Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Tiefeninspektion von Amazon Inspector für Linux-basierte EC2 Amazon-Instances
Amazon Inspector erweitert die EC2 Scanabdeckung von Amazon um eine gründliche Inspektion. Mit einer gründlichen Inspektion erkennt Amazon Inspector Paketschwachstellen für Anwendungsprogrammiersprachenpakete in Ihren Linux-basierten EC2 Amazon-Instances. Amazon Inspector scannt Standardpfade für Programmiersprachen-Paketbibliotheken. Sie können jedoch zusätzlich zu den Pfaden, die Amazon Inspector standardmäßig scannt, benutzerdefinierte Pfade konfigurieren.
Anmerkung
Sie können Deep Inspection mit der Einstellung Standard-Host-Management-Konfiguration verwenden. Sie müssen jedoch eine Rolle erstellen oder verwenden, die mit den ssm:GetParameter
Berechtigungen ssm:PutInventory
und konfiguriert ist.
Um Deep Inspection-Scans für Ihre Linux-basierten EC2 Amazon-Instances durchzuführen, verwendet Amazon Inspector Daten, die mit dem Amazon Inspector SSM-Plugin gesammelt wurden. Um das Amazon Inspector SSM-Plug-In zu verwalten und Deep Inspection für Linux durchzuführen, erstellt Amazon Inspector automatisch die SSM-Verknüpfung InvokeInspectorLinuxSsmPlugin-do-not-delete
in Ihrem Konto. Amazon Inspector sammelt alle 6 Stunden aktualisiertes Anwendungsinventar von Ihren Linux-basierten EC2 Amazon-Instances.
Anmerkung
Deep Inspection wird für Windows Mac-Instances nicht unterstützt.
In diesem Abschnitt wird beschrieben, wie Sie Amazon Inspector Deep Inspection für EC2 Amazon-Instances verwalten, einschließlich der Festlegung benutzerdefinierter Pfade für Amazon Inspector zum Scannen.
Themen
Auf Deep Inspection zugreifen oder diese deaktivieren
Anmerkung
Für Konten, die Amazon Inspector nach dem 17. April 2023 aktivieren, wird die Tiefeninspektion automatisch als Teil des EC2 Amazon-Scannings aktiviert.
Um die Tiefeninspektion zu verwalten
-
Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home
-
Wählen Sie im Navigationsbereich Allgemeine Einstellungen und dann EC2 Amazon-Scaneinstellungen aus.
-
Unter Deep Inspection of Amazon EC2 Instance können Sie benutzerdefinierte Pfade für Ihre Organisation oder für Ihr eigenes Konto festlegen.
Sie können den Aktivierungsstatus programmgesteuert für ein einzelnes Konto mit der GetEcDeepInspectionConfiguration2-API überprüfen. Sie können den Aktivierungsstatus programmgesteuert für mehrere Konten mit der API überprüfen. BatchGetMemberEc2DeepInspectionStatus
Wenn Sie Amazon Inspector vor dem 17. April 2023 aktiviert haben, können Sie Deep Inspection über das Konsolenbanner oder die UpdateEc2DeepInspectionConfigurationAPI aktivieren. Wenn Sie der delegierte Administrator für eine Organisation in Amazon Inspector sind, können Sie die BatchUpdateMemberEc2DeepInspectionStatusAPI verwenden, um Deep Inspection für sich und Ihre Mitgliedskonten zu aktivieren.
Sie können Deep Inspection über die UpdateEc2DeepInspectionConfigurationAPI deaktivieren. Mitgliedskonten in einer Organisation können Deep Inspection nicht deaktivieren. Stattdessen muss das Mitgliedskonto von seinem delegierten Administrator mithilfe der BatchUpdateMemberEc2DeepInspectionStatusAPI deaktiviert werden.
Benutzerdefinierte Pfade für die Tiefeninspektion mit Amazon Inspector
Sie können benutzerdefinierte Pfade festlegen, damit Amazon Inspector bei der Tiefeninspektion Ihrer EC2 Linux-Amazon-Instances scannt. Wenn Sie einen benutzerdefinierten Pfad festlegen, scannt Amazon Inspector Pakete in diesem Verzeichnis und allen Unterverzeichnissen darin.
Alle Konten können bis zu 5 benutzerdefinierte Pfade definieren. Der delegierte Administrator einer Organisation kann 10 benutzerdefinierte Pfade definieren.
Amazon Inspector scannt alle benutzerdefinierten Pfade zusätzlich zu den folgenden Standardpfaden, die Amazon Inspector für alle Konten scannt:
-
/usr/lib
-
/usr/lib64
-
/usr/local/lib
-
/usr/local/lib64
Anmerkung
Benutzerdefinierte Pfade müssen lokale Pfade sein. Amazon Inspector scannt keine zugewiesenen Netzwerkpfade, wie z. B. Netzwerkdateisystem-Mounts oder Amazon S3 S3-Dateisystem-Mounts.
Formatieren benutzerdefinierter Pfade
Ein benutzerdefinierter Pfad darf nicht länger als 256 Zeichen sein. Im Folgenden finden Sie ein Beispiel dafür, wie ein benutzerdefinierter Pfad aussehen könnte:
Beispiel für einen Pfad
/home/usr1/project01
Anmerkung
Das Paketlimit pro Instanz beträgt 5.000. Die maximale Zeit für die Erfassung des Paketinventars beträgt 15 Minuten. Amazon Inspector empfiehlt, benutzerdefinierte Pfade zu wählen, um diese Beschränkungen zu umgehen.
Einen benutzerdefinierten Pfad in der Amazon Inspector Inspector-Konsole und mit der Amazon Inspector Inspector-API einrichten
Die folgenden Verfahren beschreiben, wie Sie einen benutzerdefinierten Pfad für Amazon Inspector Deep Inspection in der Amazon Inspector Inspector-Konsole und mit der Amazon Inspector Inspector-API festlegen. Nachdem Sie einen benutzerdefinierten Pfad festgelegt haben, nimmt Amazon Inspector den Pfad in die nächste Tiefeninspektion auf.
Benutzerdefinierte Zeitpläne für die Tiefeninspektion mit Amazon Inspector
Standardmäßig erfasst Amazon Inspector alle 6 Stunden ein Anwendungsinventar von EC2 Amazon-Instances. Sie können jedoch die folgenden Befehle ausführen, um zu steuern, wie oft Amazon Inspector dies tut.
Beispielbefehl 1: Zuordnungen auflisten, um die Zuordnungs-ID und das aktuelle Intervall anzuzeigen
Der folgende Befehl zeigt die Zuordnungs-ID für die Assoziation anInvokeInspectorLinuxSsmPlugin-do-not-delete
.
aws ssm list-associations \ --association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \ --region
your-Region
Beispielbefehl 2: Die Zuordnung so aktualisieren, dass sie ein neues Intervall einschließt
Der folgende Befehl verwendet die Zuordnungs-ID für die ZuordnungInvokeInspectorLinuxSsmPlugin-do-not-delete
. Sie können die Rate für einen Zeitraum schedule-expression
zwischen 6 Stunden und einem neuen Intervall, z. B. 12 Stunden, festlegen.
aws ssm update-association \ --association-id "
your-association-ID
" \ --association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \ --schedule-expression "rate(6
hours)" \ --regionyour-Region
Anmerkung
Je nach Anwendungsfall können Sie das tägliche SSM-Inventarlimit überschreiten, wenn Sie den Tarif für schedule-expression
einen Tarif zwischen 6 Stunden und einem Intervall wie 30 Minuten festlegen. Dies führt zu verzögerten Ergebnissen und es kann vorkommen, dass EC2 Amazon-Instances mit teilweisem Fehlerstatus auftreten.
Unterstützte Programmiersprachen
Bei Linux-Instances kann Amazon Inspector Deep Inspector Ergebnisse für Anwendungsprogrammiersprachenpakete und Betriebssystempakete liefern.
Bei Mac- und Windows-Instances kann Amazon Inspector Deep Inspector nur Ergebnisse für Betriebssystempakete liefern.
Weitere Informationen zu unterstützten Programmiersprachen finden Sie unter Unterstützte Programmiersprachen: Amazon EC2 Deep Inspection.