 유형 활성화](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html)를 참조하세요.

 Lambda 함수 스캔을 활성화하면 Amazon Inspector는 계정에 `cloudtrail:CreateServiceLinkedChannel` 및 `cloudtrail:DeleteServiceLinkedChannel`이라는 다음과 같은 서비스 연결 채널을 생성합니다. Amazon Inspector는 이러한 채널을 관리하고 이를 사용하여 CloudTrail 이벤트의 스캔을 모니터링합니다. 이러한 채널을 사용하면 CloudTrail에 추적이 있는 것처럼 계정에서 CloudTrail 이벤트를 볼 수 있습니다. CloudTrail에서 자체 추적을 생성하여 계정의 이벤트를 관리하는 것이 좋습니다. 이러한 채널을 보는 방법에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [서비스 연결 채널 보기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-service-linked-channels.html)를 참조하세요.

**참고**  
 Amazon Inspector는 [고객 관리형 키로 암호화된 Lambda 함수](https://docs.aws.amazon.com/lambda/latest/dg/security-encryption-at-rest.html) 스캔을 지원하지 않습니다. 이는 Lambda 표준 스캔 및 Lambda 코드 스캔에 적용됩니다.

## Lambda 함수 스캔의 스캔 동작
<a name="lambda-scan-behavior"></a>

Amazon Inspector는 활성화되면 계정에서 지난 90일 동안 간접적으로 호출되거나 업데이트된 모든 Lambda 함수를 스캔합니다. Amazon Inspector는 다음과 같은 경우에 Lambda 함수의 취약성 스캔을 시작합니다.
+ Amazon Inspector에서 기존 Lambda 함수를 발견하는 즉시
+ Lambda 서비스에 새 Lambda 함수를 배포하는 경우
+ 기존 Lambda 함수 또는 해당 계층의 애플리케이션 코드 또는 종속성에 대한 업데이트를 배포하는 경우
+ Amazon Inspector가 새로운 일반적인 취약성 및 노출(CVE) 항목을 데이터베이스에 추가하고, 해당 CVE가 함수와 관련이 있는 경우

Amazon Inspector는 Lambda 함수가 삭제되거나 검사에서 제외될 때까지 전체 기간 동안 각 Lambda 함수를 모니터링합니다.

Lambda 함수의 취약성을 마지막으로 확인한 시기는 **계정 관리** 페이지의 **Lambda 함수** 탭에서 또는 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html) API를 사용하여 확인할 수 있습니다. Amazon Inspector는 다음 이벤트에 대한 응답으로 Lambda 함수의 **마지막 스캔 시간** 필드를 업데이트합니다.
+ Amazon Inspector에서 Lambda 함수의 첫 번째 스캔을 완료한 경우
+ Lambda 함수가 업데이트된 경우
+ 함수에 영향을 미치는 새 CVE 항목이 Amazon Inspector 데이터베이스에 추가되어 Amazon Inspector에서 Lambda 함수를 다시 스캔하는 경우

## 지원되는 런타임 및 적합한 함수
<a name="supported-functions"></a>

Amazon Inspector는 Lambda 표준 스캔 및 Lambda 코드 스캔에 대해 다양한 런타임을 지원합니다. 스캔 유형별 지원되는 런타임 목록은 [지원되는 런타임: Amazon Inspector Lambda 표준 스캔](supported.md#supported-programming-languages-lambda-standard) 및 [지원되는 런타임: Amazon Inspector Lambda 코드 스캔](supported.md#supported-programming-languages-lambda-code) 섹션을 참조하세요.

지원되는 런타임이 외에도 Lambda 함수가 Amazon Inspector 스캔 대상이 되려면 다음 기준을 충족해야 합니다.
+ 함수가 지난 90일 이내에 간접적으로 호출되거나 업데이트되었습니다.
+ 함수가 `$LATEST`로 표시됩니다.
+ 함수가 태그 기준 스캔에서 제외되지 않았습니다.

**참고**  
지난 90일 이내에 간접적으로 호출되거나 수정되지 않은 Lambda 함수는 스캔에서 자동으로 제외됩니다. 자동으로 제외된 함수가 다시 간접적으로 호출되거나 Lambda 함수 코드가 변경되면 Amazon Inspector에서 해당 함수의 스캔을 재개합니다.