Exportación de informes de resultados de Amazon Inspector - Amazon Inspector
Paso 1: verificación de permisosPaso 2: configuración de un bucket de S3Paso 3: configuración de una AWS KMS keyPaso 4: configuración y exportación de un informe de resultadosErrores de solución de problemas

Exportación de informes de resultados de Amazon Inspector

Un informe de resultados es un archivo CSV o JSON que proporciona una instantánea detallada de los resultados. Puede exportar un informe de resultados a AWS Security Hub, Amazon EventBridge y Amazon Simple Storage Service (Amazon S3). Cuando configure un informe de resultados, debe especificar los resultados que desea incluir en el informe. De forma predeterminada, el informe de resultados incluye los datos de todos los resultados activos. Si es el administrador delegado de una organización, el informe de resultados incluye datos de todas las cuentas de miembros de la organización. Para personalizar un informe de resultados, cree un filtro y aplíqueselo.

Al exportar un informe de resultados, Amazon Inspector cifra los datos de los resultados con una AWS KMS key que especifique. Una vez que Amazon Inspector cifra los datos de los resultados, almacena el informe de resultados en un bucket de Amazon S3 que especifique. La clave de AWS KMS se debe usar en la misma Región de AWS que el bucket de Amazon S3. La política de claves de AWS KMS debe permitir que Amazon Inspector la utilice y su política de bucket de Amazon S3 debe permitir que Amazon Inspector le agregue objetos. Tras exportar el informe de resultados, puede descargarlo del bucket de Amazon S3 o transferirlo a una nueva ubicación. También puede utilizar el bucket de Amazon S3 como repositorio para otros informes de resultados exportados.

En esta sección se describe cómo exportar un informe de resultados en la consola de Amazon Inspector. Las siguientes tareas requieren que verifique los permisos, configure un bucket de Amazon S3, configure una AWS KMS key y configure y exporte un informe de resultados.

nota

Si exporta un informe de resultados con la API CreateFindingsReport de Amazon Inspector, solo puede ver los resultados activos. Si desea ver los resultados suprimidos o cerrados, debe especificar SUPPRESSED o CLOSED como parte de sus criterios de filtro.

Paso 1: verificación de permisos

nota

Tras exportar un informe de resultados por primera vez, los pasos del 1 al 3 son opcionales. Los siguientes pasos se basan en si quiere utilizar el mismo bucket de Amazon S3 y AWS KMS key para otros informes de resultados exportados. Si quiere exportar un informe de resultados mediante programación tras seguir los pasos del 1 al 3, utilice la operación CreateFindingsReport de la API de Amazon Inspector.

Antes de exportar un informe de resultados de Amazon Inspector, debe verificar que cuenta con todos los permisos necesarios para exportar informes de resultados y configurar recursos de cifrado y almacenamiento de informes. Para verificar sus permisos, utilice AWS Identity and Access Management (IAM) para revisar las políticas de IAM asociadas a su identidad de IAM. A continuación, debe comparar la información de estas políticas con la siguiente lista de acciones que debe poder realizar para exportar un informe de resultados.

Amazon Inspector

Para Amazon Inspector, verifique que tiene permiso para realizar las siguientes acciones:

  • inspector2:ListFindings

  • inspector2:CreateFindingsReport

Estas acciones le permiten obtener datos de resultados de su cuenta y exportarlos en forma de informes de resultados.

Si tiene pensado exportar grandes informes programáticamente, se recomienda verificar los permisos para realizar las siguientes acciones: inspector2:GetFindingsReportStatus, que comprueba el estado de los informes; y inspector2:CancelFindingsReport, que cancela las exportaciones en curso.

AWS KMS

Para AWS KMS, verifique que tiene permiso para realizar las siguientes acciones:

  • kms:GetKeyPolicy

  • kms:PutKeyPolicy

Estas acciones le permiten obtener y actualizar la política de claves de la clave de AWS KMS key que quiere utilizar con Amazon Inspector para cifrar el informe.

Antes de utilizar la consola de Amazon Inspector para exportar un informe, tiene que verificar que puede realizar las siguientes acciones de AWS KMS:

  • kms:DescribeKey

  • kms:ListAliases

Estas acciones le permiten obtener y mostrar información sobre las AWS KMS keys de la cuenta. A continuación, puede elegir una de esas claves para cifrar el informe.

Si tiene pensado crear una nueva clave de KMS para cifrar informes, debe tener permisos para realizar la acción kms:CreateKey.

Amazon S3

Para Amazon S3, verifique que tiene permiso para realizar las siguientes acciones:

  • s3:CreateBucket

  • s3:DeleteObject

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutBucketPublicAccessBlock

  • s3:PutObject

  • s3:PutObjectAcl

Estas acciones le permiten crear y configurar el bucket de S3 donde desea que Amazon Inspector almacene el informe. También le permiten agregar objetos al bucket y eliminarlos.

Si tiene pensado utilizar la consola de Amazon Inspector para exportar un informe, tiene que verificar que puede realizar las acciones de s3:ListAllMyBuckets y s3:GetBucketLocation: Estas acciones le permiten obtener y mostrar información sobre los buckets de S3 de la cuenta. A continuación, puede elegir uno de esos buckets para almacenar el informe.

Si no puede realizar una o más de las acciones necesarias, pida ayuda al administrador de AWS antes de avanzar al siguiente paso.

Paso 2: configuración de un bucket de S3

Una vez que haya verificado sus permisos, podrá configurar el bucket de S3 donde desea almacenar el informe de resultados. Puede ser un bucket de su propia cuenta o un bucket propiedad de otra Cuenta de AWS al que pueda acceder. Si desea almacenar un informe en un nuevo bucket, créelo antes de continuar.

El bucket de S3 debe encontrarse en la misma Región de AWS que los datos de resultados que desea exportar. Por ejemplo, si utiliza Amazon Inspector en la región Este de EE. UU. (Norte de Virginia) y desea exportar los datos de resultados para esa región, el bucket también debe estar en la región Este de EE. UU. (Norte de Virginia).

Además, la política del bucket debe permitir a Amazon Inspector agregar objetos al bucket. En esta sección se explica cómo actualizar la política del bucket y se incluye un ejemplo de la instrucción que tiene que agregar a la política. Para obtener información detallada sobre cómo agregar y actualizar políticas de buckets, consulte Uso de políticas de bucket en la Guía del usuario de Amazon Simple Storage Service.

Si quiere almacenar el informe en un bucket de S3 propiedad de otra cuenta, colabore con el propietario del bucket para actualizar la política del bucket. También debe obtener el URI del bucket. Tendrá que ingresar este URI cuando exporte el informe.

Actualización de la política del bucket

  1. Inicie sesión con las credenciales y, a continuación, abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. En el panel de navegación, elija Buckets.

  3. Elija el bucket de S3 donde desea almacenar el informe de resultados.

  4. Elija la pestaña Permisos.

  5. Elija Editar en la sección Política de bucket.

  6. Copie la siguiente instrucción de muestra en el portapapeles:

    {
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "allow-inspector",
			"Effect": "Allow",
			"Principal": {
				"Service": "inspector2.amazonaws.com"
			},
			"Action": [
				"s3:PutObject",
				"s3:PutObjectAcl",
				"s3:AbortMultipartUpload"
			],
			"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
			"Condition": {
				"StringEquals": {
					"aws:SourceAccount": "111122223333"
				},
				"ArnLike": {
					"aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*"
				}
			}
		}
	]
}

  7. En el editor de políticas de buckets de la consola de Amazon S3, pegue la instrucción anterior en la política para agregarla a la política.

    Cuando agregue la instrucción, asegúrese de que la sintaxis sea válida. Las políticas de buckets utilizan el formato JSON. Esto significa que tiene que insertar una coma al principio o al final de la instrucción, dependiendo del lugar de la política al que agregue la instrucción. Si agrega la instrucción como la última instrucción, inserte la coma después del corchete de cierre de la instrucción anterior. Si la agrega como primera instrucción o entre dos instrucciones existentes, inserte la coma después del corchete de cierre de la instrucción que acaba de agregar.

  8. Actualice la instrucción con los valores correctos para su entorno:

    • amzn-s3-demo-bucket es el nombre del bucket.

    • 111122223333 es el ID de la Cuenta de AWS.

    • Region es la Región de AWS en la que utiliza Amazon Inspector y en la que quiere permitir que Amazon Inspector agregue informes al bucket. Por ejemplo, us-east-1 es la región Este de EE. UU. (Norte de Virginia).

    nota

    Si utiliza Amazon Inspector en una Región de AWS habilitada manualmente, agregue el código de región correspondiente al valor del campo Service. En este campo se especifica la entidad principal del servicio Amazon Inspector.

    Por ejemplo, si utiliza Amazon Inspector en la región Medio Oriente (Baréin), cuyo código de región es me-south-1, cambie inspector2.amazonaws.com por inspector2.me-south-1.amazonaws.com en la instrucción.

    Tenga en cuenta que la instrucción de muestra define las condiciones que utilizan dos claves de condición globales de IAM:

    • aws:SourceAccount: esta condición permite a Amazon Inspector agregar informes únicamente de su cuenta al bucket. Impide que Amazon Inspector agregue informes de otras cuentas al bucket. Más concretamente, la condición especifica la cuenta que puede utilizar el bucket para los recursos y acciones que se definen en la condición aws:SourceArn.

      Para almacenar informes de otras cuentas en el bucket, agregue el ID de cuenta de todas las cuentas adicionales a esta condición. Por ejemplo:

      "aws:SourceAccount": [111122223333,444455556666,123456789012]

    • aws:SourceArn: esta condición restringe el acceso al bucket en función del origen de los objetos que se han agregado al bucket. Impide que otros Servicios de AWS agreguen objetos al bucket. También impide que Amazon Inspector agregue objetos al bucket mientras se llevan a cabo otras acciones en su cuenta. Más concretamente, la condición permite a Amazon Inspector agregar objetos al bucket únicamente si los objetos son informes de resultados y si estos informes se han creado en la cuenta y en la región que se indican en la condición.

      Para permitir que Amazon Inspector realice las acciones especificadas en cuentas distintas, agregue los nombres de recursos de Amazon (ARN) de cada cuenta adicional a esta condición. Por ejemplo:

      "aws:SourceArn": [
    "arn:aws:inspector2:Region:111122223333:report/*",
    "arn:aws:inspector2:Region:444455556666:report/*",
    "arn:aws:inspector2:Region:123456789012:report/*"
]

      Las cuentas que se especifican en las condiciones aws:SourceAccount y aws:SourceArn deberían coincidir.

    Ambas condiciones ayudan a evitar que Amazon Inspector se utilice como suplente confuso durante las transacciones con Amazon S3. Aunque no se recomienda, puede eliminar estas condiciones de la política del bucket.

  9. Cuando haya terminado de actualizar la política del bucket, elija Guardar cambios.

Paso 3: configuración de una AWS KMS key

Una vez que hayan verificado los permisos y haya configurado el bucket de S3, elija la AWS KMS key que quiera utilizar en Amazon Inspector para cifrar el informe de resultados. La clave debe ser una clave de KMS de cifrado simétrico administrada por el cliente. Además, la clave debe estar en la misma Región de AWS que el bucket de S3 que ha configurado para almacenar el informe.

La clave puede ser una clave de KMS de su propia cuenta o una clave de KMS propiedad de otra cuenta. Si quiere utilizar una clave de KMS nueva, cree la clave antes de continuar. Si desea utilizar una clave existente propiedad de otra cuenta, debe obtener el nombre de recurso de Amazon (ARN) de la clave. Tendrá que ingresar este ARN cuando exporte el informe de Amazon Inspector. Para obtener información sobre cómo crear y revisar la configuración de las claves de KMS, consulte Administración de claves en la Guía del desarrollador de AWS Key Management Service.

Una vez que haya determinado la clave de KMS que quiere utilizar, conceda permiso a Amazon Inspector para que utilice la clave. De lo contrario, Amazon Inspector no podrá cifrar ni exportar el informe. Para conceder permiso a Amazon Inspector para que utilice la clave, actualice la política de claves de la clave. Para obtener información detallada acerca de las políticas de claves y la gestión del acceso a claves de KMS, consulte Políticas de claves en AWS KMS en la Guía del desarrollador de AWS Key Management Service.

nota

El siguiente procedimiento sirve para actualizar una clave para que Amazon Inspector pueda utilizarla. Si no tiene una clave existente, consulte Creación de claves en la Guía para desarrolladores de AWS Key Management Service.

Actualización de la política de claves

  1. Inicie sesión con las credenciales y, a continuación, abra la consola de AWS KMS en https://console.aws.amazon.com/kms.

  2. En el panel de navegación, elija Claves administradas por el cliente.

  3. Elija la clave de KMS que quiera utilizar para cifrar el informe. La clave debe ser una clave de cifrado simétrico (SYMMETRIC_DEFAULT).

  4. En la pestaña Política de claves, elija Editar. Si no ve una política de claves con el botón Editar, primero debe seleccionar Cambiar a vista de política.

  5. Copie la siguiente instrucción de muestra en el portapapeles:

    {
    "Sid": "Allow Amazon Inspector to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": "inspector2.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
            "aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*"
        }
    }
}

  6. En el editor de políticas de claves de la consola de AWS KMS, pegue la instrucción anterior en la política de claves para agregarla a la política.

    Cuando agregue la instrucción, asegúrese de que la sintaxis sea válida. Las políticas de claves utilizan el formato JSON. Esto significa que tiene que insertar una coma al principio o al final de la instrucción, dependiendo del lugar de la política al que agregue la instrucción. Si agrega la instrucción como la última instrucción, inserte la coma después del corchete de cierre de la instrucción anterior. Si la agrega como primera instrucción o entre dos instrucciones existentes, inserte la coma después del corchete de cierre de la instrucción que acaba de agregar.

  7. Actualice la instrucción con los valores correctos para su entorno:

    • 111122223333 es el ID de la Cuenta de AWS.

    • Region es la Región de AWS en la que desea permitir que Amazon Inspector cifre informes con la clave. Por ejemplo, us-east-1 es la región Este de EE. UU. (Norte de Virginia).

    nota

    Si utiliza Amazon Inspector en una Región de AWS habilitada manualmente, agregue el código de región correspondiente al valor del campo Service. Por ejemplo, si utiliza Amazon Inspector en la región Medio Oriente (Baréin), sustituya inspector2.amazonaws.com por inspector2.me-south-1.amazonaws.com.

    Igual que en la instrucción de muestra para la política del bucket del paso anterior, los campos Condition de este ejemplo utilizan dos claves de condición globales de IAM:

    • aws:SourceAccount: esta condición permite a Amazon Inspector realizar las acciones especificadas únicamente en su cuenta. Más concretamente, determina la cuenta que puede realizar las acciones especificadas para los recursos y acciones que se definen en la condición aws:SourceArn.

      Para permitir que Amazon Inspector realice las acciones especificadas en cuentas distintas, agregue los ID de cuenta de cada cuenta adicional a esta condición. Por ejemplo:

      "aws:SourceAccount": [111122223333,444455556666,123456789012]

    • aws:SourceArn: esta condición evita que otros Servicios de AWS realicen las acciones especificadas. También impide que Amazon Inspector utilice la clave mientras se llevan a cabo otras acciones en su cuenta. Más concretamente, permite a Amazon Inspector cifrar objetos de S3 con la clave únicamente si los objetos son informes de resultados y si estos informes se han creado en la cuenta y en la región que se indican en la condición.

      Para permitir que Amazon Inspector realice las acciones especificadas en cuentas distintas, agregue los ARN de cada cuenta adicional a esta condición. Por ejemplo:

      "aws:SourceArn": [
    "arn:aws:inspector2:us-east-1:111122223333:report/*",
    "arn:aws:inspector2:us-east-1:444455556666:report/*",
    "arn:aws:inspector2:us-east-1:123456789012:report/*"
]

      Las cuentas que se especifican en las condiciones aws:SourceAccount y aws:SourceArn deberían coincidir.

    Estas condiciones ayudan a evitar que Amazon Inspector se utilice como suplente confuso durante las transacciones con AWS KMS. Aunque no se recomienda, puede eliminar estas condiciones de la instrucción.

  8. Cuando haya terminado de actualizar la política de claves, elija Guardar cambios.

Paso 4: configuración y exportación de un informe de resultados

nota

Solo puede exportar un informe de resultados a la vez. Si actualmente hay una exportación en curso, debe esperar a que se acabe antes de exportar otro informe de resultados.

Una vez que haya verificado los permisos y configurado los recursos que quiere cifrar y almacenar en el informe de resultados, podrá configurar y exportar el informe.

Configuración y exportación de un informe de resultados

  1. Inicie sesión con las credenciales y, a continuación, abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/v2/home.

  2. En el panel de navegación, en Resultados, elija Todos los resultados.

  3. (Opcional) Con la barra de filtros ubicada sobre la tabla Resultados, agregue los criterios de filtro necesarios para definir los resultados que se incluirán en el informe. A medida que agrega criterios, Amazon Inspector actualiza la tabla para incluir únicamente los resultados que coinciden con los criterios. La tabla proporciona una vista previa de los datos que contendrá el informe.

    nota

    Le recomendamos que agregue criterios de filtro. De lo contrario, el informe incluirá datos de todos los resultados de la Región de AWS actual que tengan el estado Activo. Si es administrador de Amazon Inspector de una organización, se incluyen, además, datos de los resultados de todas las cuentas de miembros de la organización.

    Si un informe incluye datos de demasiados resultados o de todos, tardará más tiempo en generarse y exportarse. Tenga en cuenta que solo puede exportar un informe a la vez.

  4. Elija Exportación de resultados.

  5. En la sección Configuración de exportación, para Tipo de archivo de exportación, especifique el formato de archivo del informe:

    • Para crear un archivo JavaScript Object Notation (.json) que contenga los datos, elija JSON.

      Si elige la opción JSON, el informe incluirá todos los campos de cada resultado. Para ver una lista de los posibles campos de un archivo JSON, consulte el tipo de datos Resultado en la referencia de la API de Amazon Inspector.

    • Para crear un archivo de valores separados por comas (.csv) que contenga los datos, elija CSV.

      Si elige la opción CSV, el informe incluirá únicamente un subconjunto de los campos de cada resultado; es decir, aproximadamente 45 campos que informan de los atributos clave de un resultado. Algunos de los campos incluidos son Tipo de resultado, Título, Gravedad, Estado, Descripción, Visto por primera vez, Visto por última vez, Corrección disponible, ID de cuenta de AWS, ID de recurso, Etiquetas de recursos y Corrección. Estos campos se suman a los campos que recopilan detalles de puntuaciones y URL de referencia de cada resultado. La siguiente tabla muestra los encabezados CSV de un informe de resultados:

      AWS Account Id Severity Fix Available Finding Type Title Description Finding ARN First Seen Last Seen Last Updated Resource ID Container Image Tags Region Platform Resource Tags Affected Packages Package Installed Version Fixed in Version Package Remediation File Path Network Paths Age (Days) Remediation Inspector Score Inspector Score Vector Status Vulnerability Id Vendor Vendor Severity Vendor Advisory Vendor Advisory Published NVD CVSS3 Score NVD CVSS3 Vector NVD CVSS2 Score NVD CVSS2 Vector Vendor CVSS3 Score Vendor CVSS3 Vector Vendor CVSS2 Score Vendor CVSS2 Vector Resource Type Ami Resource Public Ipv4 Resource Private Ipv4 Resource Ipv6 Resource Vpc Port Range Exploit Available Last Exploited At Lambda Layers Lambda Package Type Lambda Last Updated At Reference Urls

  6. En Ubicación de la exportación, para URI de S3, especifique el bucket de S3 donde desea almacenar el informe:

    • Para almacenar el informe en un bucket de su cuenta, elija Explorar S3. Amazon Inspector muestra una tabla con los buckets de S3 de la cuenta. Seleccione la fila del bucket que quiera utilizar y, a continuación, elija Elegir.

      sugerencia

      Para especificar un prefijo de ruta de Amazon S3 en el informe, agregue una barra inclinada (/) y el prefijo al principio del valor en el cuadro URI de S3. A continuación, Amazon Inspector incluye el prefijo cuando agrega el informe al bucket y Amazon S3 genera la ruta que especifica el prefijo.

      Por ejemplo, si quiere utilizar el ID de Cuenta de AWS ID como prefijo y el ID de la cuenta es 111122223333, agregue /111122223333 al principio del valor en el cuadro URI de S3.

      Un prefijo se parece a una ruta de directorio en un bucket de S3. Le permite agrupar objetos similares en un bucket, de la misma forma que clasificaría archivos en una carpeta de un sistema de archivos. Para obtener más información, consulte Organización de objetos en la consola de Amazon S3 con carpetas en la Guía del usuario de Amazon Simple Storage Service.

    • Para almacenar el informe en un bucket propiedad de otra cuenta, introduzca el URI del bucket. Un ejemplo de URI es s3://DOC-EXAMPLE_BUCKET, donde DOC-EXAMPLE_BUCKET es el nombre del bucket. El propietario del bucket puede buscar esta información en las propiedades del bucket.

  7. En Clave de KMS, especifique la AWS KMS key que quiera utilizar para cifrar el informe:

    • Para utilizar una clave de su cuenta, elija una clave de la lista. En la lista se muestran las claves de KMS de cifrado simétrico administradas por el cliente de la cuenta.

    • Para utilizar una clave propiedad de otra cuenta, introduzca el nombre de recurso de Amazon (ARN) de la clave. El propietario de la clave puede buscar esta información en las propiedades de la clave. Para obtener más información, consulte Búsqueda del ID y el ARN de la clave en la Guía del desarrollador de AWS Key Management Service.

  8. Seleccione Exportar.

Amazon Inspector genera el informe de resultados, lo cifra con la clave de KMS que ha especificado y lo agrega al bucket de S3 que ha especificado. Este proceso puede tardar varios minutos e incluso horas, dependiendo del número de resultados que haya elegido incluir en el informe. Cuando finaliza la exportación, Amazon Inspector muestra un mensaje para informar de que el informe de resultados se ha exportado correctamente. También puede elegir Ver informe en el mensaje para acceder al informe en Amazon S3.

Tenga en cuenta que solo puede exportar un informe a la vez. Si ya se está exportando un informe, espere a que se acabe de exportar antes de exportar otro informe.

Solución de errores de exportación

Si se produce un error al intentar exportar un informe de resultados, Amazon Inspector muestra un mensaje para describir el error. Puede utilizar la información de esta sección como guía para identificar posibles causas y soluciones del error.

Por ejemplo, una posible solución es verificar que el bucket de S3 se encuentre en la Región de AWS actual y que la política del bucket permita a Amazon Inspector agregar objetos al bucket. También puede comprobar si la AWS KMS key está habilitada en la región actual y que la política de claves permite a Amazon Inspector utilizar la clave.

Una vez que haya corregido el error, vuelva a intentar exportar el informe.

Mensaje de error sobre crear varios informes a la vez

Si ha intentado crear un informe mientras Amazon Inspector generaba un informe, recibirá el mensaje de error Motivo: no puede haber varios informes en curso. Este error se produce porque Amazon Inspector solo puede generar un informe a la vez para una cuenta.

Para solucionar el problema, espere a que finalice la exportación del otro informe o cancele la exportación antes de solicitar un nuevo informe.

Puede comprobar el estado de un informe con la operación GetFindingsReportStatus, que devuelve el ID de cualquier informe que se esté generando.

Si lo necesita, puede utilizar el ID de informe que proporciona la operación GetFindingsReportStatus para cancelar una exportación en curso con la operación CancelFindingsReport.