Amazon Inspector Classic の評価テンプレートと評価の実行

評価ターゲットテンプレートを作成するには

1. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/inspector/ で Amazon Inspector Classic コンソールを開きます。

2. ナビゲーションペインの [Assessment templates (評価テンプレート)] を選択し、[Create (作成)] を選択します。

3. [Name (名前)] に、評価テンプレートの名前を入力します。

4. [Target name] では、分析する評価ターゲットを選択します。

   注記

   評価テンプレートを作成すると、[Assessment Templates] ページの [Preview Target] ボタンを使用して、評価ターゲットに含まれているすべての EC2 インスタンスを確認することもできます。EC2 インスタンスごとに、ホスト名、インスタンス ID、IP アドレス、および該当する場合はエージェントのステータスを確認できます。エージェントのステータス実行コマンド には、次の値を指定できます。HEALTHY、UNHEALTHY、UNKNOWN Amazon Inspector Classic は、EC2 インスタンスで実行中のエージェントがあるかどうかを判断できない場合、UNKNOWN ステータスを表示します。

   また、[Assessment Templates] ページの [Preview Target] ボタンを使用して、以前作成したテンプレートに含まれている評価ターゲットを構成する EC2 インスタンスを表示することもできます。

5. [Rules packages] では、評価テンプレートに含む 1 つ以上のルールパッケージを選択します。

6. Duration では、評価テンプレートの時間を指定します。

7. (オプション) SNS トピックについては、Amazon Inspector Classic が評価の実行状態と結果について通知を送信する SNS トピックを指定します。Amazon Inspector Classic は、次のイベントに関する SNS 通知を送信できます。

   • 評価の実行が開始された

   • 評価の実行が終了した

   • 評価の実行のステータスが変更された

   • 結果が作成された

   SNS トピックの設定の詳細については、「Amazon Inspector Classic 通知用の SNS トピックの設定」を参照してください。

8. (オプション) [Tag (タグ)] で [Key (キー)] と [Value (値)] の値を入力します。評価テンプレートには複数のタグを追加できます。

9. (オプション) [Attributes added to findings] については、[Key] と [Value] の値を入力します。Amazon Inspector Classic は、評価テンプレートによって生成された、すべての結果に属性を適用します。評価テンプレートには複数の属性を追加できます。結果と結果のタグ付けの詳細については、「Amazon Inspector Classic 結果」を参照してください。

10. (オプション) このテンプレートを使用して評価の実行スケジュールをセットアップするには、[Set up recurring assessment runs once every <number_of_days>, starting now (定期的な評価の実行をセットアップする、<number_of_days> に 1 回、今すぐ開始)] チェックボックスにチェックを選択し、上下の矢印を使用して繰り返しパターン (日数) を指定します。

    注記

    このチェックボックスを使用すると、Amazon Inspector Classic によってセットアップされた評価実行スケジュール用の Amazon CloudWatch Events ルールが自動的に作成されます。その後、Amazon Inspector Classic は、AWS_InspectorEvents_Invoke_Assessment_Template という名前の IAM ロールも自動的に作成します。このロールを使用して、CloudWatch Events が Amazon Inspector Classic のリソースに対して API コールを行うことができます。詳細については、「Amazon CloudWatch Events とは」および「CloudWatch Events のリソースベースのポリシーを使用する」を参照してください。

    注記

    また、 AWS Lambda 関数を使用して評価の自動実行をセットアップすることもできます。詳細については、「Lambda 関数を使用した評価の自動実行のセットアップ」を参照してください。

11. [Create and run] または [Create] を選択します。

評価テンプレートを削除するには

• [Assessment Templates (評価テンプレート)] ページで、削除するテンプレートを選択し、[Delete (削除)] を選択します。確認を求めるメッセージが表示されたら、実行コマンドYes実行コマンド を選択します。

  重要

  評価テンプレートを削除すると、すべての評価の実行、結果、このテンプレートに関連付けられたバージョンのレポートも削除されます。

実行を削除するには

• [評価の実行] ページで、削除する実行を選択し、[削除] を選択します。確認を求めるメッセージが表示されたら、実行コマンドYes実行コマンド を選択します。

  重要

  実行を削除すると、その実行のすべての結果とすべてのバージョンのレポートも削除されます。

Lambda 関数を使用した評価の自動実行をセットアップするには

1. にサインインし AWS マネジメントコンソール、 AWS Lambda コンソールを開きます。

2. ナビゲーションペインで [Dashboard (ダッシュボード)] または [Functions (関数)] を選択し、[Create a Lambda Function(Lambda 関数の作成)] を選びます。

3. [Create function (関数の作成)] ページで、[Browse serverless app repository (サーバーレスアプリリポジトリの参照)] を選択し、検索フィールドに「inspector」と入力します。

4. 設計図として inspector-scheduled-run を選択します。

5. [Review, configure, and deploy (確認、設定、デプロイ)] ページで、関数をトリガーする CloudWatch イベントを指定して、自動実行用の定期的なスケジュールをセットアップします。これを行うには、ルールの名前と説明を入力し、スケジュール式を選択します。スケジュール式は、実行の頻度を決定します。たとえば、15 分ごと、または 1 日 1 回などです。CloudWatch イベントと概念の詳細については、「Amazon CloudWatch Events とは」を参照してください。

   [Enable trigger (トリガーの有効化)] のチェックボックスをオンにした場合、実行は関数の作成が完了した直後に開始されます。それ以降の自動的な実行は [Schedule expression (スケジュール式)] で指定した定期的なパターンに従います。関数の作成時に [Enable trigger] のチェックボックスをオンにしない場合は、後で関数を編集して、このトリガーを有効にすることができます。

6. [Configure function] ページで、次の項目を指定します。

   • [名前] に、関数の名前を入力します。

   • (オプション) [Description (説明)] に、関数を識別するための説明を入力します。

   • ランタイムの場合、デフォルト値の のままにしますNode.js 8.10。 は、Node.js 8.10ランタイムに対してのみ inspector-scheduled-run ブループリント AWS Lambda をサポートします。

   • この関数を使用して自動的に実行される評価テンプレート。それには [assessmentTemplateArn] と呼ばれる環境変数の値を指定します。

   • ハンドラはデフォルト値の「index.handler」に設定します。

   • [Role] フィールドを使用する関数の権限。詳細については、「AWS Lambda のアクセス許可モデル」を参照してください。

     この関数を実行するには、 が実行 AWS Lambda を開始し、エラーを含む実行に関するログメッセージを Amazon CloudWatch Logs に書き込むことを許可する IAM ロールが必要です。 は、定期的な自動実行ごとにこのロール AWS Lambda を引き受けます。たとえば、次のサンプルポリシーをこの IAM ロールにアタッチできます。

     JSON

     {
       "Version":"2012-10-17",
       "Statement": [
         {
           "Effect": "Allow",
           "Action": [
             "inspector:StartAssessmentRun",
             "logs:CreateLogGroup",
             "logs:CreateLogStream",
             "logs:PutLogEvents"
           ],
           "Resource": "*"
         }
       ]
     }
     

7. 場所を確認して [Create function] を選択します。

通知用の SNS トピックを設定するには

1. SNS トピックを作成します。チュートリアル :Amazon SNS トピックを作成するを参照してください。トピックを作成したら、[Access policy - optional (アクセスポリシー - オプション)] セクションを展開します。次に、以下の操作を実行し、評価からトピックへのメッセージを送信を許可します。

   1. [Choose method (メソッドの選択)] で、[Basic] を選択します。

   2. トピックにメッセージを発行できるユーザーを定義する で、指定した AWS アカウントのみを選択し、トピックを作成するリージョンのアカウントの ARN を入力します。

      • US East (Ohio) - arn:aws:iam::646659390643:root

      • US East (N. Virginia) - arn:aws:iam::316112463485:root

      • US West (N. California) - arn:aws:iam::166987590008:root

      • US West (Oregon) - arn:aws:iam::758058086616:root

      • Asia Pacific (Mumbai) - arn:aws:iam::162588757376:root

      • Asia Pacific (Seoul) - arn:aws:iam::526946625049:root

      • Asia Pacific (Sydney) - arn:aws:iam::454640832652:root

      • Asia Pacific (Tokyo) - arn:aws:iam::406045910587:root

      • Europe (Frankfurt) - arn:aws:iam::537503971621:root

      • Europe (Ireland) - arn:aws:iam::357557129151:root

      • Europe (London) - arn:aws:iam::146838936955:root

      • Europe (Stockholm) - arn:aws:iam::453420244670:root

      • AWS GovCloud (US-East) - arn:aws-us-gov:iam::206278770380:root

      • AWS GovCloud (US-West) - arn:aws-us-gov:iam::850862329162:root

   3. このトピックをサブスクライブできるユーザーを定義する で、指定された AWS アカウントのみを選択し、トピックを作成するリージョンのアカウントの ARN を入力します。

   4. 「IAM ユーザーガイド」の「 Confused deputy problem (混乱した代理の問題)」で説明されているように、Inspector が混乱した代理として使われることを防ぐため、次の作業を行います。

      1. [Advanced] (アドバンスト) を選択します。これにより JSON エディタに移動します。

      2. 次の条件を追加します。

         
              "Condition": {
                 "StringEquals": {
                   "aws:SourceAccount": <your account Id here>,
                   "aws:SourceArn": "arn:aws:inspector:*:*:*"
                 }
               }                              
                                                 

   5. (オプション) aws:SourceAccount および aws:SourceArn の詳細については、IAM ユーザーガイドの「グローバル条件コンテキストキー」を参照してください。

   6. 必要に応じてトピックの他の設定を更新し、[Create topic (トピックの作成)] を選択します。

2. （オプション）暗号化された SNS トピックを作成するには、SNS デベロッパーガイドの「保管時の暗号化」を参照してください。

3. Inspector が KMS キーの混乱した代理として使用されるのを防ぐには、以下の追加手順に従います。

   1. KMS コンソールで CMK に移動します。

   2. [編集] を選択します。

   3. 次の条件を追加します。

      
           "Condition": {
              "StringEquals": {
                "aws:SourceAccount": <your account Id here>,
                "aws:SourceArn": "arn:aws:sns:*:*:*"
              }
            }                       
                                          

4. 作成したトピックへのサブスクリプションを作成します。詳細については、チュートリアル :Amazon SNS トピックにエンドポイントをサブスクライブするを参照してください。

5. サブスクリプションが正しく設定されていることを確認するには、そのトピックに対してメッセージを発行します。詳細については、チュートリアル: Amazon SNS トピックにメッセージを発行するを参照してください。