本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Linux 型 Amazon EC2 執行個體的 Amazon Inspector 深度檢查 Amazon EC2
<a name="deep-inspection"></a>

 Amazon Inspector 擴展 Amazon EC2 掃描涵蓋範圍，以包含深度檢查。透過深度檢查，Amazon Inspector 會偵測 Linux 型 Amazon EC2 執行個體中應用程式程式設計語言套件的套件漏洞。Amazon Inspector 會掃描程式設計語言套件程式庫的預設路徑。不過，除了 Amazon Inspector 預設掃描的路徑之外，您還可以[設定自訂](https://docs.aws.amazon.com//inspector/latest/user/deep-inspection.html#deep-inspection-paths)路徑。

**注意**  
 深度檢查需要 `ssm:PutInventory`和 `ssm:GetParameter`許可。如果在執行個體上設定 IAM 執行個體描述檔，Amazon Inspector 會使用該描述檔並忽略 DHMC 角色。執行個體描述檔必須包含這些許可。如果未設定執行個體描述檔，Amazon Inspector 會使用設定[的預設主機管理組態](https://docs.aws.amazon.com/systems-manager/latest/userguide/managed-instances-default-host-management.html)角色，其中必須包含這些許可。

 為了對 Linux 型 Amazon EC2 執行個體執行深度檢查掃描，Amazon Inspector 會使用透過 Amazon Inspector SSM 外掛程式收集的資料。若要管理 Amazon Inspector SSM 外掛程式並對 Linux 執行深度檢查，Amazon Inspector 會自動`InvokeInspectorLinuxSsmPlugin-do-not-delete`在您的帳戶中建立 SSM 關聯。Amazon Inspector 每 6 小時從您的 Linux 型 Amazon EC2 執行個體收集更新的應用程式庫存。

**注意**  
 Windows 或 Mac 執行個體不支援深度檢查。

 本節說明如何管理 Amazon EC2 執行個體的 Amazon Inspector 深度檢查，包括如何設定要掃描的 Amazon Inspector 自訂路徑。 Amazon EC2 

**Topics**
+ [存取或停用深度檢查](#deep-inspection-activate)
+ [Amazon Inspector 深度檢查的自訂路徑](#deep-inspection-paths)
+ [Amazon Inspector 深度檢查的自訂排程](#deep-inspection-schedules)
+ [支援的程式設計語言](#supported-deep-inspection)

## 存取或停用深度檢查
<a name="deep-inspection-activate"></a>

**注意**  
 對於在 2023 年 4 月 17 日之後啟用 Amazon Inspector 的帳戶，深度檢查會在 Amazon EC2 掃描中自動啟用。

**管理深度檢查**

1.  使用您的登入資料登入，然後開啟位於 https：//[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 的 Amazon Inspector 主控台 

1.  從導覽窗格中，選擇**一般設定**，然後選擇 Amazon EC2 掃描設定。

1.  在 **Amazon EC2 執行個體的深度檢查**下，您可以[為您的組織或您自己的帳戶設定自訂路徑](https://docs.aws.amazon.com/inspector/latest/user/deep-inspection.html#deep-inspection-paths)。

 您可以使用 [GetEc2DeepInspectionConfiguration](https://docs.aws.amazon.com/inspector/v2/APIReference/API_GetEc2DeepInspectionConfiguration.html) API，以程式設計方式檢查單一帳戶的啟用狀態。您可以使用 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html) API 以程式設計方式檢查多個帳戶的啟用狀態。

 如果您在 2023 年 4 月 17 日之前啟用 Amazon Inspector，您可以透過主控台橫幅或 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html) API 啟用深度檢查。如果您是 Amazon Inspector 中組織的委派管理員，您可以使用 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html) API 來啟用您自己和成員帳戶的深度檢查。

 您可以透過 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html) API 停用深度檢查。組織中的成員帳戶無法停用深度檢查。相反地，成員帳戶必須由其委派管理員使用 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_BatchUpdateMemberEc2DeepInspectionStatus.html) API 來停用。

## Amazon Inspector 深度檢查的自訂路徑
<a name="deep-inspection-paths"></a>

 您可以設定 Amazon Inspector 在 Linux Amazon EC2 執行個體的深度檢查期間掃描的自訂路徑。當您設定自訂路徑時，Amazon Inspector 會掃描該目錄中的套件及其中的所有子目錄中的套件。

 所有帳戶最多可定義 5 個自訂路徑。組織的委派管理員可以定義 10 個自訂路徑。

 除了下列預設路徑之外，Amazon Inspector 還會掃描所有自訂路徑，Amazon Inspector 會掃描所有帳戶：
+ `/usr/lib`
+ `/usr/lib64`
+ `/usr/local/lib`
+ `/usr/local/lib64`

**注意**  
 自訂路徑必須是本機路徑。Amazon Inspector 不會掃描映射的網路路徑，例如網路檔案系統掛載或 Amazon S3 檔案系統掛載。

### 格式化自訂路徑
<a name="deep-inspection-paths-format"></a>

 自訂路徑不能超過 256 個字元。以下是自訂路徑可能看起來如何的範例：

**路徑範例**  
 `/home/usr1/project01` 

**注意**  
 每個執行個體的套件限制為 5，000。套件庫存收集時間上限為 15 分鐘。Amazon Inspector 建議您選擇自訂路徑，以避免這些限制。

### 在 Amazon Inspector 主控台和使用 Amazon Inspector API 設定自訂路徑
<a name="deep-inspection-add-paths"></a>

 下列程序說明如何在 Amazon Inspector 主控台和 Amazon Inspector API 中設定 Amazon Inspector 深度檢查的自訂路徑。設定自訂路徑後，Amazon Inspector 會在下一次深度檢查中包含路徑。

------
#### [ Console ]

1.  以委派管理員 AWS 管理主控台 身分登入 ，並在 https：//[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 開啟 Amazon Inspector 主控台 

1.  使用 AWS 區域 選擇器選擇您要啟用 Lambda 標準掃描的區域。

1.  從導覽窗格中，選擇**一般設定**，然後選擇 **EC2 掃描設定**。

1.  在**您自己的帳戶的自訂路徑**下，選擇**編輯**。

1.  在路徑文字方塊中，輸入您的自訂路徑。

1.  選擇**儲存**。

------
#### [ API ]

 執行 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEc2DeepInspectionConfiguration.html) 命令。對於 ，`packagePaths`指定要掃描的路徑陣列。

------

## Amazon Inspector 深度檢查的自訂排程
<a name="deep-inspection-schedules"></a>

 根據預設，Amazon Inspector 會每 6 小時從 Amazon EC2 執行個體收集應用程式庫存。不過，您可以執行下列命令來控制 Amazon Inspector 執行此作業的頻率。

 **範例命令 1：列出要檢視關聯 ID 和目前間隔的關聯 ** 

 下列命令顯示關聯 的關聯 ID`InvokeInspectorLinuxSsmPlugin-do-not-delete`。

```
aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region
```

 **範例命令 2：更新關聯以包含新的間隔** 

 下列命令會使用關聯 的關聯 ID`InvokeInspectorLinuxSsmPlugin-do-not-delete`。您可以將 的速率`schedule-expression`從 6 小時設定為新的間隔，例如 12 小時。

```
aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region
```

**注意**  
 根據您的使用案例，如果您將 的速率`schedule-expression`從 6 小時設定為間隔，例如 30 分鐘，則可以[超過每日 ssm 庫存限制](https://docs.aws.amazon.com/inspector/latest/user/assessing-coverage.html#viewing-coverage-instances)。這會導致結果延遲，而且您可能會遇到部分錯誤狀態的 Amazon EC2 執行個體。

## 支援的程式設計語言
<a name="supported-deep-inspection"></a>

 對於 Linux 執行個體，Amazon Inspector 深度檢查可以產生應用程式程式設計語言套件和作業系統套件的問題清單。

 對於 Mac 和 Windows 執行個體，Amazon Inspector 深度檢查只能產生作業系統套件的問題清單。

 如需支援程式設計語言的詳細資訊，請參閱[支援的程式設計語言：Amazon EC2 深度檢查](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-programming-languages-deep-inspection)。