翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Linux ベースの Amazon EC2 インスタンス向け Amazon Inspector 詳細検査
<a name="deep-inspection"></a>

 Amazon Inspector は Amazon EC2 スキャンの対象範囲を拡大し、詳細検査を含めました。詳細検査により、Amazon Inspector は Linux ベースの Amazon EC2 インスタンス内のアプリケーションプログラミング言語パッケージのパッケージ脆弱性を検出します。Amazon Inspector は、プログラミング言語パッケージライブラリのデフォルトパスをスキャンします。ただし、Amazon Inspector がデフォルトでスキャンするパスに加えて、[カスタムパスを設定](https://docs.aws.amazon.com//inspector/latest/user/deep-inspection.html#deep-inspection-paths)できます。

**注記**  
 詳細検査には、 `ssm:PutInventory`および アクセス`ssm:GetParameter`許可が必要です。IAM インスタンスプロファイルがインスタンスで設定されている場合、Amazon Inspector はそのプロファイルを使用し、DHMC ロールを無視します。インスタンスプロファイルには、これらのアクセス許可が含まれている必要があります。インスタンスプロファイルが設定されていない場合、Amazon Inspector は設定された[デフォルトのホスト管理設定](https://docs.aws.amazon.com/systems-manager/latest/userguide/managed-instances-default-host-management.html)ロールを使用します。このロールには、これらのアクセス許可を含める必要があります。

 Amazon Inspector は、Linux ベースの Amazon EC2 インスタンスの詳細検査スキャンを実行するため、Amazon Inspector SSM プラグインで収集されたデータを使用します。Amazon Inspector SSM プラグインを管理し、Linux 用の詳細検査を実行するために、Amazon Inspector はアカウントに SSM 関連付け `InvokeInspectorLinuxSsmPlugin-do-not-delete` を自動的に作成します。Amazon Inspector は、6 時間ごとに Linux ベースの Amazon EC2 インスタンスから更新されたアプリケーションインベントリを収集します。

**注記**  
 Windows または Mac インスタンスでは詳細検査はサポートされていません。

 このセクションでは、Amazon Inspector がスキャンするカスタムパスを設定する方法など、Amazon EC2 インスタンスの Amazon Inspector 詳細検査を管理する方法について説明します。

**Topics**
+ [

## 詳細検査へのアクセスまたは無効化
](#deep-inspection-activate)
+ [

## Amazon Inspector 詳細検査のカスタムパス
](#deep-inspection-paths)
+ [

## Amazon Inspector 詳細検査のカスタムスケジュール
](#deep-inspection-schedules)
+ [

## サポートされているプログラミング言語
](#supported-deep-inspection)

## 詳細検査へのアクセスまたは無効化
<a name="deep-inspection-activate"></a>

**注記**  
 2023 年 4 月 17 日以降に Amazon Inspector をアクティブ化したアカウントの場合、Amazon EC2 スキャンの一環として詳細検査が自動的にアクティブ化されます。

**詳細検査を管理するには**

1.  認証情報を使用してサインインし、Amazon Inspector コンソール ([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home)) を開きます。

1.  ナビゲーションペインから **[一般設定]** を選択し、Amazon EC2 スキャン設定を選択します。

1.  **[Amazon EC2 インスタンスの詳細検査]** で、[組織または独自のアカウントのカスタムパスを設定](https://docs.aws.amazon.com/inspector/latest/user/deep-inspection.html#deep-inspection-paths)できます。

 [GetEc2DeepInspectionConfiguration](https://docs.aws.amazon.com/inspector/v2/APIReference/API_GetEc2DeepInspectionConfiguration.html) API を使用して、アクティブ化のステータスをプログラムで 1 つのアカウントに対して確認できます。[https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html) API を使用して、複数のアカウントでアクティブ化のステータスをプログラムで確認できます。

 2023 年 4 月 17 日より前に Amazon Inspector をアクティベートした場合は、コンソールバナーまたは [https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html) API を使用して詳細検査をアクティベートできます。組織において Amazon Inspector の委任管理者である場合は、[https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html) API を使用して、自分とメンバーアカウントに対して詳細検査をアクティブ化できます。

 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html) API を使用して詳細検査を非アクティブ化できます。組織のメンバーアカウントは詳細検査を非アクティブ化することはできません。その代わりに、委任管理者が [https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html) API を使用してメンバーアカウントを非アクティブ化する必要があります。

## Amazon Inspector 詳細検査のカスタムパス
<a name="deep-inspection-paths"></a>

 Amazon Inspector が Linux Amazon EC2 インスタンスの詳細検査を実行するときにスキャンするカスタムパスを設定できます。カスタムパスを設定すると、Amazon Inspector はそのディレクトリとその中のすべてのサブディレクトリにあるパッケージをスキャンします。

 すべてのアカウントで、最大 5 個のカスタムパスを定義できます。組織の委任管理者は、10 個のカスタムパスを定義できます。

 Amazon Inspector は、すべてのアカウントで Amazon Inspector がスキャンする以下のデフォルトパスに加えて、すべてのカスタムパスをスキャンします。
+ `/usr/lib`
+ `/usr/lib64`
+ `/usr/local/lib`
+ `/usr/local/lib64`

**注記**  
 カスタムパスはローカルパスである必要があります。Amazon Inspector は、ネットワークファイルシステムマウントや Amazon S3 ファイルシステムマウントなどのマッピングされたネットワークパスをスキャンしません。

### カスタムパスのフォーマット
<a name="deep-inspection-paths-format"></a>

 カスタムパスは 256 文字より長くすることはできません。以下は、カスタムパスの例です。

**パスの例**  
 `/home/usr1/project01` 

**注記**  
 インスタンスあたりのパッケージ制限は 5,000 です。パッケージインベントリの最大収集時間は 15 分です。これらの制限を避けるため、Amazon Inspector ではカスタムパスを選択することをお勧めします。

### Amazon Inspector コンソールと Amazon Inspector API でのカスタムパスの設定
<a name="deep-inspection-add-paths"></a>

 次の手順は、Amazon Inspector コンソールと Amazon Inspector API で Amazon Inspector 詳細検査のカスタムパスを設定する方法を示しています。カスタムパスを設定すると、Amazon Inspector は次の詳細検査にパスを含めます。

------
#### [ Console ]

1.  委任管理者 AWS マネジメントコンソール として にサインインし、[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) で Amazon Inspector コンソールを開きます。

1.  AWS リージョン セレクターを使用して、Lambda 標準スキャンをアクティブ化するリージョンを選択します。

1.  ナビゲーションペインから、**[全般設定]**、**[EC2 スキャン設定]** の順に選択します。

1.  **[独自のアカウントのカスタムパス]** で、**[編集]** を選択します。

1.  テキストボックスにカスタムパスを入力します。

1.  **[保存]** を選択します。

------
#### [ API ]

 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html) コマンドを実行します。`packagePaths` には、スキャンするパスの配列を指定します。

------

## Amazon Inspector 詳細検査のカスタムスケジュール
<a name="deep-inspection-schedules"></a>

 デフォルトでは、Amazon Inspector は 6 時間ごとに Amazon EC2 インスタンスからアプリケーションインベントリを収集します。ただし、次のコマンドを実行して、Amazon Inspector がこれを実行する頻度を制御できます。

 **コマンド例 1: 関連付けを一覧表示して関連付け ID と現在の間隔を表示する** 

 次のコマンドは、関連付け `InvokeInspectorLinuxSsmPlugin-do-not-delete` の関連付け ID を示しています。

```
aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region
```

 **コマンド例 2: 関連付けを更新して新しい間隔を含める** 

 次のコマンドは、関連付け `InvokeInspectorLinuxSsmPlugin-do-not-delete` の関連付け ID を使用します。`schedule-expression` のレートは、6 時間から新しい間隔 (12 時間など) に設定できます。

```
aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region
```

**注記**  
 ユースケースに応じて、`schedule-expression` のレートを 6 時間から 30 分などの間隔に設定すると、[毎日の ssm インベントリ制限を超える](https://docs.aws.amazon.com/inspector/latest/user/assessing-coverage.html#viewing-coverage-instances)可能性があります。これにより結果が遅延し、部分的なエラーステータスを持つ Amazon EC2 インスタンスが発生する可能性があります。

## サポートされているプログラミング言語
<a name="supported-deep-inspection"></a>

 Linux インスタンスの場合、Amazon Inspector の詳細検査により、アプリケーションプログラミング言語パッケージとオペレーティングシステムパッケージの検出結果を生成できます。

 Mac および Windows インスタンスの場合、Amazon Inspector の詳細検査はオペレーティングシステムパッケージに対してのみ検出結果を生成できます。

 サポートされているプログラミング言語の詳細については、「[サポートされているプログラミング言語: Amazon EC2 詳細検査](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-programming-languages-deep-inspection)」を参照してください。