本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon Inspector 中的自动扫描类型
Amazon Inspector 使用专用扫描引擎,来监控您的资源中是否存在可操作的软件漏洞和意外网络暴露。当 Amazon Inspector 检测到软件漏洞或意外网络暴露时,它会创建一个[调查发现](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding.html)。首次激活 Amazon Inspector 时,您的账户会自动注册[所有扫描类型](https://docs.aws.amazon.com/inspector/latest/user/scanning-resources.html#scan-types),其中包括 Amazon EC2 扫描、Amazon ECR 扫描、Lambda 标准扫描。
**注意**
Lambda 代码扫描是 Lambda 函数扫描的可选层,您可以随时激活该扫描。
**Topics**
+ [Amazon Inspector 扫描类型概述](#scan-types)
+ [激活扫描类型](activate-scans.md)
+ [使用 Amazon Inspector 扫描 Amazon EC2 实例](scanning-ec2.md)
+ [使用 Amazon Inspector 扫描 Amazon Elastic Container Registry 容器映像](scanning-ecr.md)
+ [使用 Amazon Inspector 进行扫描 AWS Lambda](scanning-lambda.md)
+ [在 Amazon Inspector 中停用扫描类型](deactivate-scans.md)
## Amazon Inspector 扫描类型概述
Amazon Inspector 提供不同的扫描类型,这些类型侧重于您 AWS 环境中的特定资源类型。
**Amazon EC2 扫描**
当您激活 Amazon EC2 扫描时,Amazon Inspector 会扫描您的 EC2 实例中是否存在常见漏洞和漏洞 (CVEs)、网络泄露问题、网络可访问性问题、操作系统和编程语言包漏洞。Amazon Inspector 使用实例上安装的 SSM Agent 或通过实例的 Amazon EBS 快照执行扫描。有关更多信息,请参阅 [使用 Amazon Inspector 扫描 Amazon EC2 实例](scanning-ec2.md)。默认情况下,在激活 Amazon EC2 扫描时,会自动启用混合扫描模式。有关更多信息,请参阅[无代理扫描](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agentless)。
**Amazon ECR 扫描**
激活 Amazon ECR 扫描后,Amazon Inspector 会将您私有注册表中的所有存储库从基本扫描容器存储库转换为增强扫描存储库。您可以使用包含规则将此设置配置为仅在推送时扫描或扫描特定的存储库。Amazon Inspector 仅扫描 ECR 中处于活动状态(`imageStatus`字段为`ACTIVE`)的 ECR 容器镜像。Amazon Inspector 会扫描过去 30 天内在 ECR 中推送或过渡到激活 (`lastActivatedAt`) 或在过去 90 天内提取的所有图像。默认情况下,Amazon Inspector 会继续监控映像 90 天。您可以随时更改此设置。有关更多信息,请参阅 [使用 Amazon Inspector 扫描 Amazon Elastic Container Registry 容器映像](scanning-ecr.md)。
**Lambda 标准扫描**
激活 Lambda 标准扫描后,Amazon Inspector 会发现您账户中的所有 Lambda 函数并立即扫描它们以查找漏洞。Amazon Inspector 会在部署新的 Lambda 函数和层后对其进行扫描。当它们更新或发布新 CVEs 内容时,Amazon Inspector 会重新扫描它们。有关扫描的更多信息,请参阅[使用 Amazon Inspector 进行扫描 AWS Lambda](scanning-lambda.md)。
**Lambda 标准扫描 \$1 Lambda 代码扫描**
激活 Lambda 代码扫描后,Amazon Inspector 会发现您账户中的 Lambda 函数和层,并扫描它们以查找代码漏洞。这种扫描会评估 Lambda 函数中使用的应用程序包依赖关系。 CVEs激活此扫描类型后,还会激活 Lambda 标准扫描。有关更多信息,请参阅 [使用 Amazon Inspector 进行扫描 AWS Lambda](scanning-lambda.md)。
**Amazon Inspector 代码安全性**
此扫描类型会利用 Amazon Q 开发者版扫描引擎来扫描第一方应用程序代码、第三方应用程序依赖关系和基础设施即代码以查找漏洞。有关更多信息,请参阅 [Amazon Inspector 代码安全性](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments.html)。
# 激活扫描类型
您可以随时激活某个扫描类型。激活某个扫描类型后,Amazon Inspector 将开始针对该扫描类型扫描符合条件的资源。
**[Amazon EC2 扫描](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html)**
这种扫描类型会从 Amazon EC2 实例提取元数据,然后再将元数据与从安全公告中收集的规则进行比较。激活此扫描类型后,Amazon Inspector 会扫描您账户中所有符合条件的 Amazon EC2 实例,以查找其中是否存在程序包漏洞和网络可达性问题。激活此扫描类型后,您可以在**实例**选项卡中查看正在扫描的实例数量。
**[Amazon ECR 扫描](https://docs.aws.amazon.com/inspector/latest/user/scanning-ecr.html)**
此扫描类型会扫描 Amazon ECR 中的容器映像和容器存储库。激活此扫描类型时,可以将私有注册表的扫描配置设置从基本扫描更改为增强扫描。激活 Amazon ECR 扫描后,您可以在**容器映像**和**容器存储库**选项卡中查看正在扫描的映像和存储库数量。
**[Lambda 标准扫描](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html#lambda-standard-scans) \$1 [Lambda 代码扫描](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html#lambda-code-scans)**
Lambda 标准扫描是默认的 Lambda 扫描类型。激活 Lambda 标准扫描后,将对在过去 90 天内被调用或更新过的所有 Lambda 函数进行扫描,以查找其中是否存在软件漏洞。激活 Lambda 标准扫描后,您可以在 **Lambda 函数**选项卡中查看正在扫描的 Lambda 函数的数量。
Lambda 代码扫描会扫描 Lambda 函数中的自定义应用程序代码。激活 Lambda 代码扫描后,将对过去 90 天内被调用或更新过的所有 Lambda 函数进行扫描,以查找其中是否存在代码漏洞。激活 Lambda 标准扫描后,您可以在 **Lambda 函数**选项卡中查看正在扫描代码漏洞的 Lambda 函数的数量。
**注意**
如果要激活 Lambda 代码扫描,则必须先激活 Lambda 代码扫描。
**[Amazon Inspector 代码安全性](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments.html)**
此扫描类型会扫描第一方应用程序代码、第三方应用程序依赖关系以及基础设施即代码中是否存在漏洞。激活代码安全后,Amazon Inspector 会根据您的扫描配置开始扫描您的代码存储库中是否存在代码漏洞。激活 Amazon Inspector 代码安全后,您可以在**代码存储库**选项卡中查看正在扫描的代码存储库的数量。
## 激活扫描
以下步骤介绍了如何在 Amazon Inspector 中激活扫描类型。
**注意**
如果您是 AWS 组织的委托管理员,则可以使用 shell 脚本为多个区域的多个账户启用 Amazon Inspector 扫描类型。有关更多信息,请参阅 insp [ector2-enablement-with-cli on](https://github.com/aws-samples/inspector2-enablement-with-cli)。 GitHub否则,请在以 Amazon Inspector 委派管理员的身份登录后完成以下步骤。
------
#### [ Console ]
**激活扫描**
1. 在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 中打开 Amazon Inspector 控制台。
1. 使用页面右上角的选择 AWS 区域 器,选择要激活新扫描类型的区域。
1. 在导航窗格中,选择**账户管理**。
1. 在**账户管理**页面上,选择要为其激活扫描类型的账户。
1. 选择**激活**,然后选择要激活的扫描类型。
1. (推荐)在要激活该扫描类型的每个 AWS 区域 步骤中重复这些步骤。
------
#### [ API ]
运行[启用](https://docs.aws.amazon.com/inspector/v2/APIReference/API_Enable.html) API 操作。在请求中,提供 IDs 您正在激活扫描的账户、等效令牌以及一个或多个`EC2`、`ECR``LAMBDA`、或,`LAMBDA_CODE``resourceTypes`以激活该类型的扫描。
------
# 使用 Amazon Inspector 扫描 Amazon EC2 实例
Amazon Inspector Amazon EC2 扫描会从 EC2 实例提取元数据,然后再将这些元数据与从安全公告中收集的规则进行比较。Amazon Inspector 会扫描实例中是否存在程序包漏洞和网络可达性问题,然后生成[调查发现](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html)。Amazon Inspector 每 12 小时执行一次网络可访问性扫描,并根据与 EC2 实例关联的扫描方法以可变的节奏进行软件包漏洞扫描。
程序包漏洞扫描可以使用[基于代理](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agent-based)或[无代理](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#agentless)的扫描方法执行。这两种扫描方法决定了 Amazon Inspector 如何以及何时从 EC2 实例收集软件清单来进行程序包漏洞扫描。基于代理的扫描使用 SSM Agent 收集软件清单,无代理扫描使用 Amazon EBS 快照收集软件清单。
Amazon Inspector 使用您为账户激活的扫描方法。首次激活 Amazon Inspector 时,您的账户会自动注册混合扫描类型,同时使用这两种扫描方法。不过,您可以随时[更改此设置](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html#scan-mode)。有关如何激活扫描类型的信息,请参阅[激活扫描类型](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html)。本节提供了有关 Amazon EC2 扫描的信息。
**注意**
Amazon EC2 扫描不会扫描与虚拟环境相关的文件系统目录,即使这些目录是通过深度检查预调配的也是如此。例如,由于路径 `/var/lib/docker/` 通常用于容器运行时,因此不会对其进行扫描。
## 基于代理的扫描
在所有符合条件的实例上,我们使用 SSM 代理持续执行基于代理的扫描。对于基于代理的扫描,Amazon Inspector 使用 SSM 关联以及通过这些关联安装的插件从实例收集软件清单。除了对操作系统程序包进行程序包漏洞扫描外,Amazon Inspector 基于代理的扫描还可以通过[基于 Linux 的 Amazon EC2 实例的 Amazon Inspector 深度检查](deep-inspection.md),检测基于 Linux 的实例中的应用程序编程语言包是否存在程序包漏洞。
以下过程说明了 Amazon Inspector 如何使用 SSM 收集清单和执行基于代理的扫描:
1. Amazon Inspector 会在您的账户中创建 SSM 关联,以便从实例中收集清单。对于某些实例类型(Windows 和 Linux),这些关联会在单个实例上安装插件以收集清单。
1. Amazon Inspector 使用 SSM 从实例中提取程序包清单。
1. Amazon Inspector 会评估提取的清单,并针对检测到的任何漏洞生成调查发现。
**注意**
对于基于代理的扫描,Amazon EC2 实例必须由同一 AWS 账户中的 SSM 进行管理。
### 符合条件的实例
如果实例满足以下条件,Amazon Inspector 将使用基于代理的方法对其进行扫描:
+ 该实例具有支持的操作系统。有关支持的操作系统列表,请参阅[支持的操作系统:Amazon EC2 扫描](supported.md#supported-os-ec2)的**基于代理的扫描支持**列。
+ 未使用 Amazon Inspector EC2 排除标签将该实例排除在扫描范围之外。
+ 该实例由 SSM 托管。有关验证和配置该代理的说明,请参阅[配置 SSM 代理](#configure-ssm)。
### 基于代理的扫描行为
使用基于代理的扫描方法时,在以下情况下,Amazon Inspector 会对 EC2 实例启动新的漏洞扫描:
+ 启动新 EC2 实例时。
+ 在现有 EC2 实例(Linux 和 Mac)上安装新软件时。
+ Amazon Inspector 在其数据库中添加新的常见漏洞和风险(CVE)项目,且该 CVE 与您的 EC2 实例(Linux 和 Mac)相关时。
初始扫描完成后,Amazon Inspector 会更新 EC2 实例的**上次扫描时间**字段。此后,当 Amazon Inspector 评估 SSM 清单时(默认为每 30 分钟一次),或者由于影响实例的新 CVE 被添加到 Amazon Inspector 数据库而需要重新扫描该实例时,**上次扫描时间**字段就会更新。
您可以通过**账户管理**页面的“实例”选项卡或通过使用 [https://docs.aws.amazon.com//inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com//inspector/v2/APIReference/API_ListCoverage.html) 命令,来查看上次扫描 EC2 实例是否存在漏洞的时间。
### 配置 SSM 代理
为了让 Amazon Inspector 检测到使用基于代理的扫描方法的 Amazon EC2 实例的软件漏洞,该实例必须是 Amazon EC2 Systems Manager(SSM)中的[托管实例](https://docs.aws.amazon.com//systems-manager/latest/userguide/managed_instances.html)。SSM 托管实例已安装并运行了 SSM 代理,SSM 有权管理该实例。如果您已经在使用 SSM 来管理实例,那么无需执行其他步骤,即可开始基于代理的扫描。
SSM 代理默认安装在根据某些 Amazon 系统映像 (AMIs) 创建的 EC2 实例上。有关更多信息,请参阅 *AWS Systems Manager 用户指南*中的[关于 SSM 代理](https://docs.aws.amazon.com/systems-manager/latest/userguide/prereqs-ssm-agent.html)。但是,即使已经安装了 SSM 代理,您也可能需要手动激活 SSM 代理,并授予 SSM 管理实例的权限。
以下步骤介绍了如何使用 IAM 实例配置文件将 Amazon EC2 实例配置为托管实例。这些步骤还提供了指向 *AWS Systems Manager 用户指南*中更多详细信息的链接。
附加实例配置文件时,建议使用 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) 策略。该策略拥有 Amazon Inspector EC2 扫描所需的所有权限。
**注意**
您还可以使用 SSM 默认主机管理配置,在不使用 IAM 实例配置文件的情况下自动管理所有 EC2 实例。有关更多信息,请参阅[默认主机管理配置](https://docs.aws.amazon.com/systems-manager/latest/userguide/managed-instances-default-host-management.html)。在实例上配置 IAM 实例配置文件时,Amazon Inspector 会使用该配置文件并忽略默认主机管理配置 (DHMC) 角色。
**为 Amazon EC2 实例配置 SSM**
1. 如果操作系统供应商未安装 SSM 代理,请先安装。有关更多信息,请参阅[使用 SSM 代理](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html)。
1. AWS CLI 使用验证 SSM 代理是否正在运行。有关更多信息,请参阅[检查 SSM 代理状态并启动代理](https://docs.aws.amazon.com//systems-manager/latest/userguide/ssm-agent-status-and-restart.html)。
1. 向 SSM 授予管理实例的权限。您可以通过创建 IAM 实例配置文件并将其附加到实例来授予相应权限。我们建议使用 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) 策略,因为该策略具有 Amazon Inspector 扫描所需的 SSM Distributor、SSM Inventory 和 SSM State Manager 权限。有关创建具有这些权限的实例配置文件并将其附加到实例的说明,请参阅[为 Systems Manager 配置实例权限](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html#instance-profile-add-permissions)。
1. (可选)激活 SSM 代理的自动更新。有关更多信息,请参阅[自动更新 SSM 代理](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-automatic-updates.html)。
1. (可选)将 Systems Manager 配置为使用 Amazon Virtual Private Cloud(Amazon VPC)端点。有关更多信息,请参阅[创建 Amazon VPC 端点](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html)。
**重要**
Amazon Inspector 需要您的账户中具有 Systems Manager State Manager 关联才能收集软件应用程序清单。如果不存在相应关联,Amazon Inspector 会自动创建一个名为 `InspectorInventoryCollection-do-not-delete` 的关联。
Amazon Inspector 还需要资源数据同步,如果不存在相应同步,则会自动创建一个名为 `InspectorResourceDataSync-do-not-delete` 的同步。有关更多信息,请参阅 [AWS Systems Manager 用户指南](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-inventory-datasync.html)中的*配置清单的资源数据同步*。每个账户可在每个区域拥有一定数量的资源数据同步。有关更多信息,请参阅 [SSM 端点和](https://docs.aws.amazon.com/general/latest/gr/ssm.html#limits_ssm)配额中资源数据同步的最大数量( AWS 账户 每个区域)。
#### 为扫描创建的 SSM 资源
Amazon Inspector 需要您的账户中有大量 SSM 资源才能运行 Amazon EC2 扫描。以下资源是在您首次激活 Amazon Inspector EC2 扫描时创建的:
**注意**
如果仍在为您的账户激活 Amazon Inspector Amazon EC2 扫描时删除了其中任何 SSM 资源,Amazon Inspector 将在下一个扫描间隔尝试重新创建这些资源。
`InspectorInventoryCollection-do-not-delete`
这是一个 Systems Manager State Manager (SSM) 关联,Amazon Inspector 使用它从您的 Amazon EC2 实例收集软件应用程序清单。如果您的账户已经有用于从 `InstanceIds*` 中收集清单的 SSM 关联,则 Amazon Inspector 将使用该关联而不是自己创建。
`InspectorResourceDataSync-do-not-delete`
这是一个资源数据同步,Amazon Inspector 使用它将收集的清单数据从 Amazon EC2 实例发送到 Amazon Inspector 拥有的 Amazon S3 存储桶。有关更多信息,请参阅 [AWS Systems Manager 用户指南](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-inventory-datasync.html)中的*配置清单的资源数据同步*。
`InspectorDistributor-do-not-delete`
这是 Amazon Inspector 用于扫描 Windows 实例的 SSM 关联。此关联会在 Windows 实例上安装 Amazon Inspector SSM 插件。如果插件文件被无意中删除,则此关联将在下一个关联间隔重新安装它。
`InvokeInspectorSsmPlugin-do-not-delete`
这是 Amazon Inspector 用于扫描 Windows 实例的 SSM 关联。此关联使 Amazon Inspector 可以使用该插件启动扫描,您也可以使用它来设置扫描 Windows 实例的自定义间隔。有关更多信息,请参阅 [为 Windows 实例扫描设置自定义计划](windows-scanning.md#windows-scan-schedule)。
`InspectorLinuxDistributor-do-not-delete`
这是 Amazon Inspector 用于 Amazon EC2 Linux 深度检查的 SSM 关联。此关联会在 Linux 实例上安装 Amazon Inspector SSM 插件。
`InvokeInspectorLinuxSsmPlugin-do-not-delete`
这是 Amazon Inspector 用于 Amazon EC2 Linux 深度检查的 SSM 关联。此关联使 Amazon Inspector 可以使用该插件启动扫描。
**注意**
停用 Amazon Inspector Amazon EC2 扫描或深度检查时,将不再调用 SSM 资源 `InvokeInspectorLinuxSsmPlugin-do-not-delete`。
## 无代理扫描
当您的账户处于混合扫描模式时,Amazon Inspector 会对符合条件的实例使用无代理扫描方法。混合扫描模式包括基于代理的扫描和无代理扫描,当您激活 Amazon EC2 扫描时会自动启用。
对于无代理扫描,Amazon Inspector 使用 EBS 快照从您的实例收集软件清单。无代理扫描会对实例进行扫描,看其是否存在操作系统程序包和应用程序编程语言程序包漏洞。
**注意**
扫描 Linux 实例是否存在应用程序编程语言包漏洞时,无代理方法会扫描所有可用路径,而基于代理的扫描仅扫描默认路径和您在[基于 Linux 的 Amazon EC2 实例的 Amazon Inspector 深度检查](deep-inspection.md)中指定的其他路径。这可能会导致同一个实例有不同的调查发现,具体取决于它是使用基于代理的方法还是使用无代理方法进行扫描。
以下过程说明了 Amazon Inspector 如何使用 EBS 快照收集清单和执行无代理扫描:
1. Amazon Inspector 会为附加到实例的所有卷创建一个 EBS 快照。当 Amazon Inspector 使用它时,快照存储在您的账户中,会使用 `InspectorScan` 标签键进行标记,并使用唯一的扫描 ID 作为标签值。
1. Amazon Inspector 使用 [EBS Dire](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-accessing-snapshot.html) ct 从快照中检索数据, APIs并对快照进行漏洞评估。针对任何检测到的漏洞,都会生成调查发现。
1. Amazon Inspector 会删除它在您的账户中创建的 EBS 快照。
### 符合条件的实例
如果实例满足以下条件,Amazon Inspector 将使用无代理方法对其进行扫描:
+ 该实例具有支持的操作系统。有关更多信息,请参阅[支持的操作系统:Amazon EC2 扫描](supported.md#supported-os-ec2)的“基于代理的扫描支持”列。
+ 该实例的状态为 `Unmanaged EC2 instance`、`Stale inventory` 或 `No inventory`。
+ 该实例由 Amazon EBS 支持,具有以下文件系统格式之一:
+ `ext3`
+ `ext4`
+ `xfs`
+ 未使用 Amazon EC2 排除标签将该实例排除在扫描范围之外。
+ 连接到该实例的卷数量小于 8 个,其总大小小于或等于 1200 GB。
### 无代理扫描行为
当您的账户配置为**混合扫描**时,Amazon Inspector 会每 24 小时对符合条件的实例执行一次无代理扫描。Amazon Inspector 每小时都会检测和扫描新的符合条件的实例,其中包括没有 SSM 代理的新实例,或者状态已更改为 `SSM_UNMANAGED` 的现有实例。
每当 Amazon Inspector 在无代理扫描后扫描从实例提取的快照时,都会更新 Amazon EC2 实例的**上次扫描时间**字段。
您可以通过“账户管理”页面的“实例”选项卡或通过使用 [https://docs.aws.amazon.com//inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com//inspector/v2/APIReference/API_ListCoverage.html) 命令,来查看上次扫描 EC2 实例是否存在漏洞的时间。
## 管理扫描模式
EC2 扫描模式决定了 Amazon Inspector 在您的账户中执行 EC2 扫描时将使用哪些扫描方法。您可以在**常规设置**下的 EC2 扫描设置页面查看账户的扫描模式。独立账户或 Amazon Inspector 委派管理员可以更改扫描模式。当您将扫描模式设置为 Amazon Inspector 委派管理员时,系统会为您组织中的所有成员账户设置该扫描模式。Amazon Inspector 具有以下扫描模式:
**基于代理的扫描** – 在此扫描模式下,Amazon Inspector 在扫描程序包漏洞时将仅使用基于代理的扫描方法。此扫描模式仅扫描您账户中的 SSM 托管实例,但其好处是可以提供持续扫描,以响应新的 CVE 或对实例的更改。基于代理的扫描还可以为符合条件的实例提供 Amazon Inspector 深度检查。这是新激活账户的默认扫描模式。
**混合扫描** – 在此扫描模式下,Amazon Inspector 将结合使用基于代理和无代理的方法来扫描程序包漏洞。对于安装并配置了 SSM 代理的符合条件的 EC2 实例,Amazon Inspector 会使用基于代理的方法。对于不受 SSM 管理的符合条件的实例,Amazon Inspector 将对符合条件且由 EBS 支持的实例使用无代理方法。
**更改扫描模式**
1. 使用您的凭证登录,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 中打开 Amazon Inspector 控制台。
1. 使用页面右上角的选择 AWS 区域 器,选择要更改 EC2 扫描模式的区域。
1. 在侧面导航面板的**常规设置**下,选择 **EC2 扫描设置**。
1. 在**扫描模式**下,选择**编辑**。
1. 选择一个扫描模式,然后选择**保存更改**。
## 从 Amazon Inspector 扫描中排除实例
可以使用 `InspectorEc2Exclusion` 密钥为 Linux 和 Windows 实例添加标签,从而将其排除在 Amazon Inspector 扫描范围之外。标签密钥不区分大小写。包括标签值是可选的。有关添加标签的信息,请参阅[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。
当为实例添加标签以将其排除在 Amazon Inspector 扫描范围之外时,Amazon Inspector 会将该实例标记为已排除,且不会为其创建调查发现。但是,Amazon Inspector SSM 插件将继续被调用。要防止调用该插件,必须[允许访问实例元数据中的标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/work-with-tags-in-IMDS.html#allow-access-to-tags-in-IMDS)。
**注意**
您无需为排除的实例付费。
此外,您可以通过使用标签标记用于加密该卷的 AWS KMS 密钥,将加密的 EBS 卷排除在无代理扫描之外。`InspectorEc2Exclusion`有关更多信息,请参阅[标记密钥](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys)。
## 支持的操作系统
Amazon Inspector 会扫描支持的 Mac、Windows 和 Linux 实例中是否存在操作系统包中的漏洞。对于 Linux 实例,Amazon Inspector 可以使用 [基于 Linux 的 Amazon EC2 实例的 Amazon Inspector 深度检查](deep-inspection.md) 生成应用程序编程语言包的调查发现。对于 Mac 和 Windows 实例,仅扫描操作系统程序包。
有关支持的操作系统的信息,包括无需使用 SSM 代理即可扫描哪些操作系统,请参见[Amazon EC2 实例的状态值支持的操作系统:Amazon EC2 扫描](supported.md#supported-os-ec2)。
# 基于 Linux 的 Amazon EC2 实例的 Amazon Inspector 深度检查
Amazon Inspector 将 Amazon EC2 扫描覆盖率扩展至深度检查。借助深度检查,Amazon Inspector 可以检测基于 Linux 的 Amazon EC2 实例中的应用程序编程语言程序包是否存在程序包漏洞。Amazon Inspector 会扫描编程语言包库的默认路径。但是,除了默认情况下 Amazon Inspector 扫描的路径外,您还可以[配置自定义路径](https://docs.aws.amazon.com//inspector/latest/user/deep-inspection.html#deep-inspection-paths)。
**注意**
深度检查需要`ssm:PutInventory`和`ssm:GetParameter`权限。如果在实例上配置了 IAM 实例配置文件,Amazon Inspector 将使用该配置文件并忽略 DHMC 角色。实例配置文件必须包含这些权限。如果未设置实例配置文件,Amazon Inspector 将使用已[配置的默认主机管理配置](https://docs.aws.amazon.com/systems-manager/latest/userguide/managed-instances-default-host-management.html)角色,该角色必须包含这些权限。
为了对您基于 Linux 的 Amazon EC2 实例执行深度检查扫描,Amazon Inspector 会使用通过 Amazon Inspector SSM 插件收集的数据。为了管理 Amazon Inspector SSM 插件并对 Linux 执行深度检查,Amazon Inspector 会自动在您的账户中创建 SSM 关联 `InvokeInspectorLinuxSsmPlugin-do-not-delete`。Amazon Inspector 每 6 小时从基于 Linux 的 Amazon EC2 实例收集更新的应用程序清单。
**注意**
Windows 或 Mac 实例不支持深度检查。
本节介绍了如何管理 Amazon EC2 实例的 Amazon Inspector 深度检查,包括如何为 Amazon Inspector 设置自定义扫描路径。
**Topics**
+ [访问或停用深度检查](#deep-inspection-activate)
+ [Amazon Inspector 深度检查的自定义路径](#deep-inspection-paths)
+ [Amazon Inspector 深度检查的自定义计划](#deep-inspection-schedules)
+ [支持的编程语言](#supported-deep-inspection)
## 访问或停用深度检查
**注意**
对于在 2023 年 4 月 17 日之后激活 Amazon Inspector 的账户,深度检查将作为 Amazon EC2 扫描的一部分自动激活。
**管理深度检查**
1. 使用您的凭证登录,然后在 [https://console.aws.amazon.com/inspector/v](https://console.aws.amazon.com/inspector/v2/home) 2/home 中打开 Amazon Inspector 控制台
1. 在导航窗格中,选择**常规设置**,然后选择 Amazon EC2 扫描设置。
1. 在 **Amazon EC2 实例的深度检查**下,您可以[为您的组织或您自己的账户设置自定义路径](https://docs.aws.amazon.com/inspector/latest/user/deep-inspection.html#deep-inspection-paths)。
您可以使用 [GetEc2 DeepInspectionConfiguration](https://docs.aws.amazon.com/inspector/v2/APIReference/API_GetEc2DeepInspectionConfiguration.html) API 以编程方式检查单个账户的激活状态。您可以使用 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html) API 以编程方式检查多个账户的激活状态。
如果您在 2023 年 4 月 17 日之前激活了 Amazon Inspector,则可以通过控制台横幅或 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html) API 激活深度检查。如果您是 Amazon Inspector 中某组织的委派管理员,则可以使用 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html) API 为自己和成员账户激活深度检查。
您可以通过 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html) API 停用深度检查。组织中的成员账户无法停用深度检查。因此,成员账户必须由其委派管理员使用 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html) API 停用。
## Amazon Inspector 深度检查的自定义路径
您可以设置自定义路径,以便 Amazon Inspector 在对 Linux Amazon EC2 实例执行深度检查时进行扫描。当您设置自定义路径时,Amazon Inspector 会扫描该目录及其中的所有子目录中的程序包。
所有账户都可以定义最多 5 个自定义路径。组织的委派管理员可以定义 10 个自定义路径。
Amazon Inspector 除了扫描所有账户的以下默认路径外,还会扫描所有自定义路径:
+ `/usr/lib`
+ `/usr/lib64`
+ `/usr/local/lib`
+ `/usr/local/lib64`
**注意**
自定义路径必须是本地路径。Amazon Inspector 不会扫描映射的网络路径,例如网络文件系统挂载或 Amazon S3 文件系统挂载等。
### 自定义路径的格式设置
自定义路径不能超过 256 个字符。以下是自定义路径外观的示例:
**路径示例**
`/home/usr1/project01`
**注意**
每个实例的程序包限制是 5000 个。程序包清单收集时间上限为 15 分钟。Amazon Inspector 建议您选择自定义路径,以规避这些限制。
### 使用 Amazon Inspector 控制台和 Amazon Inspector API 设置自定义路径
以下步骤描述了如何使用 Amazon Inspector 控制台以及使用 Amazon Inspector API 为 Amazon Inspector 深度检查设置自定义路径。设置自定义路径后,Amazon Inspector 会在下一次深度检查中包含该路径。
------
#### [ Console ]
1. 以授权管理员身份登录, AWS 管理控制台 然后在 [https://console.aws.amazon.com/inspector/v](https://console.aws.amazon.com/inspector/v2/home) 2/home 上打开 Amazon Inspector 控制台
1. 使用 AWS 区域 选择器选择要激活 Lambda 标准扫描的区域。
1. 在导航窗格中,依次选择**常规设置**和 **EC2 扫描设置**。
1. 在**自己账户的自定义路径**下,选择**编辑**。
1. 在路径文本框中输入自定义路径。
1. 选择**保存**。
------
#### [ API ]
运行 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html) 命令。对于 `packagePaths`,指定要扫描的路径数组。
------
## Amazon Inspector 深度检查的自定义计划
默认情况下,Amazon Inspector 每 6 小时从基于 Amazon EC2 实例收集一次应用程序清单。不过,可以运行以下命令来控制 Amazon Inspector 执行此操作的频率。
**命令示例 1:列出关联以查看关联 ID 和当前间隔**
以下命令显示关联 `InvokeInspectorLinuxSsmPlugin-do-not-delete` 的关联 ID。
```
aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region
```
**命令示例 2:更新关联以包括新的间隔**
以下命令使用关联 `InvokeInspectorLinuxSsmPlugin-do-not-delete` 的关联 ID。您可以将 `schedule-expression` 速率从 6 小时设置为新的间隔,例如 12 小时。
```
aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region
```
**注意**
根据您的使用案例,如果您将 `schedule-expression` 速率从 6 小时设置为 30 分钟这样的间隔,则可能会[超出每日 SSM 清单限制](https://docs.aws.amazon.com/inspector/latest/user/assessing-coverage.html#viewing-coverage-instances)。这会导致结果延迟,并且您可能会遇到 Amazon EC2 实例部分处于错误状态的情况。
## 支持的编程语言
对于 Linux 实例,Amazon Inspector 深度检查还可以生成应用程序编程语言程序包及操作系统程序包的调查发现。
对于 Mac 和 Windows 实例,Amazon Inspector 深度检查只能生成操作系统程序包的调查发现。
有关支持的编程语言的更多信息,请参阅[支持的编程语言:Amazon EC2 深度检查](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-programming-languages-deep-inspection)。
# 使用 Amazon Inspector 扫描 Windows EC2 实例
Amazon Inspector 会自动发现所有支持的 Windows 实例,并将其纳入连续扫描,无需任何额外操作。有关支持哪些实例的信息,请参阅 [Amazon Inspector 支持的操作系统和编程语言](https://docs.aws.amazon.com/inspector/latest/user/supported.html)。Amazon Inspector 会定期运行 Windows 扫描。Windows 实例在发现时进行扫描,然后每 6 小时扫描一次。但是,可以在首次扫描后[调整默认扫描间隔](https://docs.aws.amazon.com/inspector/latest/user/windows-scanning.html#windows-scan-schedule)。
激活 Amazon EC2 扫描后,Amazon Inspector 会为 Windows 资源创建以下 SSM 关联:`InspectorDistributor-do-not-delete`、`InspectorInventoryCollection-do-not-delete` 和 `InvokeInspectorSsmPlugin-do-not-delete`。若要在 Windows 实例上安装 Amazon Inspector SSM 插件,`InspectorDistributor-do-not-delete` SSM 关联会使用 [`AWS-ConfigureAWSPackage` SSM 文档](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-ssm-docs.html)和 [`AmazonInspector2-InspectorSsmPlugin` SSM Distributor 程序包](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html)。有关更多信息,请参阅[适用于 Windows 的 Amazon Inspector SSM 插件](https://docs.aws.amazon.com/inspector/latest/user/deep-inspection.html#inspector/latest/user/deep-inspection.html)。若要收集实例数据并生成 Amazon Inspector 调查发现,`InvokeInspectorSsmPlugin-do-not-delete` SSM 关联会每 6 小时运行一次 Amazon Inspector SSM 插件。但是,您可以[使用 cron 或 rate 表达式自定义此设置](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html)。
**注意**
Amazon Inspector 将更新的开放漏洞和评测语言(OVAL)定义文件暂存到 S3 存储桶 `inspector2-oval-prod-your-AWS-Region`。Amazon S3 存储桶包含扫描中使用的 OVAL 定义。不应修改这些 OVAL 定义。否则,Amazon Inspector 在新版本发布 CVEs 时将不会对其进行扫描。
## Windows 实例的 Amazon Inspector 扫描要求
要扫描 Windows 实例,Amazon Inspector 要求实例满足以下条件:
+ 该实例是 SSM 托管实例。有关设置扫描实例的说明,请参阅[配置 SSM 代理](scanning-ec2.md#configure-ssm)。
+ 实例操作系统是支持的 Windows 操作系统之一。有关支持的操作系统类型的完整列表,请参阅[Amazon EC2 实例的状态值支持的操作系统:Amazon EC2 扫描](supported.md#supported-os-ec2)。
+ 该实例安装了 Amazon Inspector SSM 插件。Amazon Inspector 会在发现托管实例时自动为其安装 Amazon Inspector SSM 插件。有关该插件的详细信息,请参阅下一个主题。
**注意**
如果主机在 Amazon VPC 中运行,但没有出站互联网访问权限,则 Windows 扫描要求主机能够访问区域 Amazon S3 端点。要了解如何配置 Amazon S3 Amazon VPC 端点,请参阅 *Amazon Virtual Private Cloud 用户指南*中的[创建网关端点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3)。如果您的 Amazon VPC 终端节点策略限制对外部 S3 存储桶的访问,则必须明确允许访问由 Amazon Inspector 维护的存储桶 AWS 区域 ,该存储桶存储用于评估您的实例的 OVAL 定义。此存储桶使用以下格式:`inspector2-oval-prod-REGION`。
## 为 Windows 实例扫描设置自定义计划
您可以使用 SSM 为 `InvokeInspectorSsmPlugin-do-not-delete` 关联设置 cron 表达式或 rate 表达式,从而自定义 Windows Amazon EC2 实例扫描之间的间隔时间。有关更多信息,请参阅 *AWS Systems Manager 用户指南*中的[参考:适用于 Systems Manager 的 cron 和 rate 表达式](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html),或使用以下说明。
从以下代码示例中选择一个,使用 rate 表达式或 cron 表达式将 Windows 实例的扫描节奏从默认的 6 小时更改为 12 小时。
以下示例要求您使用名**AssociationId**为的关联`InvokeInspectorSsmPlugin-do-not-delete`。你可以**AssociationId**通过运行以下 AWS CLI 命令来检索你的:
```
$ aws ssm list-associations --association-filter-list "key=AssociationName,value=InvokeInspectorSsmPlugin-do-not-delete" --region us-east-1
```
**注意**
**AssociationId**是区域性的,因此您需要先为每个区域检索一个唯一的 ID AWS 区域。然后,您可以运行上述命令,在要为 Windows 实例设置自定义扫描计划的每个区域更改扫描节奏。
------
#### [ Example rate expression ]
```
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "rate(12 hours)"
```
------
#### [ Example cron expression ]
```
$ aws ssm update-association \
--association-id "YourAssociationId" \
--association-name "InvokeInspectorSsmPlugin-do-not-delete" \
--schedule-expression "cron(0 0/12 * * ? *)"
```
------
# 使用 Amazon Inspector 扫描 Amazon Elastic Container Registry 容器映像
Amazon Inspector 会扫描存储在 Amazon Elastic Container Registry 中的容器映像是否存在软件漏洞,以生成[程序包漏洞调查发现](https://docs.aws.amazon.com/)。激活 Amazon ECR 扫描后,会将 Amazon Inspector 设置为私有注册表的首选扫描服务。
**注意**
Amazon ECR 使用注册策略向 AWS 委托人授予权限。该委托人拥有致电 Amazon Inspect APIs or 进行扫描所需的权限。设置注册表策略的范围时,不得在 `deny` 中添加 `ecr:*` 操作或 `PutRegistryScanningConfiguration`。在启用和禁用 Amazon ECR 扫描时,这样会导致在注册表级别出现错误。
通过基本扫描,可以将存储库配置为在推送时扫描,也可以执行手动扫描。使用增强扫描,可以在注册表级别扫描操作系统和编程语言程序包漏洞。要 side-by-side比较基本扫描和增强扫描之间的区别,请参阅 [Amazon Inspector 常见问题解答](https://aws.amazon.com/inspector/faqs/)。
**注意**
基本扫描服务通过 Amazon ECR 提供并进行计费。有关更多信息,请参阅 [Amazon Elastic Container Registry 定价](https://aws.amazon.com/ecr/pricing/)。增强型扫描通过 Amazon Inspector 提供并进行计费。有关更多信息,请参阅 [Amazon Inspector 定价](https://aws.amazon.com/inspector/pricing/)。
有关如何激活 Amazon ECR 扫描的信息,请参阅[激活扫描类型](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html)。有关如何查看调查发现的信息,请参阅[查看 Amazon Inspector 调查发现](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html)。有关如何在映像级别查看 Amazon ECR 内的调查发现的信息,请参阅《Amazon Elastic Container Registry 用户指南》**中的[映像扫描](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html)。您可以使用 “ AWS 服务 不可用于基本扫描”(例如[AWS Security Hub CSPM 和 Amazon](https://docs.aws.amazon.com/inspector/latest/user/integrations.html))来管理调查结果 EventBridge。
您可以通过报道页面和,在 Amazon Inspector 中查看每个存储库的扫描配置 APIs。但是,只能在 Amazon ECR 中修改基本扫描与连续扫描的配置设置。Amazon Inspector 提供对这些设置的可见性,但不提供直接修改功能。有关更多信息,请参阅《Amazon ECR 用户指南》**中的[在 Amazon ECR 中扫描映像是否存在软件漏洞](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html)。
本节提供了有关 Amazon ECR 扫描的信息,并介绍了如何为 Amazon ECR 存储库配置增强扫描。
## Amazon ECR 扫描的扫描行为
首次激活 Amazon ECR 扫描时,Amazon Inspector 会检测过去 14 天内推送的映像。然后,Amazon Inspector 会扫描这些映像,并将扫描状态设置为 `ACTIVE`。Amazon Inspector 将仅扫描 ECR 中处于活动状态的图像(`imageStatus`字段为`ACTIVE`)。Amazon Inspector 不会扫描状态为 ECR(`imageStatus`字段为`ARCHIVED`)的图片。
如果启用连续扫描,Amazon Inspector 将监控图像在 14 天内(默认)、 last-in-use日期在 14 天内(默认)或在配置的重新扫描持续时间内扫描图像。对于 2025 年 5 月 16 日之前创建的 Amazon Inspector 账户,默认配置是重新扫描以监控映像是否在过去 90 天内被推送或拉取。有关更多信息,请参阅[配置 Amazon ECR 重新扫描持续时间](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html)。
对于连续扫描,Amazon Inspector 会对以下情况中的容器映像启动新的漏洞扫描:
+ 每当推送新的容器映像时。
+ 每当 Amazon Inspector 在其数据库中添加新的常见漏洞和风险(CVE)项目,并且 CVE 与该容器映像相关时(仅限持续扫描)。
+ 每当容器镜像在 ECR 中从存档转换为活动镜像时。
如果您将存储库配置为推送扫描,则只有在推送映像时才会对其进行扫描。
您可以通过**账户管理**页面的**容器映像**选项卡或使用 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html) API 来查看上次检查容器映像是否存在漏洞的时间。发生以下事件时,Amazon Inspector 会更新 Amazon ECR 映像的**上次扫描时间**字段:
+ Amazon Inspector 完成对容器映像的初始扫描时。
+ 由于 Amazon Inspector 数据库中添加了影响该容器映像的新的常见漏洞和风险(CVE)项目,因此 Amazon Inspector 重新扫描容器映像时。
### 已存档的 ECR 容器镜像
Amazon Inspector 不扫描存档在 ECR (`imageStatus`is`ARCHIVED`) 中的容器图像。当 ECR 中的活动图像转换为存档图像时,Amazon Inspector 会自动关闭调查结果,然后在 3 天后删除调查结果。如果存档的容器镜像在 ECR 中变为活动镜像,Amazon Inspector 会触发新的扫描。
## 将容器映像映射到正在运行的容器
Amazon Inspector 通过将容器映像映射到 Amazon Elastic Container Service(Amazon ECS)和 Amazon Elastic Kubernetes Service(Amazon EKS)中正在运行的容器,来提供全面的容器安全管理。这些映射可让您深入了解正在运行的容器上映像的漏洞。
**注意**
仅使用托管式策略 `AWSReadOnlyAccess` 无法提供查看 Amazon ECR 映像与正在运行的容器之间映射的足够权限。要查看容器映像映射信息,您需要同时使用 `AWSReadOnlyAccess` 和 `AWSInspector2ReadOnlyAccess` 托管式策略。
您可以根据运营风险确定修复工作的优先级,并在整个容器生态系统中保持安全覆盖范围。您可以查看当前正在使用的容器映像数量,以及过去 24 小时内在 Amazon ECS 或 Amazon EKS 集群上最后使用的具体容器映像。您还可以查看部署了多少 Amazon ECS 任务和 Amazon EKS 容器组(pod)。可以在 Amazon Inspector 控制台的容器映像调查发现的详细信息屏幕上并对 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html) 数据类型使用 `ecrImageInUseCount` 和 `ecrImageLastInUseAt` 筛选条件来找到此信息。对于新的容器映像或账户,数据可能需要长达 36 小时才能使用。之后,此数据每 24 小时更新一次。有关更多信息,请参阅[查看 Amazon Inspector 调查发现](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html)和[查看 Amazon Inspector 调查发现的详细信息](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-details.html)。
**注意**
激活 Amazon ECR 扫描并将存储库配置为连续扫描时,会将这些数据自动发送到 Amazon ECR 调查发现。必须在 Amazon ECR 存储库级别配置连续扫描。有关更多信息,请参阅《Amazon Elastic Container Registry 用户指南》**中的[增强扫描](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-enhanced.html)。
您也可以根据集群中的[容器镜像的 last-in-use日期重新扫描](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html)这些镜像。
搭载 Amazon ECS 和 Amazon EKS 的 Fargate 也支持此功能。
## 支持的操作系统和媒体类型
有关支持的操作系统的信息,请参阅[支持的操作系统:使用 Amazon Inspector 执行 Amazon ECR 扫描](supported.md#supported-os-ecr)。
Amazon Inspector 对 Amazon ECR 存储库的扫描涵盖以下支持的媒体类型:
**映像清单**
+ `"application/vnd.oci.image.manifest.v1+json"`
+ `"application/vnd.docker.distribution.manifest.v2+json"`
**映像配置**
+ `"application/vnd.docker.container.image.v1+json"`
+ `"application/vnd.oci.image.config.v1+json"`
**映像层**
+ `"application/vnd.docker.image.rootfs.diff.tar"`
+ `"application/vnd.docker.image.rootfs.diff.tar.gzip"`
+ `"application/vnd.docker.image.rootfs.foreign.diff.tar.gzip"`
+ `"application/vnd.oci.image.layer.v1.tar"`
+ `"application/vnd.oci.image.layer.v1.tar+gzip"`
+ `"application/vnd.oci.image.layer.v1.tar+zstd"`
+ `"application/vnd.oci.image.layer.nondistributable.v1.tar"`
+ `"application/vnd.oci.image.layer.nondistributable.v1.tar+gzip"`
**注意**
Amazon Inspector 不支持使用 `"application/vnd.docker.distribution.manifest.list.v2+json"` 媒体类型来扫描 Amazon ECR 存储库。
# 配置 Amazon ECR 重新扫描持续时间
Amazon ECR 重新扫描持续时间设置决定了 Amazon Inspector 持续监控存储库中的容器映像的时间。您可以为图像 last-in-use日期、上次提取日期和推送日期配置重新扫描持续时间。最佳做法是,根据您的环境配置最合适的重新扫描持续时间。
如果您经常构建映像,请选择较短的扫描持续时间。对于长时间使用的映像,请选择更长的扫描持续时间。新帐户(包括添加到组织中的新帐户)的默认扫描持续时间为 14 天。
只要映像在集群上的上次使用或推送时间在 14 天内(默认情况下),Amazon Inspector 就会继续监控和重新扫描映像。如果映像在配置的推送日期和上次使用日期内未被推送或未在运行的容器上使用,则 Amazon Inspector 将停止对其进行监控。如果需要,可以选择将设置更改为按上次拉取日期监控映像,而不是按上次使用日期监控映像。当 Amazon Inspector 停止监控映像时,它会将映像扫描状态代码设置为非活动,并将原因代码设置为已过期。然后,Amazon Inspector 会计划关闭所有相关的映像调查发现。
例如,如果延长拉取日期持续时间,Amazon Inspector 会将更改应用于配置为持续扫描的存储库中所有正在主动扫描的映像。但是,即使您在新的持续时间内推送了非活动映像,它们仍处于非活动状态。
通过委派管理员账户配置重新扫描持续时间时,Amazon Inspector 会将该设置应用于组织中的所有成员账户。如果委派管理员账户未启用 Amazon ECR 扫描,则无法查看 API 映像的集群。
对于多架构映像,不支持 last-in-use日期跟踪。使用多架构映像时,我们建议您根据图像拉取或推送事件而不是 last-in-use日期来配置扫描,以确保正确的重新扫描行为。
**注意**
2025 年 5 月 16 日之前配置的所有重新扫描持续时间设置将保持不变。您可以继续使用先前配置的任何默认设置。
**映像重新扫描持续时间**
映像重新扫描持续时间决定了 Amazon Inspector 监控映像的时间长度。图像重新扫描持续时间包括两种模式:**上次使用日期**(默认)或**上次提取日期**。如果您想**使用 Amazon E ECS/Amazon KS 集群活动中的上次使用日期**,请选择上次使用日期(默认)。如果您想使用 Amazon ECR 映像的上次拉取日期来重新扫描映像,请选择**上次拉取日期**。可选择以下重新扫描持续时间选项:
+ 14 天(默认)
+ 30 天
+ 60 天
+ 90 天
+ 180 天
**映像推送日期持续时间**
映像推送日期持续时间决定了 Amazon Inspector 在将映像推送到存储库之后会持续监控映像的时间长度。可选择以下重新扫描持续时间选项:
+ 14 天(默认)
+ 30 天
+ 60 天
+ 90 天
+ 180 天
+ 生命周期
**配置 Amazon ECR 重新扫描持续时间**
1. 使用您的凭证登录,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 中打开 Amazon Inspector 控制台。
1. 选择您要配置 Amazon ECR 重新扫描持续时间 AWS 区域 的位置。
1. 在导航窗格中,依次选择**常规设置**和 **ECR 扫描设置**。
1. 在 **ECR 重新扫描持续时间**下,选择映像重新扫描模式,然后选择相应的持续时间。
1. 在**映像推送日期**下,选择映像推送日期。
1. 选择**保存**。
## 了解 ECR 容器镜像状态
Inspector 仅扫描 ECR 容器镜像中的`ACTIVE`图像。不扫描处于`ARCHIVED`状态的 ECR 容器映像。要了解有关扫描行为的更多信息,请参阅[Amazon ECR 扫描的扫描行为](scanning-ecr.md#ecr-scan-behavior)。
当 ECR 容器镜像在 ECR 中的图像状态转换为,`ACTIVE`Inspector 会使用该`lastActivatedAt`字段来监控重新扫描的持续时间。
# 使用 Amazon Inspector 进行扫描 AWS Lambda
Amazon Inspector 对 AWS Lambda 功能和层的支持可提供持续的自动安全漏洞评估。Amazon Inspector 提供两种类型的 Lambda 函数扫描。
**[Amazon Inspector Lambda 标准扫描](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_exclude_functions.html)**
此扫描类型是默认的 Lambda 扫描类型。它会扫描 Lambda 函数和层中的应用程序依赖关系,以查找[程序包漏洞](findings-types.md#findings-types-package)。
**[Amazon Inspector Lambda 代码扫描](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_code.html)**
这种扫描类型会扫描 Lambda 函数及层中的自定义应用程序代码,以查找[代码漏洞](findings-types.md#findings-types-code)。您可以激活 Lambda 标准扫描,也可以同时激活 Lambda 标准扫描和 Lambda 代码扫描。
如果要激活 Lambda 代码扫描,则必须先激活 Lambda 代码扫描。有关更多信息,请参阅[激活扫描类型](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html)。
激活 Lambda 函数扫描后,Amazon Inspector 会在您的账户中创建以下服务相关通道:`cloudtrail:CreateServiceLinkedChannel` 和 `cloudtrail:DeleteServiceLinkedChannel`。Amazon Inspector 管理这些渠道,并使用它们来监控扫描 CloudTrail 事件。这些频道允许您查看账户中的 CloudTrail 事件,就像有跟踪一样 CloudTrail。我们建议您在中创建自己的跟踪 CloudTrail 以管理您账户中的事件。有关如何查看这些通道的信息,请参阅《AWS CloudTrail 用户指南》**中的[查看服务相关通道](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-service-linked-channels.html)。
**注意**
Amazon Inspector 不支持扫描[使用客户托管密钥加密的 Lambda 函数](https://docs.aws.amazon.com/lambda/latest/dg/security-encryption-at-rest.html)。这一点适用于 Lambda 标准扫描和 Lambda 代码扫描。
## Lambda 函数扫描的扫描行为
激活后,Amazon Inspector 会扫描您账户中过去 90 天内调用或更新的所有 Lambda 函数。在以下情况下,Amazon Inspector 会对 Lambda 函数启动漏洞扫描:
+ Amazon Inspector 发现现有 Lambda 函数时。
+ 将新的 Lambda 函数部署到 Lambda 服务时。
+ 部署现有 Lambda 函数或其层的应用程序代码或依赖项更新时。
+ Amazon Inspector 在其数据库中添加新的常见漏洞和风险(CVE)项目,且该 CVE 与您的函数相关时。
Amazon Inspector 会在每个 Lambda 函数的整个生命周期内对其进行监控,直到该函数被删除或被排除在扫描范围之外。
您可以通过**账户管理**页面的 **Lambda 函数**选项卡或使用 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html) API 来查看上次检查 Lambda 函数是否存在漏洞的时间。发生以下事件时,Amazon Inspector 会更新 Lambda 函数的**上次扫描时间**字段:
+ Amazon Inspector 完成对 Lambda 函数的初始扫描时。
+ 更新 Lambda 函数时。
+ 由于影响 Lambda 函数的新 CVE 项目添加到 Amazon Inspector 数据库中,Amazon Inspector 重新扫描该函数时。
## 支持的运行时系统和符合条件的函数
对于 Lambda 标准扫描和 Lambda 代码扫描,Amazon Inspector 支持不同的运行时系统。有关每种扫描类型支持的运行时系统的列表,请参阅[支持的运行时系统:Amazon Inspector Lambda 标准扫描](supported.md#supported-programming-languages-lambda-standard)和[支持的运行时系统:Amazon Inspector Lambda 代码扫描](supported.md#supported-programming-languages-lambda-code)。
除了具有受支持的运行时系统之外,Lambda 函数还需要满足以下条件才有资格进行 Amazon Inspector 扫描:
+ 过去 90 天内调用或更新过该函数。
+ 该函数被标记为 `$LATEST`。
+ 该函数未按标签从扫描中排除。
**注意**
过去 90 天内未调用或修改的 Lambda 函数将自动排除在扫描范围之外。如果 Lambda 函数再次被调用或对函数代码进行了更改,则 Amazon Inspector 将恢复对自动排除的函数的扫描。
# Amazon Inspector Lambda 标准扫描
Amazon Inspector Lambda 标准扫描可识别您添加到 Lambda 函数代码和层的应用程序包依赖项中的软件漏洞。例如,如果 Lambda 函数使用的 `python-jwt` 程序包版本存在已知脆弱性,则 Lambda 标准扫描将生成针对该函数的调查发现。
如果 Amazon Inspector 在 Lambda 函数应用程序包依赖项中检测到脆弱性,则 Amazon Inspector 会生成详细的**程序包脆弱性**类型的调查发现。
有关激活扫描类型的说明,请参阅[激活扫描类型](activate-scans.md)。
**注意**
Lambda 标准扫描不会扫描 Lambda 运行时环境中默认安装的 AWS SDK 依赖项。Amazon Inspector 仅扫描使用函数代码上传的依赖项或从层继承的依赖项。
**注意**
停用 Amazon Inspector Lambda 标准扫描也将同时停用 Amazon Inspector Lambda 代码扫描。
# 从 Lambda 标准扫描中排除函数
您可以向 Lambda 函数添加标签,从而将其排除在 Amazon Inspector Lambda 标准扫描之外。从扫描中排除函数能够防止出现无法操作的警报。向要排除的函数添加标签时,该标签必须具有以下键值对。
+ 键:`InspectorExclusion`
+ 值:`LambdaStandardScanning`
本主题介绍如何向要从扫描中排除的函数添加标签。有关在 Lambda 中添加标签的更多信息,请参阅[在 Lambda 函数上使用标签](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html)。
**从扫描中排除函数**
1. 使用您的凭证登录,然后打开 Lambda 控制台,网址为:[https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/)。
1. 从导航窗格中选择**函数**。
1. 选择要排除在 Amazon Inspector Lambda 标准扫描之外的函数的名称。
1. 选择 **Configuration**(配置),然后选择 **Tags**(标签)。
1. 选择**管理标签**,然后选择**添加新标签**。
1. 对于**键**,输入 `InspectorExclusion`。
1. 对于 **Value**(值),输入 `LambdaStandardScanning`
1. 选择**保存**。
# Amazon Inspector Lambda 代码扫描
**重要**
该特征可捕获 Lambda 函数的代码片段,以突出显示检测到的漏洞。这些片段可能显示硬编码的凭证或其他敏感材料。
借助此特征,Amazon Inspector 可根据 AWS 安全最佳实践扫描 Lambda 函数中的应用程序代码是否存在代码漏洞,检测数据泄露、注入缺陷、缺少加密和弱加密等。Amazon Inspector 会使用自动推理和机器学习来评估 Lambda 函数应用程序代码。它还会使用与 Amazon Q 合作开发的内部检测器来识别违反政策的行为和漏洞。
Amazon Inspector 在 Lambda 函数应用程序代码中检测到漏洞时,会生成[代码漏洞](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html#findings-types-code)。此调查发现类型包括展示问题的代码片段,以及问题在代码中的具体位置。此外,它还建议如何修复问题。建议包括即插即用代码块,用于替换易受攻击的代码行。除了针对该调查发现类型的一般代码补救指南外,还提供了这些代码修复。
代码修复建议由自动推理提供支持。某些代码补救建议可能无法按预期起作用。您应对自己采纳的代码补救建议负责。在采纳代码补救建议之前,请务必仔细审视这些建议。您可能需要对其进行编辑,以确保代码符合您的预期。有关更多信息,请参阅[负责任的人工智能政策](https://aws.amazon.com/machine-learning/responsible-ai/policy/)。
如果要激活 Lambda 代码扫描,则必须先激活 Lambda 代码扫描。有关更多信息,请参阅[激活扫描类型](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html)。有关哪些 AWS 区域支持的该特征的信息,请参阅[特定于区域的特征可用性](inspector_regions.md#ins-regional-feature-availability)。
## 在代码漏洞调查发现中加密代码
Amazon Q 会存储使用 Lambda 代码扫描检测到的与代码漏洞调查发现相关的代码片段。默认情况下,Amazon Q 控制用于加密代码的 [AWS 拥有的密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)。但是,您可以通过 Amazon Inspector API 使用自己的客户自主管理型密钥进行加密。有关更多信息,请参阅[对调查发现中的代码进行静态加密](encryption-rest.md#encryption-code-snippets)。
# 从 Lambda 代码扫描中排除函数
您可以向 Lambda 函数添加标签,从而将其排除在 Amazon Inspector Lambda 代码扫描之外。从扫描中排除函数能够防止出现无法操作的警报。向要排除的函数添加标签时,该标签必须具有以下键值对。
+ 密钥 – `InspectorCodeExclusion`
+ 值 – `LambdaCodeScanning`
本主题介绍如何向要从代码扫描中排除的函数添加标签。有关在 Lambda 中添加标签的更多信息,请参阅[在 Lambda 函数上使用标签](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html)。
**从代码扫描中排除函数**
1. 使用您的凭证登录,然后打开 Lambda 控制台,网址为:[https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/)。
1. 从导航窗格中选择**函数**。
1. 选择要排除在 Amazon Inspector Lambda 代码扫描之外的函数的名称。
1. 选择 **Configuration**(配置),然后选择 **Tags**(标签)。
1. 选择**管理标签**,然后选择**添加新标签**。
1. 对于**键**,输入 `InspectorCodeExclusion`。
1. 对于 **Value**(值),输入 `LambdaCodeScanning`
1. 选择**保存**。
# 在 Amazon Inspector 中停用扫描类型
停用某扫描类型后,您将无法访问该扫描类型生成的任何调查发现。如果您[重新激活扫描类型](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html),Amazon Inspector 会扫描所有符合条件的资源来生成新的调查发现。如果要记录调查发现,可以通过调查发现报告的形式,将调查发现导出到 Amazon Simple Storage Service(Amazon S3)存储桶。有关更多信息,请参阅 [导出 Amazon Inspector 调查发现报告](findings-managing-exporting-reports.md)。停用扫描类型时,停用扫描类型的 AWS 帐户可能会遇到以下变化:
**[Amazon EC2 扫描](https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html)**
为账户停用 Amazon Inspector Amazon EC2 扫描时,以下 SSM 关联将被删除:
+ `InspectorDistributor-do-not-delete`
+ `InspectorInventoryCollection-do-not-delete`
+ `InspectorLinuxDistributor-do-not-delete`
+ `InvokeInspectorLinuxSsmPlugin-do-not-delete`
+ `InvokeInspectorSsmPlugin-do-not-delete`.
此外,已从所有 Windows 主机中移除 Amazon Inspector SSM 插件。有关更多信息,请参阅 [扫描 Windows EC2 实例](windows-scanning.md)。
**[Amazon ECR 扫描](https://docs.aws.amazon.com/inspector/latest/user/scanning-ecr.html)**
为账户停用 Amazon ECR 扫描后,该账户的 Amazon ECR 扫描类型将从使用 Amazon Inspector 进行**增强扫描**更改为使用 Amazon ECR 进行**基本扫描**。
**[Lambda 标准扫描](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html#lambda-standard-scans)**
为账户停用 Lambda 标准扫描后,如果扫描类型已激活,则会停用 Lambda 代码扫描。您还可以删除 Amazon Inspector 在激活 Lambda 标准扫描时创建的 CloudTrail 服务相关渠道。
**[Amazon Inspector 代码安全性](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html#lambda-standard-scans)**
当您为账户停用代码安全时,会删除与之相关联的所有集成、项目和扫描配置。如果您的账户是组织的委派管理员,则您只会停用自己账户的代码安全,而成员账户将变为独立账户。
## 停用扫描
停用某个账户的所有扫描类型会在 AWS 区域停用该账户的 Amazon Inspector。有关更多信息,请参阅 [停用 Amazon Inspector](deactivating-best-practices.md)。
要在多账户环境中完成此步骤,请在以 Amazon Inspector 委托管理员身份登录后完成以下步骤。
------
#### [ Console ]
**停用扫描**
1. 使用您的凭证登录,然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 中打开 Amazon Inspector 控制台。
1. 使用页面右上角的 AWS 区域 选择器,选择要停用扫描的区域。
1. 在导航窗格中,选择**账户管理**。
1. 选择**账户**选项卡以显示账户的扫描状态。
1. 选中要停用扫描的每个账户对应的复选框。
1. 选择**操作**,然后从**停用**选项中选择要停用的扫描类型。
1. (推荐)在要停 AWS 区域 用该扫描类型的每个扫描类型中重复这些步骤。
------
#### [ API ]
运行[禁用](https://docs.aws.amazon.com/inspector/v2/APIReference/API_Disable.html) API 操作。在请求中,提供 IDs 您要停用扫描的帐户,并`resourceTypes`提供一个或多个`EC2`、`ECR``LAMBDA`、或`LAMBDA_CODE`以停用扫描。
------