本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在漏洞管理计划中使用 Amazon Inspector
<a name="amazon-inspector"></a>

[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) 是一项漏洞管理服务，可持续扫描 Amazon Elastic Compute Cloud（Amazon EC2）实例、Amazon Elastic Container Registry（Amazon ECR）容器映像和 AWS Lambda 函数，以查找软件漏洞和意外网络暴露。您可以使用 Amazon Inspector 来了解您的 AWS 环境中的软件漏洞，并确定解决这些漏洞的优先顺序。

Amazon Inspector 在资源的整个生命周期中持续评测您的环境。它会自动重新扫描资源，以应对可能引入新漏洞的更改。例如，当您在 EC2 实例上安装新软件包、安装补丁或发布新的、影响资源的常见漏洞和披露（CVE）时，它会重新扫描。当 Amazon Inspector 发现漏洞或开放的网络路径时，其会生成可供您调查的调查发现。调查发现提供有关该漏洞的全面信息，包括以下各项：
+ [Amazon Inspector 风险评分](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-score.html)
+ [常见漏洞评分系统（CVSS）评分](https://www.first.org/cvss/calculator/3.1)
+ 受影响的资源
+ 来自 Amazon、[https://www.recordedfuture.com/](https://www.recordedfuture.com/) 和 [https://www.cisa.gov/](https://www.cisa.gov/) 的、关于 CVE 的漏洞情报数据
+ 修复建议

有关设置 Amazon Inspector 的说明，请参阅 [Getting started with Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html)。本教程中的*激活 Amazon Inspector* 步骤提供了两个配置选项：独立账户环境和多账户环境。如果您想监控多个属于组织成员的用户 AWS 账户 ，我们建议您使用多账户环境选项。 AWS Organizations

在多账户环境中设置 Amazon Inspector 时，您可以将组织中的账户指定为 Amazon Inspector 委派管理员。委派管理员可以管理组织成员的调查发现和某些设置。例如，委派管理员可以查看所有成员账户汇总调查发现的详细信息，启用或禁用对成员账户的扫描，以及查看扫描的资源。 AWS SRA 建议您创建一个[安全工具账户](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)，并将其作为 Amazon Inspector 的委托管理员使用。