本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon EC2 執行個體作業系統的網際網路安全中心 (CIS) 掃描
<a name="scanning-cis"></a>

 Amazon Inspector CIS 掃描 (CIS 掃描） 對您的 Amazon EC2 執行個體作業系統進行基準測試，以確保您根據網際網路安全中心建立的最佳實務建議進行設定。[CIS Security Benchmarks](https://aws.amazon.com/what-is/cis-benchmarks/) 提供產業標準組態基準，以及安全設定系統的最佳實務。您可以在為帳戶啟用 Amazon Inspector EC2 掃描之後執行或排程 CIS 掃描。如需如何啟用 Amazon EC2 掃描的資訊，請參閱[啟用掃描類型](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html)。

**注意**  
 CIS 標準適用於 x86\$164 作業系統。有些檢查可能無法評估，或傳回 ARM 型資源上的無效修復指示。

 Amazon Inspector 會根據執行個體標籤和您定義的掃描排程，對目標 Amazon EC2 執行個體執行 CIS 掃描。Amazon Inspector 會對每個目標執行個體執行一系列執行個體檢查。每次檢查都會評估您的系統組態是否符合特定的 CIS 基準建議。每個檢查都有一個 CIS 檢查 ID 和標題，對應於該平台的 CIS 基準建議。當 CIS 掃描完成時，您可以檢視結果，以查看該系統通過、略過或失敗的執行個體檢查。

**注意**  
 若要執行或排程 CIS 掃描，您必須擁有安全的網際網路連線。不過，如果您想要在私有執行個體上執行 CIS 掃描，則必須使用 VPC 端點。

**Topics**
+ [Amazon Inspector CIS 掃描的 Amazon EC2 執行個體需求 Amazon Inspector](#cis-requirements)
+ [執行 CIS 掃描](#running-cis-scans)
+ [使用 管理 Amazon Inspector CIS 掃描的考量事項 AWS Organizations](#CIS-organizations)
+ [用於 Amazon Inspector CIS 掃描的 Amazon Inspector 擁有的 Amazon Amazon S3 儲存貯體](#cis-buckets)
+ [建立 CIS 掃描組態](scanning-cis-create-cis-scan-configuration.md)
+ [檢視 CIS 掃描結果](scanning-cis-view-cis-scan-configuration.md)
+ [編輯 CIS 掃描組態](scanning-cis-view-edit-cis-scan-configuration.md)
+ [下載 CIS 掃描結果](scanning-cis-view-download-cis-scan-configuration.md)

## Amazon Inspector CIS 掃描的 Amazon EC2 執行個體需求 Amazon Inspector
<a name="cis-requirements"></a>

 若要在 Amazon EC2 執行個體上執行 CIS 掃描，Amazon EC2 執行個體必須符合下列條件：
+  執行個體作業系統是 CIS 掃描支援的作業系統之一。如需詳細資訊，請參閱 [Amazon Inspector 支援的作業系統和程式設計語言](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-cis)。
+  執行個體是 Amazon EC2 Systems Manager 執行個體。如需詳細資訊，請參閱*AWS Systems Manager 《 使用者指南*》中的[使用 SSM 代理](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html)程式。
+  Amazon Inspector SSM 外掛程式安裝在執行個體上。Amazon Inspector 會自動在受管執行個體上安裝此外掛程式。
+  執行個體具有執行個體描述檔，可授予 SSM 管理執行個體和 Amazon Inspector 對該執行個體執行 CIS 掃描的許可。若要授予這些許可，請將 [AmazonSSMManagedInstanceCore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) 和 [AmazonInspector2ManagedCisPolicy](https://docs.aws.amazon.com/inspector/latest/user/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonInspector2ManagedCisPolicy) 政策連接至 IAM 角色。然後將 IAM 角色做為執行個體描述檔連接至您的執行個體。如需建立和連接執行個體描述檔的說明，請參閱《*Amazon EC2 使用者指南》中的*[使用 IAM 角色](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#working-with-iam-roles)。

**注意**  
 在 Amazon EC2 執行個體上執行 CIS 掃描之前，您不需要啟用 Amazon Inspector 深度檢查。 Amazon EC2 如果您停用 Amazon Inspector 深度檢查，Amazon Inspector 會自動安裝 SSM 代理程式，但不會再叫用 SSM 代理程式來執行深度檢查。但是，關聯`InspectorLinuxDistributor-do-not-delete`因此存在於您的帳戶中。

### 在私有 Amazon EC2 執行個體上執行 CIS 掃描的 Amazon Virtual Private Cloud 端點需求 Amazon EC2
<a name="w2aac15c13b9"></a>

 您可以透過 Amazon 網路在 Amazon EC2 執行個體上執行 CIS 掃描。不過，如果您想要在私有 Amazon EC2 執行個體上執行 CIS 掃描，則必須[建立 Amazon VPC 端點](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html)。當您為 Systems Manager 建立 Amazon VPC 端點時，需要下列端點：
+  `com.amazonaws.region.ec2messages` 
+  `com.amazonaws.region.inspector2` 
+  `com.amazonaws.region.s3` 
+  `com.amazonaws.region.ssm` 
+  `com.amazonaws.region.ssmmessages` 

 如需詳細資訊，請參閱[《 使用者指南》中的為 Systems Manager 建立 Amazon VPC 端點](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html#sysman-setting-up-vpc-create)。 *AWS Systems Manager *

**注意**  
 目前，有些 AWS 區域 不支援`amazonaws.com.region.inspector2`端點。

## 執行 CIS 掃描
<a name="running-cis-scans"></a>

您可以隨需執行一次 CIS 掃描，也可以做為排程的重複掃描執行。若要執行掃描，請先建立掃描組態。

建立掃描組態時，您可以指定要用於鎖定執行個體的標籤鍵值組。如果您是組織的 Amazon Inspector 委派管理員，您可以在掃描組態中指定多個帳戶，Amazon Inspector 將在每個帳戶中尋找具有指定標籤的執行個體。您可以選擇掃描的 CIS 基準層級。針對每個基準，CIS 支援第 1 級和第 2 級設定檔，旨在為不同環境可能需要的不同安全層級提供基準。
+ 第 **1 級** – 建議可在任何系統上設定的基本基本安全設定。實作這些設定應該幾乎不會中斷服務。這些建議的目標是減少系統中的進入點數量，進而降低整體網路安全風險。
+ 第 **2 級** – 針對高安全性環境建議更進階的安全設定。實作這些設定需要規劃和協調，才能將業務影響的風險降至最低。這些建議的目標是協助您達成法規合規。

第 2 級擴展第 1 級。當您選擇層級 2 時，Amazon Inspector 會檢查針對層級 1 和層級 2 建議的所有組態。

定義掃描的參數後，您可以選擇是否將其作為一次性掃描執行，該掃描會在您完成組態後執行，或重複掃描。重複掃描可以每天、每週或每月在您選擇的時間執行。

**提示**  
我們建議選擇掃描執行時最不可能影響系統的日期和時間。

## 使用 管理 Amazon Inspector CIS 掃描的考量事項 AWS Organizations
<a name="CIS-organizations"></a>

 當您在組織中執行 CIS 掃描時，Amazon Inspector 委派管理員和成員帳戶會與 CIS 掃描組態互動，並以不同的方式掃描結果。

**Amazon Inspector 委派管理員如何與 CIS 掃描組態和掃描結果互動**  
 當委派管理員為所有帳戶或特定成員帳戶建立掃描組態時，組織會擁有該組態。組織擁有的掃描組態具有指定組織 ID 為擁有者的 ARN：

 `arn:aws:inspector2:Region:111122223333:owner/OrganizationId/cis-configuration/scanId` 

 委派管理員可以管理組織擁有的掃描組態，即使另一個帳戶建立了這些組態。

 委派管理員可以檢視組織中任何帳戶的掃描結果。

 如果委派管理員建立掃描組態並指定 `SELF`做為目標帳戶，則委派管理員會擁有掃描組態，即使他們離開組織。不過，委派管理員無法使用 `SELF`作為目標來變更掃描組態的目標。

**注意**  
 委派管理員無法將標籤新增至組織擁有的 CIS 掃描組態。

**Amazon Inspector 成員帳戶如何與 CIS 掃描組態和掃描結果互動**  
 當成員帳戶建立 CIS 掃描組態時，它會擁有該組態。不過，委派管理員可以檢視組態。如果成員帳戶離開組織，委派管理員將無法檢視組態。

**注意**  
 委派管理員無法編輯成員帳戶建立的掃描組態。

 成員帳戶、以 `SELF`做為目標的委派管理員，以及他們建立的所有獨立帳戶。這些掃描組態具有顯示帳戶 ID 為擁有者的 ARN：

 `arn:aws:inspector2:Region:111122223333:owner/111122223333/cis-configuration/scanId` 

 成員帳戶可以檢視其帳戶中的掃描結果，包括 CIS 掃描委派管理員排程的掃描結果。

## 用於 Amazon Inspector CIS 掃描的 Amazon Inspector 擁有的 Amazon Amazon S3 儲存貯體
<a name="cis-buckets"></a>

 Open Vulnerability and Assessment Language (OVAL) 是一種資訊安全工作，可標準化如何評估和報告電腦系統的機器狀態。下表列出具有 OVAL 定義的所有 Amazon Inspector 擁有的 Amazon S3 儲存貯體，這些定義用於 CIS 掃描。Amazon Inspector 會階段 CIS 掃描所需的 OVAL 定義檔案。如有必要，Amazon Inspector 擁有的 Amazon S3 儲存貯體應列入 VPCs 的允許清單。

**注意**  
 下列每個 Amazon Inspector 擁有的 Amazon S3 儲存貯體的詳細資訊都不會變更。不過，資料表可能會更新以反映新支援的 AWS 區域。您無法將 Amazon Inspector 擁有的 Amazon S3 儲存貯體用於其他 Amazon S3 操作或您自己的 Amazon S3 儲存貯體。


| CIS 儲存貯體 | AWS 區域 | 
| --- | --- | 
|   `cis-datasets-prod-arn-5908f6f`   |   歐洲 (斯德哥爾摩)   | 
|   `cis-datasets-prod-bah-8f88801`   |   Middle East (Bahrain)   | 
|   `cis-datasets-prod-bjs-0f40506`   |   中國 (北京)   | 
|   `cis-datasets-prod-bom-435a167`   |   亞太地區 (孟買)   | 
|   `cis-datasets-prod-cdg-f3a9c58`   |   Europe (Paris)   | 
|   `cis-datasets-prod-cgk-09eb12f`   |   亞太地區 (雅加達)   | 
|   `cis-datasets-prod-cmh-63030b9`   |   美國東部 (俄亥俄)   | 
|   `cis-datasets-prod-cpt-02c5c6f`   |   非洲 (開普敦)   | 
|   `cis-datasets-prod-dub-984936f`   |   歐洲 (愛爾蘭)   | 
|   `cis-datasets-prod-fra-6eb96eb`   |   歐洲 (法蘭克福)   | 
|   `cis-datasets-prod-gru-de69f99`   |   南美洲 (聖保羅)   | 
|   `cis-datasets-prod-hkg-8e30800`   |   亞太地區 (香港)   | 
|   `cis-datasets-prod-iad-8438411`   |   美國東部 (維吉尼亞北部)   | 
|   `cis-datasets-prod-icn-f4eff1c`   |   亞太地區 (首爾)   | 
|   `cis-datasets-prod-kix-5743b21`   |  亞太地區 (大阪)  | 
|   `cis-datasets-prod-lhr-8b1fbd0`   |   歐洲 (倫敦)   | 
|   `cis-datasets-prod-mxp-7b1bbce`   |   歐洲 (米蘭)   | 
|   `cis-datasets-prod-nrt-464f684`   |   亞太地區 (東京)   | 
|   `cis-datasets-prod-osu-5bead6f`   |  AWS GovCloud （美國東部）  | 
|   `cis-datasets-prod-pdt-adadf9c`   |   AWS GovCloud （美國西部）   | 
|   `cis-datasets-prod-pdx-acfb052`   |   美國西部 (奧勒岡)   | 
|   `cis-datasets-prod-sfo-1515ba8`   |   美國西部 (加利佛尼亞北部)   | 
|   `cis-datasets-prod-sin-309725b`   |   亞太地區 (新加坡)   | 
|   `cis-datasets-prod-syd-f349107`   |   亞太地區 (雪梨)   | 
|   `cis-datasets-prod-yul-5e0c95e`   |   加拿大 (中部)   | 
|   `cis-datasets-prod-zhy-5a8eacb`   |   中國 (寧夏)   | 
|   `cis-datasets-prod-zrh-67e0e3d`   |   歐洲 (蘇黎世)   |