Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Pusat Keamanan Internet (CIS) memindai sistem operasi instans Amazon EC2
Amazon Inspector CIS scan (CIS scan) benchmark sistem operasi instans Amazon EC2 Anda untuk memastikan Anda mengonfigurasinya sesuai dengan rekomendasi praktik terbaik yang ditetapkan oleh Pusat Keamanan Internet. [Tolok Ukur Keamanan CIS](https://aws.amazon.com/what-is/cis-benchmarks/) menyediakan garis dasar konfigurasi standar industri dan praktik terbaik untuk mengonfigurasi sistem dengan aman. Anda dapat melakukan atau menjadwalkan pemindaian CIS setelah mengaktifkan pemindaian Amazon Inspector EC2 untuk akun. Untuk informasi tentang cara mengaktifkan pemindaian Amazon EC2, lihat [Mengaktifkan](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html) jenis pemindaian.
**catatan**
Standar CIS ditujukan untuk sistem operasi x86\$164. Beberapa pemeriksaan mungkin tidak dievaluasi atau mengembalikan instruksi remediasi yang tidak valid pada sumber daya berbasis ARM.
Amazon Inspector melakukan pemindaian CIS pada instans Amazon EC2 target berdasarkan tag instans dan jadwal pemindaian yang ditentukan. Amazon Inspector melakukan serangkaian pemeriksaan instans pada setiap instans yang ditargetkan. Setiap pemeriksaan mengevaluasi apakah konfigurasi sistem Anda memenuhi rekomendasi Tolok Ukur CIS tertentu. Setiap cek memiliki ID cek CIS dan judul, yang sesuai dengan rekomendasi CIS Benchmark untuk platform tersebut. Ketika pemindaian CIS selesai, Anda dapat melihat hasilnya untuk melihat pemeriksaan instance mana yang lulus, dilewati, atau gagal untuk sistem itu.
**catatan**
Untuk melakukan atau menjadwalkan pemindaian CIS, Anda harus memiliki koneksi internet yang aman. Namun, jika Anda ingin menjalankan pemindaian CIS pada instance pribadi, Anda harus menggunakan titik akhir VPC.
**Topics**
+ [Persyaratan instans Amazon EC2 untuk pemindaian Amazon Inspector CIS](#cis-requirements)
+ [Menjalankan pemindaian CIS](#running-cis-scans)
+ [Pertimbangan untuk mengelola pemindaian Amazon Inspector CIS dengan AWS Organizations](#CIS-organizations)
+ [Amazon Inspector memiliki ember Amazon S3 yang digunakan untuk pemindaian Amazon Inspector CIS](#cis-buckets)
+ [Membuat konfigurasi pemindaian CIS](scanning-cis-create-cis-scan-configuration.md)
+ [Melihat hasil pemindaian CIS](scanning-cis-view-cis-scan-configuration.md)
+ [Mengedit konfigurasi pemindaian CIS](scanning-cis-view-edit-cis-scan-configuration.md)
+ [Mengunduh hasil pemindaian CIS](scanning-cis-view-download-cis-scan-configuration.md)
## Persyaratan instans Amazon EC2 untuk pemindaian Amazon Inspector CIS
Untuk menjalankan pemindaian CIS pada instans Amazon EC2 Anda, instans Amazon EC2 harus memenuhi kriteria berikut:
+ Sistem operasi instance adalah salah satu sistem operasi yang didukung untuk pemindaian CIS. Untuk informasi selengkapnya, lihat [Sistem operasi dan bahasa pemrograman yang didukung oleh Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-cis).
+ Instans ini adalah instans Amazon EC2 Systems Manager. Untuk informasi selengkapnya, lihat [Bekerja dengan Agen SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html) di *Panduan AWS Systems Manager Pengguna*.
+ Plugin Amazon Inspector SSM diinstal pada instance. Amazon Inspector secara otomatis menginstal plugin ini pada instans yang rusak.
+ Instance memiliki profil instance yang memberikan izin kepada SSM untuk mengelola instance dan Amazon Inspector untuk menjalankan pemindaian CIS untuk instance tersebut. Untuk memberikan izin ini, lampirkan ManagedCisPolicy kebijakan [Amazon SSMManaged InstanceCore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) dan [AmazonInspector2](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ManagedCisPolicy) ke peran IAM. Kemudian lampirkan peran IAM ke instance Anda sebagai profil instance. Untuk petunjuk cara membuat dan melampirkan profil instans, lihat [Bekerja dengan peran IAM di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#working-with-iam-roles) Pengguna *Amazon EC2*.
**catatan**
Anda tidak diharuskan mengaktifkan inspeksi mendalam Amazon Inspector sebelum menjalankan pemindaian CIS pada instans Amazon EC2 Anda. Jika Anda menonaktifkan inspeksi mendalam Amazon Inspector, Amazon Inspector secara otomatis menginstal Agen SSM, tetapi Agen SSM tidak akan dipanggil untuk menjalankan inspeksi mendalam lagi. Namun, sebagai hasilnya, `InspectorLinuxDistributor-do-not-delete` asosiasi hadir di akun Anda.
### Persyaratan titik akhir Amazon Virtual Private Cloud untuk menjalankan pemindaian CIS pada instans Amazon EC2 pribadi
Anda dapat menjalankan pemindaian CIS pada instans Amazon EC2 melalui jaringan Amazon. Namun, jika Anda ingin menjalankan pemindaian CIS pada instans Amazon EC2 pribadi, Anda harus membuat titik akhir [Amazon](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html) VPC. Titik akhir berikut diperlukan saat Anda membuat titik akhir Amazon VPC untuk Systems Manager:
+ `com.amazonaws.region.ec2messages`
+ `com.amazonaws.region.inspector2`
+ `com.amazonaws.region.s3`
+ `com.amazonaws.region.ssm`
+ `com.amazonaws.region.ssmmessages`
*Untuk informasi selengkapnya, lihat [Membuat titik akhir Amazon VPC untuk Systems Manager di Panduan](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html#sysman-setting-up-vpc-create) Pengguna.AWS Systems Manager *
**catatan**
Saat ini, beberapa Wilayah AWS tidak mendukung `amazonaws.com.region.inspector2` titik akhir.
## Menjalankan pemindaian CIS
Anda dapat menjalankan pemindaian CIS sekali sesuai permintaan atau sebagai pemindaian berulang yang dijadwalkan. Untuk menjalankan pemindaian, pertama-tama Anda membuat konfigurasi pemindaian.
Saat membuat konfigurasi pemindaian, Anda menentukan pasangan nilai kunci tag yang akan digunakan untuk menargetkan instance. Jika Anda adalah administrator yang didelegasikan Amazon Inspector untuk organisasi, Anda dapat menentukan beberapa akun dalam konfigurasi pemindaian, dan Amazon Inspector akan mencari instance dengan tag yang ditentukan di masing-masing akun tersebut. Anda memilih level CIS Benchmark untuk pemindaian. Untuk setiap benchmark, CIS mendukung profil level 1 dan level 2 yang dirancang untuk memberikan garis dasar untuk berbagai tingkat keamanan yang mungkin diperlukan oleh lingkungan yang berbeda.
+ **Level 1** — merekomendasikan pengaturan keamanan dasar penting yang dapat dikonfigurasi pada sistem apa pun. Menerapkan pengaturan ini harus menyebabkan sedikit atau tidak ada gangguan layanan. Tujuan dari rekomendasi ini adalah untuk mengurangi jumlah titik masuk ke sistem Anda, mengurangi risiko keamanan siber Anda secara keseluruhan.
+ **Level 2** — merekomendasikan pengaturan keamanan yang lebih canggih untuk lingkungan dengan keamanan tinggi. Menerapkan pengaturan ini membutuhkan perencanaan dan koordinasi untuk meminimalkan risiko dampak bisnis. Tujuan dari rekomendasi ini adalah untuk membantu Anda mencapai kepatuhan terhadap peraturan.
Level 2 memperluas level 1. Saat Anda memilih Level 2, Amazon Inspector memeriksa semua konfigurasi yang direkomendasikan untuk level 1 dan level 2.
Setelah menentukan parameter untuk pemindaian Anda, Anda dapat memilih apakah akan menjalankannya sebagai pemindaian satu kali, yang berjalan setelah Anda menyelesaikan konfigurasi, atau pemindaian berulang. Pemindaian berulang dapat berjalan setiap hari, mingguan, atau bulanan, pada waktu pilihan Anda.
**Tip**
Sebaiknya pilih hari dan waktu yang paling tidak memengaruhi sistem Anda saat pemindaian sedang berjalan.
## Pertimbangan untuk mengelola pemindaian Amazon Inspector CIS dengan AWS Organizations
Saat Anda menjalankan pemindaian CIS di suatu organisasi, administrator dan akun anggota yang didelegasikan Amazon Inspector berinteraksi dengan konfigurasi pemindaian CIS dan hasil pemindaian secara berbeda.
**Bagaimana administrator yang didelegasikan Amazon Inspector dapat berinteraksi dengan konfigurasi pemindaian CIS dan hasil pemindaian**
Ketika administrator yang didelegasikan membuat konfigurasi pemindaian, baik untuk semua akun atau akun anggota tertentu, organisasi memiliki konfigurasi tersebut. Konfigurasi pemindaian yang dimiliki organisasi memiliki ARN yang menentukan ID organisasi sebagai pemilik:
`arn:aws:inspector2:Region:111122223333:owner/OrganizationId/cis-configuration/scanId`
Administrator yang didelegasikan dapat mengelola konfigurasi pemindaian yang dimiliki organisasi, bahkan jika akun lain membuatnya.
Administrator yang didelegasikan dapat melihat hasil pemindaian untuk akun apa pun di organisasinya.
Jika administrator yang didelegasikan membuat konfigurasi pemindaian dan menetapkan `SELF` sebagai akun target, administrator yang didelegasikan memiliki konfigurasi pemindaian, meskipun mereka meninggalkan organisasi. Namun, administrator yang didelegasikan tidak dapat mengubah target konfigurasi pemindaian dengan `SELF` target.
**catatan**
Adminstrator yang didelegasikan tidak dapat menambahkan tag ke konfigurasi pemindaian CIS yang dimiliki organisasi.
**Bagaimana akun anggota Amazon Inspector dapat berinteraksi dengan konfigurasi pemindaian CIS dan hasil pemindaian**
Ketika akun anggota membuat konfigurasi pemindaian CIS, ia memiliki konfigurasi. Namun, administrator yang didelegasikan dapat melihat konfigurasi. Jika akun anggota meninggalkan organisasi, administrator yang didelegasikan tidak akan dapat melihat konfigurasi.
**catatan**
Administrator yang didelegasikan tidak dapat mengedit konfigurasi pemindaian yang dibuat oleh akun anggota.
Akun anggota, administrator yang didelegasikan `SELF` sebagai target, dan akun mandiri semuanya memiliki konfigurasi pemindaian yang mereka buat. Konfigurasi pemindaian ini memiliki ARN yang menunjukkan ID akun sebagai pemilik:
`arn:aws:inspector2:Region:111122223333:owner/111122223333/cis-configuration/scanId`
Akun anggota dapat melihat hasil pemindaian di akun mereka, termasuk hasil pemindaian dari pindaian CIS yang dijadwalkan administrator yang didelegasikan.
## Amazon Inspector memiliki ember Amazon S3 yang digunakan untuk pemindaian Amazon Inspector CIS
Open Vulnerability and Assessment Language (OVAL) adalah upaya keamanan informasi yang menstandarisasi cara menilai dan melaporkan keadaan mesin sistem komputer. Tabel berikut mencantumkan semua bucket Amazon S3 milik Amazon Inspector dengan definisi OVAL yang digunakan untuk pemindaian CIS. Amazon Inspector menampilkan file definisi OVAL yang diperlukan untuk pemindaian CIS. Bucket Amazon S3 milik Amazon Inspector harus diizinkan masuk jika perlu. VPCs
**catatan**
Detail untuk masing-masing bucket Amazon S3 milik Amazon Inspector berikut tidak dapat berubah. Namun, tabel mungkin diperbarui untuk mencerminkan yang baru didukung Wilayah AWS. Anda tidak dapat menggunakan bucket Amazon S3 milik Amazon Inspector untuk operasi Amazon S3 lainnya atau di bucket Amazon S3 Anda sendiri.
| Ember CIS | Wilayah AWS |
| --- | --- |
| `cis-datasets-prod-arn-5908f6f` | Eropa (Stockholm) |
| `cis-datasets-prod-bah-8f88801` | Timur Tengah (Bahrain) |
| `cis-datasets-prod-bjs-0f40506` | Tiongkok (Beijing) |
| `cis-datasets-prod-bom-435a167` | Asia Pasifik (Mumbai) |
| `cis-datasets-prod-cdg-f3a9c58` | Eropa (Paris) |
| `cis-datasets-prod-cgk-09eb12f` | Asia Pasifik (Jakarta) |
| `cis-datasets-prod-cmh-63030b9` | AS Timur (Ohio) |
| `cis-datasets-prod-cpt-02c5c6f` | Africa (Cape Town) |
| `cis-datasets-prod-dub-984936f` | Eropa (Irlandia) |
| `cis-datasets-prod-fra-6eb96eb` | Eropa (Frankfurt) |
| `cis-datasets-prod-gru-de69f99` | Amerika Selatan (Sao Paulo) |
| `cis-datasets-prod-hkg-8e30800` | Asia Pasifik (Hong Kong) |
| `cis-datasets-prod-iad-8438411` | AS Timur (Virginia Utara) |
| `cis-datasets-prod-icn-f4eff1c` | Asia Pasifik (Seoul) |
| `cis-datasets-prod-kix-5743b21` | Asia Pasifik (Osaka) |
| `cis-datasets-prod-lhr-8b1fbd0` | Eropa (London) |
| `cis-datasets-prod-mxp-7b1bbce` | Europe (Milan) |
| `cis-datasets-prod-nrt-464f684` | Asia Pasifik (Tokyo) |
| `cis-datasets-prod-osu-5bead6f` | AWS GovCloud (AS-Timur) |
| `cis-datasets-prod-pdt-adadf9c` | AWS GovCloud (AS-Barat) |
| `cis-datasets-prod-pdx-acfb052` | AS Barat (Oregon) |
| `cis-datasets-prod-sfo-1515ba8` | AS Barat (California Utara) |
| `cis-datasets-prod-sin-309725b` | Asia Pasifik (Singapura) |
| `cis-datasets-prod-syd-f349107` | Asia Pacific (Sydney) |
| `cis-datasets-prod-yul-5e0c95e` | Kanada (Pusat) |
| `cis-datasets-prod-zhy-5a8eacb` | Tiongkok (Ningxia) |
| `cis-datasets-prod-zrh-67e0e3d` | Europe (Zurich) |
# Membuat konfigurasi pemindaian CIS
Topik ini menjelaskan cara membuat konfigurasi pemindaian CIS.
**Untuk menjalankan pemindaian CIS**
1. [Masuk menggunakan kredensional Anda, lalu buka konsol Amazon Inspector di v2/home. https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/v2/home)
1. Gunakan Wilayah AWS dropdown untuk memilih Wilayah AWS tempat Anda ingin menjalankan pemindaian CIS.
1. **Dari panel navigasi, pilih **Pemindaian sesuai permintaan, lalu pilih pemindaian CIS**.**
1. Pilih **Buat pemindaian baru**.
1. Untuk **nama konfigurasi Pindai**, masukkan **nama konfigurasi Pindai**.
1. Untuk **tag sumber daya Target**, masukkan **Kunci** dan **Nilai** yang sesuai untuk instance yang ingin Anda pindai. Anda dapat menentukan hingga lima nilai berbeda untuk setiap kunci dan total 25 tag untuk disertakan dalam pemindaian.
1. Untuk **tingkat CIS Benchmark**, Anda dapat memilih **Level 1** untuk konfigurasi keamanan dasar atau **Level 2** untuk konfigurasi keamanan lanjutan.
1. Untuk **akun Target**, tentukan akun mana yang akan disertakan dalam pemindaian CIS. Untuk informasi selengkapnya, lihat [Pertimbangan untuk mengelola pemindaian Amazon Inspector CIS dengan AWS Organizations](scanning-cis.md#CIS-organizations).
Jika akun Anda adalah akun administrator yang didelegasikan, Anda dapat memilih **Semua akun** atau **Tentukan akun**. Opsi **Semua akun** menargetkan semua akun di organisasi Anda. **Tentukan akun** hanya menargetkan akun individual di organisasi Anda. Jika Anda memilih opsi ini, Anda dapat menentukan lebih dari satu akun dengan memisahkan nomor akun dengan koma. Anda juga dapat memasukkan `SELF` bukan ID akun untuk membuat konfigurasi pemindaian untuk akun Anda
Jika akun Anda adalah akun mandiri atau akun anggota dalam suatu organisasi, Anda dapat memilih **Self** untuk membuat konfigurasi pemindaian untuk akun Anda.
1. Untuk **Jadwal**, pilih **Pemindaian satu kali**, yang berjalan segera setelah Anda selesai membuat konfigurasi pemindaian, atau **Pemindaian berulang**, yang berjalan pada waktu yang Anda tentukan.
1. Konfirmasikan pilihan Anda, lalu pilih **Buat**.
# Melihat hasil pemindaian CIS
Amazon Inspector membuat tugas pemindaian untuk setiap konfigurasi pemindaian yang berjalan dan mengumpulkan hasil pemindaian dengan ID pemindaian unik. Hasil pemindaian CIS tersedia selama 90 hari. Anda dapat melihat hasil pemindaian CIS dengan cek atau sumber daya yang dipindai:
+ **Hasil pemindaian dikumpulkan berdasarkan pemeriksaan** — Kelompokkan hasil pemindaian oleh setiap pemeriksaan individu yang dilakukan selama pemindaian. Untuk setiap pemeriksaan, Anda mendapatkan laporan tentang berapa banyak sumber daya yang gagal, dilewati, atau dilewati.
+ **Hasil pemindaian dikumpulkan berdasarkan sumber daya yang dipindai** - Kelompokkan hasil pemindaian oleh setiap sumber daya yang dipindai target pemindaian selama pemindaian. Untuk setiap sumber daya, Anda mendapatkan laporan berapa banyak pemeriksaan yang gagal, dilewati, atau dilewati sumber daya.
Topik ini menjelaskan cara melihat hasil untuk pemindaian CIS.
**Untuk melihat hasil pemindaian**
1. [Masuk menggunakan kredensi Anda, lalu buka konsol Amazon Inspector di v2/home. https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/v2/home)
1. Gunakan Wilayah AWS dropdown untuk memilih Wilayah AWS tempat Anda membuat konfigurasi pemindaian CIS Anda.
1. **Dari panel navigasi, pilih **Pemindaian sesuai permintaan, lalu pilih pemindaian CIS**.**
1. Pilih tab **Hasil Pindai**.
1. Di bawah kolom **Dijadwalkan menurut**, pilih ID jadwal pemindaian yang ingin Anda lihat. Atau pilih baris dengan ID jadwal pemindaian yang ingin Anda lihat, lalu pilih **Lihat detail**.
1. Pilih **Cek untuk melihat setiap pemeriksaan** yang dilakukan atau Sumber daya yang **dipindai untuk melihat setiap sumber daya** yang dipindai yang ditargetkan selama pemindaian.
Anda juga dapat melihat detail untuk pemindaian CIS terjadwal.
**Untuk melihat detail pemindaian CIS terjadwal**
1. [Masuk menggunakan kredensi Anda, lalu buka konsol Amazon Inspector di v2/home. https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/v2/home)
1. Gunakan Wilayah AWS dropdown untuk memilih Wilayah AWS tempat Anda membuat konfigurasi pemindaian CIS Anda.
1. **Dari panel navigasi, pilih **Pemindaian sesuai permintaan, lalu pilih pemindaian CIS**.**
1. Pilih tab **Terjadwal**.
1. Di bawah kolom **Nama konfigurasi Pindai**, pilih nama konfigurasi pemindaian yang ingin Anda lihat. Atau pilih baris dengan konfigurasi pemindaian yang ingin Anda lihat, lalu pilih **Lihat detail**.
# Mengedit konfigurasi pemindaian CIS
Topik ini menjelaskan cara mengedit konfigurasi pemindaian CIS.
**Untuk mengedit konfigurasi pemindaian CIS**
1. [Masuk menggunakan kredensi Anda, lalu buka konsol Amazon Inspector di v2/home. https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/v2/home)
1. Gunakan Wilayah AWS dropdown untuk memilih Wilayah AWS tempat Anda membuat konfigurasi pemindaian CIS Anda.
1. **Dari panel navigasi, pilih **Pemindaian sesuai permintaan, lalu pilih pemindaian CIS**.**
1. Pilih tab **Terjadwal**.
1. Pilih baris dengan konfigurasi pemindaian yang ingin Anda edit, lalu pilih **Edit**.
# Mengunduh hasil pemindaian CIS
Anda dapat mengunduh PDF atau CSV dari pemindaian CIS menggunakan konsol Amazon Inspector atau API.
**catatan**
Anda hanya dapat mengunduh file CSV hasil pemindaian CIS Anda untuk pemindaian CIS yang dikumpulkan setelah 05/03/2024.
Topik ini menjelaskan cara mengunduh pemindaian CIS menggunakan konsol Amazon Inspector.
**Untuk mengunduh hasil pemindaian CIS dari konsol**
1. [Masuk menggunakan kredensi Anda, lalu buka konsol Amazon Inspector di v2/home. https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/v2/home)
1. Gunakan Wilayah AWS dropdown untuk memilih Wilayah AWS tempat Anda membuat konfigurasi pemindaian CIS Anda.
1. **Dari panel navigasi, pilih **Pemindaian sesuai permintaan, lalu pilih pemindaian CIS**.**
1. Pilih tab **Hasil Pindai**.
1. Di bawah kolom **Dijadwalkan Berdasarkan**, pilih ID jadwal pemindaian yang ingin Anda lihat. Atau pilih baris dengan ID jadwal pemindaian yang ingin Anda lihat, lalu pilih **Lihat detail**.
1. Pilih **Unduh**, lalu pilih **PDF** atau **CSV**. Jika akun Anda adalah akun administrator yang didelegasikan, Anda dapat memilih **Pilih akun** untuk mengunduh hasil untuk akun anggota tertentu.