Bewertung der Abdeckung Ihrer AWS Umgebung durch Amazon Inspector - Amazon Inspector
Bewertung der Deckung auf KontoebeneBewertung der Abdeckung von EC2 Amazon-InstancesBewertung der Abdeckung von ECR Amazon-RepositorienBewertung der Reichweite von ECR Amazon-Container-ImagesBewertung des AWS Lambda Funktionsumfangs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewertung der Abdeckung Ihrer AWS Umgebung durch Amazon Inspector

Sie können den Umfang Ihrer AWS Umgebung durch Amazon Inspector auf dem Bildschirm Kontoverwaltung in der Amazon Inspector-Konsole beurteilen. Dort werden Details und Statistiken zum Status der Amazon Inspector-Scans für Ihre Konten und Ressourcen angezeigt.

Anmerkung

Wenn Sie der delegierte Administrator einer Organisation sind, können Sie Details und Statistiken für alle Konten in der Organisation einsehen.

Das folgende Verfahren beschreibt, wie Sie die Abdeckung Ihrer Amazon Inspector Inspector-Umgebung beurteilen können.

Um die Abdeckung Ihrer AWS Umgebung durch Amazon Inspector zu beurteilen

  1. Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  2. Wählen Sie im Navigationsbereich Kontoverwaltung aus.

  3. Um den Versicherungsschutz zu überprüfen, wählen Sie eine der folgenden Registerkarten:

    • Wählen Sie Konten, um den Versicherungsschutz auf Kontoebene zu überprüfen.

    • Wählen Sie Instances aus, um den Versicherungsschutz für Amazon Elastic Compute Cloud (AmazonEC2) -Instances zu überprüfen.

    • Wählen Sie Container-Repositorys, um den Umfang der Amazon Elastic Container Registry (AmazonECR) -Repositorys zu überprüfen.

    • Wählen Sie Container-Images, um die Reichweite von ECR Amazon-Container-Images zu überprüfen.

    • Wählen Sie Lambda-Funktionen, um den Umfang der Lambda-Funktionen zu überprüfen.

In den folgenden Themen werden die Informationen beschrieben, die jede dieser Registerkarten enthält.

Bewertung der Deckung auf Kontoebene

Wenn Ihr Konto nicht Teil einer Organisation ist oder nicht das delegierte Amazon Inspector-Administratorkonto für eine Organisation ist, finden Sie auf der Registerkarte Konten Informationen über Ihr Konto und den Status des Ressourcenscans für Ihr Konto. Auf dieser Registerkarte können Sie das Scannen für alle oder nur bestimmte Arten von Ressourcen für Ihr Konto aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Automatisierte Scantypen in Amazon Inspector.

Wenn es sich bei Ihrem Konto um das delegierte Amazon Inspector-Administratorkonto für eine Organisation handelt, bietet die Registerkarte Konten automatische Aktivierungseinstellungen für Konten in Ihrer Organisation und listet alle Konten in Ihrer Organisation auf. Für jedes Konto gibt die Liste an, ob Amazon Inspector für das Konto aktiviert ist, und wenn ja, welche Arten von Ressourcenscans für das Konto aktiviert sind. Als delegierter Administrator können Sie auf dieser Registerkarte die Einstellungen für die automatische Aktivierung für Ihr Unternehmen ändern. Sie können auch bestimmte Arten des Ressourcenscans für einzelne Mitgliedskonten aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Die Aktivierung von Amazon Inspector scannt nach Mitgliedskonten.

Bewertung der Abdeckung von EC2 Amazon-Instances

Auf der Registerkarte Instances werden EC2 Amazon-Instances in Ihrer AWS Umgebung angezeigt. Die Listen sind auf den folgenden Registerkarten in Gruppen unterteilt:

  • Alle — Zeigt alle Instanzen in Ihrer Umgebung an. In der Spalte Status wird der aktuelle Scanstatus für eine Instance angezeigt.

  • Scannen — Zeigt alle Instances an, die Amazon Inspector in Ihrer Umgebung aktiv überwacht und scannt.

  • Nicht scannen — Zeigt alle Instances an, die Amazon Inspector in Ihrer Umgebung nicht überwacht und scannt. Die Spalte Grund gibt an, warum Amazon Inspector eine Instance nicht überwacht und scannt.

    Eine EC2 Instance kann aus verschiedenen Gründen auf der Registerkarte Nicht gescannt angezeigt werden. Amazon Inspector verwendet AWS Systems Manager (SSM) und den SSM Agenten, um Ihre EC2 Instances automatisch zu überwachen und auf Sicherheitslücken zu scannen. Wenn auf einer Instance der SSM Agent nicht ausgeführt wird, sie keine Rolle AWS Identity and Access Management (IAM) hat, die Systems Manager unterstützt, oder auf der kein unterstütztes Betriebssystem oder keine unterstützte Architektur ausgeführt wird, kann Amazon Inspector die Instance nicht überwachen und scannen. Weitere Informationen finden Sie unter EC2Amazon-Instances scannen.

Auf jeder Registerkarte gibt die Spalte Konto an AWS-Konto , wem eine Instance gehört.

EC2Instanz-Tags — In dieser Spalte werden die mit der Instance verknüpften Tags angezeigt. Anhand dieser Spalte können Sie feststellen, ob Ihre Instance anhand von Stichwörtern von Scans ausgeschlossen wurde.

Betriebssystem — In dieser Spalte wird der Betriebssystemtyp angezeigt. Dabei kann es sich umWINDOWS, MACLINUX, oder handelnUNKNOWN.

Überwacht mit — In dieser Spalte wird angezeigt, ob Amazon Inspector für diese Instance die agentenbasierte oder die agentenlose Scanmethode verwendet.

Zuletzt gescannt — In dieser Spalte wird angezeigt, wann Amazon Inspector diese Ressource zuletzt auf Sicherheitslücken überprüft hat. Die Häufigkeit, mit der Amazon Inspector Scans durchführt, hängt von der Scanmethode ab, die zum Scannen der Instance verwendet wird.

Um weitere Details zu einer EC2 Instance zu überprüfen, wählen Sie den Link in der EC2Instance-Spalte. Amazon Inspector zeigt dann Details zur Instance und aktuelle Ergebnisse für die Instance an. Um die Details eines Ergebnisses zu überprüfen, wählen Sie den Link in der Titelspalte. Informationen zu diesen Details finden Sie unterDetails zu Ihren Amazon Inspector Inspector-Ergebnissen anzeigen.

Statuswerte für EC2 Amazon-Instances scannen

Für eine Amazon Elastic Compute Cloud (AmazonEC2) -Instance sind die möglichen Statuswerte wie folgt:

  • Aktive Überwachung — Amazon Inspector überwacht und scannt die Instance kontinuierlich.

  • Speicherlimit für agentenlose Instances überschritten — Amazon Inspector verwendet diesen Status, wenn die Gesamtgröße aller an eine Instance angehängten Volumes mehr als 1200 GB beträgt oder wenn an eine Instance mehr als 8 Volumes angehängt sind.

  • Zeitlimit für die Erfassung agentenloser Instances überschritten — Amazon Inspector tritt beim Versuch, einen agentenlosen Scan auf einer Instance auszuführen, ein Timeout auf.

  • EC2Instance gestoppt — Amazon Inspector hat den Scanvorgang für die Instance angehalten, da sich die Instance in einem gestoppten Zustand befindet. Alle vorhandenen Ergebnisse bleiben bestehen, bis die Instance beendet wird. Wenn die Instance neu gestartet wird, fährt Amazon Inspector automatisch mit dem Scannen nach der Instance fort.

  • Interner Fehler — Ein interner Fehler ist aufgetreten, als Amazon Inspector versuchte, die Instance zu scannen. Amazon Inspector behebt den Fehler automatisch und setzt den Scanvorgang so schnell wie möglich fort.

  • Kein Inventar — Amazon Inspector konnte das Inventar der Softwareanwendung, das nach der Instance gescannt werden soll, nicht finden. Die Amazon Inspector Inspector-Verknüpfungen für die Instance wurden möglicherweise gelöscht oder konnten möglicherweise nicht ausgeführt werden.

    Um dieses Problem zu beheben, stellen Sie bitte AWS Systems Manager sicher, dass die InspectorInventoryCollection-do-not-delete Zuordnung besteht und ihr Zuordnungsstatus erfolgreich ist. Verwenden Sie außerdem AWS Systems Manager Fleet Manager, um das Softwareanwendungsinventar für die Instanz zu überprüfen.

  • Ausstehende Deaktivierung — Amazon Inspector hat das Scannen der Instance beendet. Die Instance wird bis zum Abschluss der Bereinigungsaufgaben deaktiviert.

  • Erster Scan steht aus — Amazon Inspector hat die Instance für einen ersten Scan in die Warteschlange gestellt.

  • Ressource beendet — Die Instance wurde beendet. Amazon Inspector bereinigt derzeit die vorhandenen Ergebnisse und Deckungsdaten für die Instanz.

  • Veraltetes Inventar — Amazon Inspector war nicht in der Lage, ein aktualisiertes Softwareanwendungsinventar zu sammeln, das innerhalb der letzten 7 Tage für die Instance erfasst wurde.

    Um dieses Problem zu beheben, stellen Sie AWS Systems Manager sicher, dass die erforderlichen Amazon Inspector Inspector-Verknüpfungen vorhanden sind und für die Instance ausgeführt werden. Verwenden Sie außerdem AWS Systems Manager Fleet Manager, um das Softwareanwendungsinventar für die Instance zu überprüfen.

  • Nicht verwaltete EC2 Instance — Amazon Inspector überwacht oder scannt die Instance nicht. Die Instance wird nicht von AWS Systems Manager verwaltet.

    Um dieses Problem zu beheben, können Sie den AWSSupport-TroubleshootManagedInstance runbookbereitgestellt von AWS Systems Manager Automation. Nachdem Sie die Konfiguration AWS Systems Manager für die Verwaltung der Instance vorgenommen haben, beginnt Amazon Inspector automatisch, die Instance kontinuierlich zu überwachen und zu scannen.

  • Nicht unterstütztes Betriebssystem — Amazon Inspector überwacht oder scannt die Instance nicht. Die Instance verwendet ein Betriebssystem oder eine Architektur, die Amazon Inspector nicht unterstützt. Eine Liste der Betriebssysteme, die Amazon Inspector unterstützt, finden Sie unterStatuswerte für EC2 Amazon-Instances.

  • Aktive Überwachung mit teilweisen Fehlern — Dieser Status bedeutet, dass das EC2 Scannen zwar aktiv ist, aber es liegen Fehler vorTiefeninspektion von Amazon Inspector für Linux-basierte EC2 Amazon-Instances. Bei tiefgreifenden Inspektionen kann es sich um folgende Fehler handeln:

    • Das Limit für die Erfassung von Paketen mit Tiefeninspektion wurde überschritten — Die Instance hat das Limit von 5000 Paketen für die Tiefeninspektion von Amazon Inspector überschritten. Um die Tiefeninspektion für diese Instance fortzusetzen, können Sie versuchen, die mit dem Konto verknüpften benutzerdefinierten Pfade anzupassen.

    • Das tägliche SSM-Inventarlimit für Deep Inspection wurde überschritten — Der SSM Agent konnte kein Inventar an Amazon Inspector senden, da das SSM Kontingent für Inventardaten, die pro Instanz und Tag gesammelt wurden, für diese Instanz bereits erreicht wurde. Weitere Informationen finden Sie unter Amazon EC2 Systems Manager Manager-Endpunkte und Kontingente.

    • Zeitlimit für die Abholung bei Tiefeninspektion überschritten — Amazon Inspector konnte den Paketbestand nicht extrahieren, da die Paketabholzeit den maximalen Schwellenwert von 15 Minuten überschritten hat.

    • Deep Inspection hat kein Inventar — Das Amazon SSM Inspector-Plugin war noch nicht in der Lage, ein Inventar von Paketen für diese Instanz zu sammeln. Dies ist normalerweise das Ergebnis eines ausstehenden Scans. Wenn dieser Status jedoch nach 6 Stunden weiterhin besteht, verwenden Sie Amazon EC2 Systems Manager, um sicherzustellen, dass die erforderlichen Amazon Inspector Inspector-Verknüpfungen vorhanden sind und für die Instance ausgeführt werden.

Einzelheiten zur Konfiguration der Scaneinstellungen für eine EC2 Instance finden Sie unterEC2Amazon-Instances scannen.

Bewertung der Abdeckung von ECR Amazon-Repositorien

Auf der Registerkarte Repositorien werden ECR Amazon-Repositorys in Ihrer AWS Umgebung angezeigt. Die Listen sind auf den folgenden Registerkarten in Gruppen unterteilt:

  • Alle — Zeigt alle Repositorys in Ihrer Umgebung an. In der Spalte Status wird der aktuelle Scanstatus für ein Repository angezeigt.

  • Aktiviert — Zeigt alle Repositorys an, für deren Überwachung und Scannen Amazon Inspector in Ihrer Umgebung konfiguriert ist. Die Spalte Status zeigt den aktuellen Scanstatus für ein Repository an.

  • Nicht aktiviert — Zeigt alle Repositorys an, die Amazon Inspector in Ihrer Umgebung nicht überwacht und scannt. Die Spalte Grund gibt an, warum Amazon Inspector ein Repository nicht überwacht und scannt.

Auf jeder Registerkarte gibt die Spalte Konto an, wer Eigentümer eines Repositorys ist. AWS-Konto

Um weitere Details zu einem Repository zu überprüfen, wählen Sie den Namen des Repositorys. Amazon Inspector zeigt dann eine Liste der Container-Images im Repository sowie Details zu jedem Bild an. Zu den Details gehören das Image-Tag, der Image-Digest und der Scanstatus. Sie enthalten auch wichtige Ergebnisstatistiken, wie z. B. die Anzahl kritischer Ergebnisse für das Bild. Wählen Sie das Bild-Tag für das Bild aus, um weitere Informationen zu erhalten und die unterstützenden Daten für die Suche nach Statistiken zu überprüfen.

Statuswerte für ECR Amazon-Repositorys scannen

Für ein Amazon Elastic Container Registry (AmazonECR) -Repository sind die möglichen Statuswerte:

  • Aktiviert (Kontinuierlich) — Für ein Repository überwacht Amazon Inspector kontinuierlich die Bilder in diesem Repository. Die erweiterte Scan-Einstellung für das Repository ist auf kontinuierliches Scannen eingestellt. Amazon Inspector scannt neue Bilder zunächst, wenn sie übertragen werden, und scannt Bilder erneut, wenn ein neues, für dieses Bild CVE relevanter Artikel veröffentlicht wird. Amazon Inspector überwacht weiterhin die Bilder in diesem Repository für die Dauer der ECR erneuten Amazon-Überprüfung, die Sie konfigurieren.

  • Aktiviert (bei Push) — Amazon Inspector scannt automatisch einzelne Container-Images im Repository, wenn ein neues Image übertragen wird. Das erweiterte Scannen ist für das Repository aktiviert und so eingestellt, dass bei Push gescannt wird.

  • Zugriff verweigert — Amazon Inspector darf weder auf das Repository noch auf Container-Images im Repository zugreifen.

    Um dieses Problem zu beheben, stellen Sie sicher, dass AWS Identity and Access Management (IAM) die Richtlinien für das Repository Amazon Inspector den Zugriff auf das Repository ermöglichen.

  • Deaktiviert (Manuell) — Amazon Inspector überwacht oder scannt keine Container-Images im Repository. Die ECR Amazon-Scan-Einstellung für das Repository ist auf einfaches manuelles Scannen eingestellt.

    Um mit dem Scannen von Bildern im Repository mit Amazon Inspector zu beginnen, ändern Sie die Scan-Einstellung für das Repository auf Erweitertes Scannen und wählen Sie dann, ob Bilder kontinuierlich oder nur dann gescannt werden sollen, wenn ein neues Bild übertragen wird.

  • Aktiviert (bei Push) — Amazon Inspector scannt automatisch einzelne Container-Images im Repository, wenn ein neues Image übertragen wird. Die erweiterte Scan-Einstellung für das Repository ist auf Scan on Push eingestellt.

  • Interner Fehler — Ein interner Fehler ist aufgetreten, als Amazon Inspector versuchte, das Repository zu scannen. Amazon Inspector behebt den Fehler automatisch und setzt den Scanvorgang so schnell wie möglich fort.

Für Einzelheiten zur Konfiguration der Scan-Einstellungen für RepositorysECRAmazon-Container-Bilder scannen.

Bewertung der Reichweite von ECR Amazon-Container-Images

Auf der Registerkarte Bilder werden ECR Amazon-Container-Images in Ihrer AWS Umgebung angezeigt. Die Listen sind auf den folgenden Registerkarten in Gruppen unterteilt:

  • Alle — Zeigt alle Container-Images in Ihrer Umgebung an. In der Spalte Status wird der aktuelle Scanstatus für ein Bild angezeigt.

  • Scannen — Zeigt alle Container-Images an, für deren Überwachung und Scannen Amazon Inspector in Ihrer Umgebung konfiguriert ist. Die Spalte Status zeigt den aktuellen Scanstatus für ein Bild an.

  • Nicht scannen — Zeigt alle Container-Images an, die Amazon Inspector in Ihrer Umgebung nicht überwacht und scannt. Die Spalte Grund gibt an, warum Amazon Inspector ein Bild nicht überwacht und scannt.

    Ein Container-Bild kann aus verschiedenen Gründen auf der Registerkarte Nicht aktiviert angezeigt werden. Das Bild ist möglicherweise in einem Repository gespeichert, für das Amazon Inspector-Scans nicht aktiviert sind, oder ECR Amazon-Filterregeln verhindern, dass dieses Repository gescannt wird. Oder das Bild wurde nicht innerhalb der Anzahl von Tagen übertragen oder abgerufen, die Sie für die Dauer des ECR erneuten Scans konfiguriert haben. Weitere Informationen finden Sie unter Konfiguration der Dauer des ECR erneuten Scans durch Amazon.

Auf jeder Registerkarte gibt die Spalte Repository-Name den Namen des Repositorys an, das ein Container-Image speichert. In der Spalte Konto wird der AWS-Konto Eigentümer des Repositorys angegeben. In der Spalte Zuletzt gescannt wird angezeigt, wann Amazon Inspector diese Ressource zuletzt auf Sicherheitslücken überprüft hat. Dies kann Prüfungen beinhalten, wenn die Suchmetadaten aktualisiert wurden, wenn das Anwendungsinventar der Ressource aktualisiert wurde oder wenn ein erneuter Scan als Reaktion auf eine neue CVE Information durchgeführt wird. Weitere Informationen finden Sie unter Scanverhalten für ECR Amazon-Scans.

Um weitere Details zu einem Container-Image zu überprüfen, klicken Sie auf den Link in der Spalte ECRContainer-Image. Amazon Inspector zeigt dann Details zum Bild und aktuelle Ergebnisse für das Bild an. Um die Details eines Ergebnisses zu überprüfen, wählen Sie den Link in der Titelspalte. Informationen zu diesen Details finden Sie unterDetails zu Ihren Amazon Inspector Inspector-Ergebnissen anzeigen.

Statuswerte für ECR Amazon-Container-Images scannen

Für ein Amazon Elastic Container Registry-Container-Image sind die möglichen Statuswerte:

  • Aktive Überwachung (kontinuierlich) — Amazon Inspector überwacht das Bild kontinuierlich, und jedes Mal, wenn ein neues relevantes Bild veröffentlicht CVE wird, werden neue Scans daran durchgeführt. Die ECR Amazon-Rescan-Dauer für das Bild wird jedes Mal aktualisiert, wenn das Bild verschoben oder abgerufen wird. Das erweiterte Scannen ist für das Repository aktiviert, in dem das Bild gespeichert ist, und die erweiterte Scan-Einstellung für das Repository ist auf kontinuierliches Scannen eingestellt.

  • Aktiviert (bei Push) — Amazon Inspector scannt das Bild automatisch jedes Mal, wenn ein neues Bild übertragen wird. Das erweiterte Scannen ist für das Repository aktiviert, in dem das Bild gespeichert ist, und die erweiterte Scan-Einstellung für das Repository ist auf Scannen bei Push eingestellt.

  • Interner Fehler — Ein interner Fehler ist aufgetreten, als Amazon Inspector versuchte, das Container-Image zu scannen. Amazon Inspector behebt den Fehler automatisch und setzt den Scanvorgang so schnell wie möglich fort.

  • Erster Scan steht aus — Amazon Inspector hat das Bild für einen ersten Scan in die Warteschlange gestellt.

  • Die Scanberechtigung ist abgelaufen (Fortlaufend) — Amazon Inspector hat den Scanvorgang für das Bild ausgesetzt. Das Bild wurde innerhalb des Zeitraums, den Sie für automatische erneute Scans von Bildern im Repository angegeben haben, nicht aktualisiert. Sie können das Bild per Push oder Pull verschieben, um den Scanvorgang fortzusetzen.

  • Die Scanberechtigung ist abgelaufen (On Push) — Amazon Inspector hat den Scanvorgang für das Bild ausgesetzt. Das Bild wurde innerhalb des Zeitraums, den Sie für automatische erneute Scans von Bildern im Repository angegeben haben, nicht aktualisiert. Sie können das Bild per Push übertragen, um den Scanvorgang fortzusetzen.

  • Manuelle Scanfrequenz (Manuell) — Amazon Inspector scannt das ECR Amazon-Container-Image nicht. Die ECR Amazon-Scan-Einstellung für das Repository, in dem das Bild gespeichert ist, ist auf einfaches manuelles Scannen eingestellt. Um das automatische Scannen des Bilds mit Amazon Inspector zu starten, ändern Sie die Repository-Einstellung auf Verbessertes Scannen und wählen Sie dann, ob Bilder kontinuierlich oder nur gescannt werden sollen, wenn ein neues Bild übertragen wird.

  • Nicht unterstütztes Betriebssystem — Amazon Inspector überwacht oder scannt das Bild nicht. Das Bild basiert auf einem Betriebssystem, das Amazon Inspector nicht unterstützt, oder es verwendet einen Medientyp, den Amazon Inspector nicht unterstützt.

    Eine Liste der Betriebssysteme, die Amazon Inspector unterstützt, finden Sie unterUnterstützte Betriebssysteme: ECR Amazon-Scannen mit Amazon Inspector. Eine Liste der Medientypen, die Amazon Inspector unterstützt, finden Sie unter Unterstützte Medientypen.

Einzelheiten zur Konfiguration der Scaneinstellungen für Repositorys und Bilder finden Sie unterECRAmazon-Container-Bilder scannen.

Bewertung des Funktionsumfangs AWS Lambda

Auf der Registerkarte Lambda werden Lambda-Funktionen in Ihrer AWS Umgebung angezeigt. Auf dieser Seite gibt es zwei Tabellen, eine mit Details zur Funktionsabdeckung für das Lambda-Standardscannen und eine andere für das Scannen von Lambda-Code. Sie können Funktionen auf der Grundlage der folgenden Registerkarten gruppieren:

  • Alle — Zeigt alle Lambda-Funktionen in Ihrer Umgebung an. Die Spalte Status zeigt den aktuellen Scanstatus für eine Lambda-Funktion an.

  • Scannen — Zeigt die Lambda-Funktionen an, für deren Scannen Amazon Inspector konfiguriert ist. Die Spalte Status zeigt den aktuellen Scanstatus für jede Lambda-Funktion an.

  • Nicht scannen — Zeigt die Lambda-Funktionen an, für deren Scannen Amazon Inspector nicht konfiguriert ist. Die Spalte Grund gibt an, warum Amazon Inspector eine Funktion nicht überwacht und scannt.

    Eine Lambda-Funktion kann aus verschiedenen Gründen auf der Registerkarte Nicht scannen angezeigt werden. Die Lambda-Funktion gehört möglicherweise zu einem Konto, das nicht zu Amazon Inspector hinzugefügt wurde, oder Filterregeln verhindern, dass diese Funktion gescannt wird. Weitere Informationen finden Sie unter Lambda-Funktionen scannen.

Auf jeder Registerkarte gibt die Spalte Funktionsname den Namen der Lambda-Funktion an. In der Spalte Konto wird derjenige angegeben AWS-Konto , dem die Funktion gehört. Runtime gibt die Laufzeit der Funktion an. Die Spalte Status zeigt den aktuellen Scanstatus für jede Lambda-Funktion an. Resource Tags zeigt die Tags an, die auf die Funktion angewendet wurden. In der Spalte Zuletzt gescannt wird angezeigt, wann Amazon Inspector diese Ressource zuletzt auf Sicherheitslücken überprüft hat. Dies kann Prüfungen beinhalten, wenn die Suchmetadaten aktualisiert wurden, wenn das Anwendungsinventar der Ressource aktualisiert wurde oder wenn ein erneuter Scan als Reaktion auf eine neue CVE Information durchgeführt wird. Weitere Informationen finden Sie unter Scanverhalten beim Scannen mit Lambda-Funktionen.

Statuswerte für AWS Lambda Funktionen werden gescannt

Für eine Lambda-Funktion sind folgende Statuswerte möglich:

  • Aktive Überwachung — Amazon Inspector überwacht und scannt kontinuierlich Lambda-Funktionen. Kontinuierliches Scannen umfasst einen ersten Scan neuer Funktionen, wenn sie in das Repository übertragen werden, und automatische erneute Scans von Funktionen, wenn sie aktualisiert werden oder wenn neue Common Vulnerabilities and Exposures (CVEs) veröffentlicht werden.

  • Nach Tag ausgeschlossen — Amazon Inspector scannt diese Funktion nicht, da sie von Tag-Scans ausgeschlossen wurde.

  • Die Scanberechtigung ist abgelaufen — Amazon Inspector überwacht diese Funktion nicht, da seit dem letzten Aufruf oder der letzten Aktualisierung mindestens 90 Tage vergangen sind.

  • Interner Fehler — Beim Versuch von Amazon Inspector, die Funktion zu scannen, ist ein interner Fehler aufgetreten. Amazon Inspector behebt den Fehler automatisch und setzt den Scanvorgang so schnell wie möglich fort.

  • Erster Scan steht aus — Amazon Inspector hat die Funktion für einen ersten Scan in die Warteschlange gestellt.

  • Nicht unterstützt — Die Lambda-Funktion hat eine Laufzeit, die nicht unterstützt wird.