本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 什么是 Amazon Inspector？
<a name="what-is-inspector"></a>

 Amazon Inspector 是一项漏洞管理服务，可自动发现工作负载并持续对其进行扫描，以查找软件漏洞和意外的网络暴露。Amazon Inspector 可发现并扫描 [Amazon EC2 实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html)、[Amazon ECR 中的容器映像](https://docs.aws.amazon.com/AmazonECR/latest/userguide/what-is-ecr.html)以及 [Lambda 函数](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)。当 Amazon Inspector 检测到软件漏洞或意外网络暴露时，它会创建一个[调查发现](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding.html)，详细介绍问题所在。您可以使用 Amazon Inspector 控制台或 API [管理调查发现](https://docs.aws.amazon.com/inspector/latest/user/findings-managing.html)。

**注意**  
 提交支持请求时，Amazon Inspector 可能会访问和处理相关调查结果的存储 AWS 区域 地点（但在相同的地理位置），以解决问题。

**Topics**
+ [Amazon Inspector 的特征](#features)
+ [访问 Amazon Inspector](#accessing)

## Amazon Inspector 的特征
<a name="features"></a>

**集中管理多个 Amazon Inspector 账户**

如果您的 AWS 环境有多个帐户，则可以使用 Organizations 通过一个账户集中管理您的 AWS 环境。使用此方法时，您可以将某一账户指定为 Amazon Inspector 的委托管理员账户。

只需单击一下即可为整个组织激活 Amazon Inspector。此外，您还可以在将来有成员加入组织时自动为他们激活服务。Amazon Inspector 委托管理员账户可以管理组织成员的调查发现数据和某些设置。这包括查看所有成员账户的汇总结果详细信息、激活或停用对成员账户的扫描，以及查看 AWS 组织内扫描的资源。

**持续扫描环境，查找漏洞和网络风险**

有了 Amazon Inspector，便无需手动安排或配置评测扫描。Amazon Inspector 会自动发现并开始[扫描符合条件的资源](scanning-resources.md)。Amazon Inspector 会自动重新扫描资源，以应对可能会引入新漏洞的变更，在资源的整个生命周期内持续评测您的环境，上述变更包括：在 EC2 实例中安装新程序包、安装补丁，以及发布影响资源的新常见漏洞和风险（CVE）。与传统的安全扫描软件不同，Amazon Inspector 对机群性能的影响微乎其微。

 当发现漏洞或开放的网络路径时，Amazon Inspector 会生成[调查发现](findings-understanding.md)供您调查。调查发现包括有关漏洞、受影响资源和补救建议的全面详细信息。如果您对调查发现进行了适当的补救，Amazon Inspector 会自动检测到补救措施并关闭该调查发现。

**使用 Amazon Inspector 风险评分准确评测漏洞**

当 Amazon Inspector 通过扫描收集有关环境的信息时，它会提供专门针对您的环境量身定制的严重性评分。Amazon Inspector 会检查构成漏洞的[国家漏洞数据库](https://nvd.nist.gov/vuln)（NVD）基本评分的安全指标，并根据您的计算环境进行调整。例如，如果漏洞可通过网络利用，但互联网上没有通往相应 Amazon EC2 实例的开放网络路径，则该服务可能会降低该实例的调查发现的 Amazon Inspector 评分。该评分采用 CVSS 格式，是对 NVD 提供的基本[通用漏洞评分系统](https://www.first.org/cvss/)（CVSS）评分的修改。

**使用 Amazon Inspector 控制面板识别具有高影响力的调查发现**

[Amazon Inspector 控制面板](understanding-dashboard.md)可提供整个环境中调查发现的总体视图。您可以在此控制面板中查看调查发现的详细信息。此控制面板包含有关环境中扫描覆盖范围、最重要的调查发现以及调查发现最多的资源的简化信息。Amazon Inspector 控制面板中基于风险的补救面板显示了影响实例和映像数量最多的调查发现。通过此面板，您可以更轻松地确定对环境影响最大的调查发现，查看调查发现的详细信息以及建议的解决方案。

**使用自定义视图管理调查发现**

除了控制面板外，Amazon Inspector 控制台还提供了**调查发现**视图。此页面列出了您的环境的所有调查发现，并提供了各个调查发现的详细信息。您可以查看按类别或漏洞类型分组的调查发现。在每个视图中，您都可以使用筛选条件进一步自定义结果。您还可以使用筛选条件创建抑制规则，在视图中隐藏不需要的调查发现。

您可以使用筛选条件和抑制规则生成调查发现报告，展示所有调查发现或自定义的调查发现。报告可以使用 CSV 或 JSON 格式生成。

**使用其他服务和系统监控和处理调查发现**

为了支持与其他服务和系统的集成，Amazon Inspector [将调查结果 EventBridge作为发现事件发布给亚马逊](findings-managing-automating-responses.md)。 EventBridge 是一种无服务器事件总线服务，可以将调查结果数据路由到目标，例如 AWS Lambda 函数和亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题。借 EventBridge助，您可以近乎实时地监控和处理调查结果，这是现有安全与合规工作流程的一部分。

 如果你已激活 [AWS Security Hub CSPM](securityhub-integration.md)，那么 Amazon Inspector 还将向 Sec [urity Hub CSPM 发布调查结果](integrations.md#integrations-security-hub)。Security Hub CSPM 是一项服务，可全面了解您在整个 AWS 环境中的安全状况，并帮助您根据安全行业标准和最佳实践检查您的环境。借助 Security Hub CSPM，您可以更轻松地监控和处理您的发现，这是对组织安全态势进行更广泛分析的一部分。 AWS

## 访问 Amazon Inspector
<a name="accessing"></a>

Amazon Inspector 在大多数版本中都可用 AWS 区域。有关当前可使用 Amazon Inspector 的区域的列表，请参阅 *Amazon Web Services 一般参考*中的 [Amazon Inspector 端点和配额](https://docs.aws.amazon.com/general/latest/gr/inspector2.html)。要了解有关 AWS 区域的更多信息，请参阅 *Amazon Web Services 一般参考*中的[管理 AWS 区域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)。在每个区域，您都可以通过以下方式使用 Amazon Inspector：

**AWS 管理控制台** 

 AWS 管理控制台 是一个基于浏览器的界面，可用于创建和管理 AWS 资源。作为该控制台的一部分，Amazon Inspector 控制台提供对 Amazon Inspector 账户和资源的访问。您可以通过 Amazon Inspector 控制台执行 Amazon Inspector 任务。

**AWS 命令行工具** 

使用 AWS 命令行工具，您可以在系统的命令行中发出命令来执行 Amazon Inspector 任务。与控制台相比，使用命令行更快、更方便。如果要构建执行任务的脚本，命令行工具也会十分有用。

 AWS 提供了两组命令行工具： AWS Command Line Interface (AWS CLI) 和 AWS Tools for PowerShell。有关安装和使用的信息 AWS CLI，请参阅《[AWS 命令行界面用户指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。有关安装和使用的 “工具” 的信息 PowerShell，请参阅《[AWS Tools for PowerShell 用户指南》](https://docs.aws.amazon.com/powershell/v5/userguide/pstools-getting-set-up.html)。

**AWS SDKs** 

AWS SDKs 包含适用于各种编程语言和平台（包括 Java、Go、Python、C\$1\$1 和.NET）的库和示例代码。它们 SDKs 提供了对 Amazon Inspector 和其他内容的便捷编程访问 AWS 服务。它们可以执行多种任务，例如以加密方式对请求进行签名、管理错误以及自动重试请求等。有关安装和使用的信息 AWS SDKs，请参阅[构建工具 AWS](https://aws.amazon.com/tools/)。

**Amazon Inspector REST API** 

Amazon Inspector REST API 让您能够以编程方式全面访问 Amazon Inspector 账户和资源。借助此 API，您可以直接向 Amazon Inspector 发送 HTTPS 请求。但是，与 AWS 命令行工具和不同 SDKs，使用此 API 需要您的应用程序处理低级细节，例如生成哈希值来签署请求。