View a markdown version of this page

Linux および 用の Amazon Inspector SSM プラグイン Windows - Amazon Inspector
Linux 向け Amazon Inspector SSM プラグインWindows 向け Amazon Inspector SSM プラグイン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Linux および 用の Amazon Inspector SSM プラグイン Windows

このトピックでは、 Linux および Windows インスタンスに向けた Amazon Inspector SSM プラグインについて説明します。

Linux 向け Amazon Inspector SSM プラグイン

Amazon Inspector VM Scanner で拡張 EC2 スキャンを有効にしていない場合、Amazon Inspector は Amazon Inspector SSM プラグインを使用して Linux インスタンスでディープインスペクションスキャンを実行します。Amazon Inspector SSM プラグインは、Linux インスタンスの /opt/aws/inspector/bin ディレクトリに自動的にインストールされます。実行可能ファイルの名前は inspectorssmplugin です。

Amazon Inspector は、Systems Manager Distributor を使用してインスタンスにプラグインをデプロイします。詳細検査スキャンを実行するには、Systems Manager Distributor と Amazon Inspectorが、Amazon EC2 インスタンスオペレーティングシステムをサポートしている必要があります。Systems Manager Distributor がサポートするオペレーティングシステムの詳細については、「AWS Systems Manager ユーザーガイド」の「サポートされているパッケージのプラットフォームとアーキテクチャ」を参照してください。

Amazon Inspector は、Amazon Inspector SSM プラグインによって詳細検査向けに収集されたデータを管理するために、ファイルディレクトリを作成します。これらのファイルディレクトリには、/opt/aws/inspector/var/input/opt/aws/inspector/var/output が含まれます。

/opt/aws/inspector/var/output ストアの packages.txt ファイルは、詳細検査によって検出されたパッケージへのフルパスを保存します。Amazon Inspector がインスタンスで同じパッケージを複数回検出した場合、packages.txt ファイルにはそのパッケージが見つかった各場所が一覧表示されます。

Amazon Inspector は、プラグインのログを /var/log/amazon/inspector ディレクトリに保存します。

Amazon Inspector SSM プラグインのアンインストール

inspectorssmplugin ファイルが誤って削除された場合、SSM 関連付け InspectorLinuxDistributor-do-not-delete は次のスキャン間隔で inspectorssmplugin ファイルの再インストールを試みます。

Amazon EC2 スキャンを非アクティブ化すると、プラグインはすべての Linux ホストから自動的にアンインストールされます。

Windows 向け Amazon Inspector SSM プラグイン

Amazon Inspector VM Scanner で拡張 EC2 スキャンを有効にしていない場合、Amazon Inspector がWindowsインスタンスをスキャンするには Amazon Inspector SSM プラグインが必要です。Amazon Inspector SSM プラグインは C:\Program Files\Amazon\Inspector の Windows インスタンスに自動的にインストールされ、実行可能バイナリファイルは InspectorSsmPlugin.exe という名前になります。

Amazon Inspector SSM プラグインが収集するデータを保存するために、次のファイルの場所が作成されます。

  • C:\ProgramData\Amazon\Inspector\Input

  • C:\ProgramData\Amazon\Inspector\Output

  • C:\ProgramData\Amazon\Inspector\Logs

注記

デフォルトでは、Amazon Inspector SSM プラグインは通常の優先度よりも低い優先度で実行されます。

注記

Windows インスタンスのスキャンには、 ssm:PutInventoryおよび アクセスssm:GetParameter許可が必要です。IAM インスタンスプロファイルがインスタンスで設定されている場合、Amazon Inspector はそのプロファイルを使用し、デフォルトのホスト管理設定 (DHMC) ロールを無視します。インスタンスプロファイルには、これらのアクセス許可を含める必要があります。インスタンスプロファイルが設定されていない場合、Amazon Inspector は設定されたデフォルトのホスト管理設定ロールを使用します。これには、これらのアクセス許可を含める必要があります。

Amazon Inspector SSM プラグインのアンインストール

InspectorSsmPlugin.exe ファイルが誤って削除された場合、InspectorDistributor-do-not-delete 関連付けは次の Windows スキャン間隔で InspectorSsmPlugin.exe ファイルの再インストールします。Amazon Inspector SSM プラグインをアンインストールする場合は、AmazonInspector2-ConfigureInspectorSsmPlugin ドキュメントの [アンインストール] アクションを使用できます。ただし、Amazon EC2 スキャンを非アクティブ化すると、Amazon Inspector SSM プラグインはすべての Windows ホストから自動的にアンインストールされます。

注記

Amazon Inspector を非アクティブ化する前に SSM エージェントをアンインストールすると、Amazon Inspector SSM プラグインは Windows ホストに残りますが、Amazon Inspector SSM プラグインにデータを送信しません。詳細については、「Amazon Inspector の非アクティブ化」を参照してください。