View a markdown version of this page

Amazon Inspector Classic 评估模板和评估运行 - Amazon Inspector Classic
Amazon Inspector Classic 评估模板Amazon Inspector Classic 评估模板限制创建评估模板删除评估模板评估运行数Amazon Inspector Classic 评估运行限制通过 Lambda 函数设置自动评估运行设置 Amazon Inspector Classic 通知的 SNS 主题

终止支持通知:2026年5月20日, AWS 将终止对Amazon Inspector Classic的支持。2026 年 5 月 20 日之后,您将无法再访问亚马逊 Inspector Classic 控制台或亚马逊 Inspector Classic 资源。Amazon Inspector Classic 不再适用于新账户和在过去 6 个月内未完成评估的账户。对于所有其他账户,访问权限将在 2026 年 5 月 20 日之前有效,之后您将无法再访问亚马逊 Inspector Classic 控制台或 Amazon Inspector Classic 资源。有关更多信息,请参阅 Amazon Inspector Classic 终止支持

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Inspector Classic 评估模板和评估运行

Amazon Inspector Classic 通过使用安全规则分析您的 AWS 资源来帮助您发现潜在的安全问题。Amazon Inspector Classic 监控和收集个人资源相关的行为数据(遥测)。这些数据包括有关安全通道使用情况、正在运行的进程之间的网络流量以及与 AWS 服务通信的详细信息的信息。接下来,Amazon Inspector Classic 针对一组安全规则包分析和比较这些数据。最后,Amazon Inspector Classic 将生成一个确定各种严重性的潜在安全问题的结果 的列表。

要开始操作,请创建一个评估目标(您希望 Amazon Inspector Classic 分析的 AWS 资源的集合)。接下来,创建一个评估模板(您用于配置评估的蓝图)。使用该模板启动评估运行,这是一个将生成一组结果的监控和分析过程。

Amazon Inspector Classic 评估模板

利用评估模板,您可以指定评估运行的配置,其中包括:

  • Amazon Inspector Classic 用来评估您的评估目标的规则包

  • 评估运行的持续时间 – 您可以将评估运行的持续时间设置为 3 分钟到 24 小时。我们建议将评估运行的持续时间设置为 1 小时。

  • Amazon Inspector Classic 将有关您的评估运行状态和结果的通知发送到的 Amazon SNS 主题

  • Amazon Inspector Classic 属性(键值对),您可将其分配给使用此评估模板的评估运行所生成的结果

在 Amazon Inspector Classic 创建评估模板后,您可为其添加标签,就像为任何其他 AWS 资源添加标签一样。有关更多信息,请参阅标签编辑器。通过为评估模板添加标签,您可以整理这些模板并更好地监督您的安全策略。例如,Amazon Inspector Classic 提供了您在评估您的评估目标时可参考的大量规则。您可能希望在评估模板中包含不同的可用规则子集,以确立特定的关注方面或发现特定的安全问题。通过为评估模板添加标签,您可根据安全策略和目标随时快速查找和运行这些模板。

重要

评估模板一经创建,便无法修改。

Amazon Inspector Classic 评估模板限制

每个 AWS 账户最多可以创建 500 个评估模板。

有关更多信息,请参阅 Amazon Inspector Classic 服务限制

创建评估模板

创建评估模板

  1. 登录 AWS 管理控制台 并打开 Amazon Inspector Classic 控制台,网址为https://console.aws.amazon.com/inspector/

  2. 在导航窗格中,选择 Assessment Templates (评估模板),然后选择 Create (创建)

  3. 对于 Name (名称),输入评估模板名称。

  4. 对于目标名称,选择要分析的评估目标。

    注意

    当创建评估模板时,您还可以使用评估模板页面上的预览目标按钮查看包含在评估目标中的所有 EC2 实例。对于每个 EC2 实例,您可以查看主机名、实例 ID、IP 地址以及代理的状态(如果适用)。代理状态可具有以下值:正常不正常未知。当 Amazon Inspector Classic 无法确定 EC2 实例上是否有代理正在运行时,它会显示未知状态。

    您还可以使用评估模板页面上的预览目标按钮查看构成包含在您之前创建的模板中的评估目标的 EC2 实例。

  5. 对于规则包,选择要包含在评估模板中的一个或多个规则包。

  6. 对于持续时间,为评估模板指定持续时间。

  7. (可选)对于 SNS 主题,指定您希望 Amazon Inspector Classic 将有关评估运行状态和结果的通知发送到的 SNS 主题。Amazon Inspector Classic 可发送有关下列事件的 SNS 通知:

    • 评估运行已开始

    • 评估运行已结束

    • 评估运行的状态已更改

    • 已生成结果

    有关设置 SNS 主题的更多信息,请参阅设置 Amazon Inspector Classic 通知的 SNS 主题

  8. (可选)对于 Tag (标签),输入 Key (键)Value (值) 的值。您可向评估模板添加多个标签。

  9. (可选) 对于添加到结果的属性,输入密钥的值。Amazon Inspector Classic 将向评估模板生成的所有结果应用属性。您可向评估模板添加多个属性。有关结果以及为结果添加标签的更多信息,请参阅 Amazon Inspector Classic 能取得的结果

  10. (可选)要使用此模板为评估运行设置一个计划,请选中 Set up recurring assessment runs once every <number_of_days>, starting now (从现在开始,每隔 <number_of_days> 天设置一次周期性评估运行) 复选框,并使用向上和向下箭头指定循环模式(天数)。

    注意

    当您使用此复选框时,Amazon Inspector Classic 会自动为您正在设置的评估运行计划创建亚马逊 CloudWatch 事件规则。然后,Amazon Inspector Classic 还会自动创建一个名为 AWS_InspectorEvents_Invoke_Assessment_Template 的 IAM。此角色允许 Ev CloudWatch ents 对 Amazon Inspector Classic 资源进行 API 调用。有关更多信息,请参阅什么是 Amazon CloudWatch 活动? 以及对 CloudWatch 事件使用基于资源的策略。

    注意

    您还可以通过 AWS Lambda 函数设置自动评估运行。有关更多信息,请参阅 通过 Lambda 函数设置自动评估运行

  11. 选择创建并运行创建

删除评估模板

要删除评估模板,请执行以下过程。

删除评估模板

  • Assessment Templates (评估模板) 页面上,选择要删除的模板,然后选择 Delete (删除)。当系统提示您确认时,选择

    重要

    当您删除某个评估模板时,与此模板关联的所有评估运行、报告的结果和版本也将被删除。

您也可以使用 DeleteAssessmentTemplate API 删除评估模板。

评估运行数

在您创建评估模板后,可使用它来启动评估运行。只要保持在每个 AWS 账户的运行限制之内,就可以使用同一个模板开始多次运行。有关更多信息,请参阅 Amazon Inspector Classic 评估运行限制

如果您使用 Amazon Inspector Classic 控制台,则必须先从 评估模板 页启动新评估模板的首次运行。在启动运行后,您可使用评估运行页来监控运行的进度。使用 RunCancelDelete 按钮分别可启动、取消或删除运行。您还可以查看运行的详细信息,包括运行的 ARN、为运行选择的规则包、您应用于运行的标签和属性等。

对于评估模板的后续运行,您可使用 Assessment templates 页或 Assessment runs 页上的 RunCancelDelete 按钮。

删除评估运行

要删除评估运行,请执行以下过程。

删除运行

  • Assessment runs (评估运行) 页面上,选择要删除的运行,然后选择 Delete (删除)。当系统提示您确认时,选择

    重要

    当您删除某个运行时,该运行中的所有结果和所有版本的报告也将被删除。

您还可使用 DeleteAssessmentRun API 删除运行。

Amazon Inspector Classic 评估运行限制

您最多可以为每个 AWS 账户创建 50,000 次评估。

您可同时启动多个运行,前提是用于这些运行的目标不包含重叠的 EC2 实例。

有关更多信息,请参阅 Amazon Inspector Classic 服务限制

通过 Lambda 函数设置自动评估运行

如果您要为评估设置定期计划,可使用 AWS Lambda 控制台创建 Lambda 函数来将评估模板配置为自动运行。有关更多信息,请参阅 Lambda 函数

要使用 AWS Lambda 控制台设置自动评估运行,请执行以下步骤。

通过 Lambda 函数设置自动运行

  1. 登录并 AWS 管理控制台打开AWS Lambda 控制台

  2. 在导航窗格中,选择 控制面板函数,然后选择 创建 Lambda 函数

  3. Create function (创建函数) 页面上,选择 Browse serverless app repository (浏览无服务器应用程序存储库),然后在搜索字段中输入 inspector

  4. 选择 inspector-scheduled-run 蓝图。

  5. 在 “查看、配置和部署” 页面上,通过指定触发函数 CloudWatch 的事件,为自动运行设置定期计划。为此,请输入规则名称和描述,然后选择计划表达式。计划表达式确定运行发生的频率,例如,每 15 分钟或每天发生一次。有关 CloudWatch 事件和概念的更多信息,请参阅什么是 Amazon CloudWatch 活动?

    如果您选中 Enable trigger (启用触发器) 复选框,则运行将在您创建完函数后立即开始。后续自动运行遵循您在 Schedule expression (计划表达式) 字段中指定的定期模式。如果您在创建函数时未选中启用触发器复选框,则可稍后编辑函数来启用此触发器。

  6. 配置函数页上,指定以下内容:

    • 对于 Name (名称),输入您的函数的名称。

    • (可选)对于 Description (描述),输入稍后将帮助您识别函数的描述。

    • 对于运行时间,请保留默认值Node.js 8.10。 AWS Lambda 仅支持Node.js 8.10运行时的inspector-scheduled-run蓝图。

    • 您要使用此函数自动运行的评估模板。可通过为名为 assessmentTemplateArn 的环境变量提供此值来执行此操作。

    • 将处理程序设置为默认值 index.handler

    • 使用角色字段的函数的权限。有关更多信息,请参阅 AWS Lambda 权限模型

      要运行此函数,您需要一个 IAM 角色 AWS Lambda 来启动运行并将有关运行的日志消息(包括任何错误)写入 Amazon Lo CloudWatch gs。 AWS Lambda 在每次重复的自动运行中都担任此角色。例如,您可将以下示例策略附加到此 IAM 角色:

      JSON
      {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "inspector:StartAssessmentRun",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    }
  ]
}

  7. 检查您的选择,然后选择创建函数

设置 Amazon Inspector Classic 通知的 SNS 主题

Amazon Simple Notification Service (Amazon SNS) 是一项向订阅终端节点或客户端发送消息的 Web 服务。您可使用 Amazon SNS 为 Amazon Inspector Classic 设置通知。

为通知设置 SNS 主题

  1. 创建一个 SNS 主题。请参阅教程:创建 Amazon SNS 主题。创建主题时,请展开访问策略 – 可选部分。然后,执行以下操作以允许评估向该主题发布消息:

    1. 对于 Choose method (选择方法),请选择 Basic (基本)

    2. 在 “定义谁可以向主题发布消息中,选择 “仅限指定的 AWS 账户”,然后输入要创建主题的区域中的账户的 ARN:

      • US East (Ohio) - arn:aws:iam::646659390643:root

      • US East (N. Virginia) - arn:aws:iam::316112463485:root

      • US West (N. California) - arn:aws:iam::166987590008:root

      • US West (Oregon) - arn:aws:iam::758058086616:root

      • Asia Pacific (Mumbai) - arn:aws:iam::162588757376:root

      • Asia Pacific (Seoul) - arn:aws:iam::526946625049:root

      • Asia Pacific (Sydney) - arn:aws:iam::454640832652:root

      • Asia Pacific (Tokyo) - arn:aws:iam::406045910587:root

      • Europe (Frankfurt) - arn:aws:iam::537503971621:root

      • Europe (Ireland) - arn:aws:iam::357557129151:root

      • Europe (London) - arn:aws:iam::146838936955:root

      • Europe (Stockholm) - arn:aws:iam::453420244670:root

      • AWS GovCloud (US-East)-arn:: iam:: 206278770380: aws-us-gov root

      • AWS GovCloud (US-West)-arn:: iam:: 850862329162: aws-us-gov root

    3. 在 “定义谁可以订阅此主题中,选择 “仅限指定的 AWS 账户”,然后输入您要创建该主题的区域中该账户的 ARN。

    4. 为防止 Inspector 被用作混淆代理人(如 IAM 用户指南中的混淆代理人问题中所述),请执行以下操作:

      1. 选择 Advanced(高级)。这将引导您进入 JSON 编辑器。

      2. 添加以下条件:

        
     "Condition": {
        "StringEquals": {
          "aws:SourceAccount": <your account Id here>,
          "aws:SourceArn": "arn:aws:inspector:*:*:*"
        }
      }

    5. (可选)有关 aws: SourceAccount 和 aws: 的更多信息SourceArn,请参阅 IA M 用户指南中的全局条件上下文密钥

    6. 根据需要更新该主题的其他设置,然后选择 Create topic (创建主题)

  2. (可选)要创建加密的 SNS 主题,请参阅《SNS 开发者指南》中的静态加密

  3. 为防止 Inspector 被用作 KMS 密钥的混淆代理人,请按照以下其他步骤操作:

    1. 在 KMS 控制台中转到您的 CMK。

    2. 选择编辑

    3. 添加以下条件:

      
     "Condition": {
        "StringEquals": {
          "aws:SourceAccount": <your account Id here>,
          "aws:SourceArn": "arn:aws:sns:*:*:*"
        }
      }

  4. 为您创建的主题创建订阅。有关更多信息,请参阅教程:将终端节点订阅到 Amazon SNS 主题

  5. 要确认订阅是否已正确配置,请向该主题发布一则消息。有关更多信息,请参阅教程:向 Amazon SNS 主题发布消息