Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Inspection approfondie d'Amazon Inspector pour les instances Amazon EC2 basées sur Linux
<a name="deep-inspection"></a>

 Amazon Inspector étend la couverture de numérisation Amazon EC2 pour inclure une inspection approfondie. Grâce à une inspection approfondie, Amazon Inspector détecte les vulnérabilités des packages de langage de programmation d'applications dans vos instances Amazon EC2 basées sur Linux. Amazon Inspector analyse les chemins par défaut pour les bibliothèques de packages de langage de programmation. Cependant, vous pouvez [configurer des chemins personnalisés](https://docs.aws.amazon.com//inspector/latest/user/deep-inspection.html#deep-inspection-paths) en plus des chemins analysés par défaut par Amazon Inspector. 

**Note**  
 Exigences `ssm:PutInventory` et `ssm:GetParameter` autorisations d'inspection approfondie. Si un profil d'instance IAM est configuré sur l'instance, Amazon Inspector utilise ce profil et ignore le rôle DHMC. Le profil d'instance doit inclure ces autorisations. Si aucun profil d'instance n'est défini, Amazon Inspector utilise le rôle de [configuration de gestion d'hôte par défaut](https://docs.aws.amazon.com/systems-manager/latest/userguide/managed-instances-default-host-management.html) configuré, qui doit inclure ces autorisations. 

 Pour effectuer des analyses d'inspection approfondies pour vos instances Amazon EC2 basées sur Linux, Amazon Inspector utilise les données collectées avec le plug-in Amazon Inspector SSM. Pour gérer le plug-in Amazon Inspector SSM et effectuer une inspection approfondie pour Linux, Amazon Inspector crée automatiquement l'association SSM `InvokeInspectorLinuxSsmPlugin-do-not-delete` dans votre compte. Amazon Inspector collecte l'inventaire des applications mis à jour à partir de vos instances Amazon EC2 basées sur Linux toutes les 6 heures. 

**Note**  
 L'inspection approfondie n'est pas prise en charge pour Windows les instances Mac. 

 Cette section explique comment gérer l'inspection approfondie d'Amazon Inspector pour les instances Amazon EC2, notamment comment définir des chemins personnalisés à scanner par Amazon Inspector. 

**Topics**
+ [Accès ou désactivation de l'inspection approfondie](#deep-inspection-activate)
+ [Chemins personnalisés pour l'inspection approfondie d'Amazon Inspector](#deep-inspection-paths)
+ [Programmes personnalisés pour l'inspection approfondie d'Amazon Inspector](#deep-inspection-schedules)
+ [Langages de programmation pris en charge](#supported-deep-inspection)

## Accès ou désactivation de l'inspection approfondie
<a name="deep-inspection-activate"></a>

**Note**  
 Pour les comptes qui activent Amazon Inspector après le 17 avril 2023, l'inspection approfondie est automatiquement activée dans le cadre du scan Amazon EC2. 

**Pour gérer une inspection approfondie**

1.  Connectez-vous à l'aide de vos informations d'identification, puis ouvrez la console Amazon Inspector sur [https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 

1.  Dans le volet de navigation, choisissez **Paramètres généraux**, puis sélectionnez Paramètres de numérisation Amazon EC2. 

1.  Dans le cadre **d'une inspection approfondie de l'instance Amazon EC2**, vous pouvez [définir des chemins personnalisés pour votre organisation ou pour votre propre compte.](https://docs.aws.amazon.com/inspector/latest/user/deep-inspection.html#deep-inspection-paths) 

 Vous pouvez vérifier le statut d'activation par programmation pour un seul compte grâce à l'API [GetEc2. DeepInspectionConfiguration](https://docs.aws.amazon.com/inspector/v2/APIReference/API_GetEc2DeepInspectionConfiguration.html) Vous pouvez vérifier l'état d'activation de plusieurs comptes par programmation à l'aide de l'[https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html)API. 

 Si vous avez activé Amazon Inspector avant le 17 avril 2023, vous pouvez activer l'inspection approfondie via la bannière de la console ou l'[https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html)API. Si vous êtes l'administrateur délégué d'une organisation dans Amazon Inspector, vous pouvez utiliser l'[https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html)API pour activer une inspection approfondie pour vous-même et pour vos comptes membres. 

 Vous pouvez désactiver l'inspection approfondie via l'[https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html)API. Les comptes des membres d'une organisation ne peuvent pas désactiver l'inspection approfondie. Le compte du membre doit plutôt être désactivé par son administrateur délégué à l'aide de l'[https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html)API. 

## Chemins personnalisés pour l'inspection approfondie d'Amazon Inspector
<a name="deep-inspection-paths"></a>

 Vous pouvez définir des chemins personnalisés à scanner par Amazon Inspector lors d'une inspection approfondie de vos instances Linux Amazon EC2. Lorsque vous définissez un chemin personnalisé, Amazon Inspector analyse les packages de ce répertoire et tous les sous-répertoires qu'il contient. 

 Tous les comptes peuvent définir jusqu'à 5 chemins personnalisés. L'administrateur délégué d'une organisation peut définir 10 chemins personnalisés. 

 Amazon Inspector analyse tous les chemins personnalisés en plus des chemins par défaut suivants, qu'Amazon Inspector analyse pour tous les comptes : 
+ `/usr/lib`
+ `/usr/lib64`
+ `/usr/local/lib`
+ `/usr/local/lib64`

**Note**  
 Les chemins personnalisés doivent être des chemins locaux. Amazon Inspector n'analyse pas les chemins réseau mappés, tels que les montages du système de fichiers réseau ou les montages du système de fichiers Amazon S3. 

### Formatage de chemins personnalisés
<a name="deep-inspection-paths-format"></a>

 Un chemin personnalisé ne peut pas comporter plus de 256 caractères. Voici un exemple de ce à quoi peut ressembler un chemin personnalisé : 

**Exemple de chemin**  
 `/home/usr1/project01` 

**Note**  
 La limite de packages par instance est de 5 000. La durée maximale de collecte de l'inventaire des colis est de 15 minutes. Amazon Inspector vous recommande de choisir des chemins personnalisés pour éviter ces limites. 

### Définition d'un chemin personnalisé dans la console Amazon Inspector et avec l'API Amazon Inspector
<a name="deep-inspection-add-paths"></a>

 Les procédures suivantes décrivent comment définir un chemin personnalisé pour l'inspection approfondie d'Amazon Inspector dans la console Amazon Inspector et avec l'API Amazon Inspector. Une fois que vous avez défini un chemin personnalisé, Amazon Inspector inclut ce chemin dans l'inspection approfondie suivante. 

------
#### [ Console ]

1.  Connectez-vous en AWS Management Console tant qu'administrateur délégué et ouvrez la console Amazon Inspector sur [https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 

1.  Utilisez le Région AWS sélecteur pour choisir la région dans laquelle vous souhaitez activer le scan standard Lambda. 

1.  Dans le volet de navigation, choisissez **Paramètres généraux**, puis sélectionnez Paramètres de **numérisation EC2.** 

1.  Sous **Chemins personnalisés pour votre propre compte**, choisissez **Modifier**. 

1.  Dans les zones de texte des chemins, entrez vos chemins personnalisés. 

1.  Choisissez **Enregistrer**. 

------
#### [ API ]

 Exécutez la commande [https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html). Pour `packagePaths` spécifier un tableau de chemins à scanner. 

------

## Programmes personnalisés pour l'inspection approfondie d'Amazon Inspector
<a name="deep-inspection-schedules"></a>

 Par défaut, Amazon Inspector collecte un inventaire des applications à partir des instances Amazon EC2 toutes les 6 heures. Toutefois, vous pouvez exécuter les commandes suivantes pour contrôler la fréquence à laquelle Amazon Inspector effectue ces opérations. 

 **Exemple de commande 1 : Lister les associations pour afficher l'ID d'association et l'intervalle actuel** 

 La commande suivante indique l'identifiant de l'association`InvokeInspectorLinuxSsmPlugin-do-not-delete`. 

```
aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region
```

 **Exemple de commande 2 : Mettre à jour l'association pour inclure un nouvel intervalle** 

 La commande suivante utilise l'identifiant de l'association`InvokeInspectorLinuxSsmPlugin-do-not-delete`. Vous pouvez définir le taux pour une période comprise `schedule-expression` entre 6 heures et un nouvel intervalle, par exemple 12 heures. 

```
aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region
```

**Note**  
 Selon votre cas d'utilisation, si vous définissez le taux `schedule-expression` entre 6 heures et un intervalle de 30 minutes, vous pouvez [dépasser la limite d'inventaire SSM quotidienne](https://docs.aws.amazon.com/inspector/latest/user/assessing-coverage.html#viewing-coverage-instances). Cela retarde les résultats et vous risquez de rencontrer des instances Amazon EC2 présentant des états d'erreur partiels. 

## Langages de programmation pris en charge
<a name="supported-deep-inspection"></a>

 Pour les instances Linux, l'inspection approfondie d'Amazon Inspector peut produire des résultats pour les packages de langage de programmation d'applications et les packages de système d'exploitation. 

 Pour les instances Mac et Windows, l'inspection approfondie d'Amazon Inspector peut produire des résultats uniquement pour les packages de systèmes d'exploitation. 

 Pour plus d'informations sur les langages de programmation pris en [charge, consultez Langages de programmation pris en charge : inspection approfondie d'Amazon EC2](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-programming-languages-deep-inspection).