Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Inspection approfondie d'Amazon Inspector pour les instances Amazon basées sur Linux EC2

Amazon Inspector étend la couverture EC2 d'Amazon en y incluant une inspection approfondie. Grâce à une inspection approfondie, Amazon Inspector détecte les vulnérabilités des packages de langage de programmation d'applications dans vos instances Amazon EC2 basées sur Linux. Amazon Inspector analyse les chemins par défaut pour les bibliothèques de packages de langage de programmation. Cependant, vous pouvez configurer des chemins personnalisés en plus des chemins analysés par défaut par Amazon Inspector.

Pour effectuer des analyses d'inspection approfondies pour vos instances Amazon basées sur Linux, EC2 Amazon Inspector utilise les données collectées à l'aide du plugin Amazon Inspector SSM. Pour gérer le plug-in Amazon Inspector SSM et effectuer une inspection approfondie pour Linux, Amazon Inspector crée automatiquement l'association SSM InvokeInspectorLinuxSsmPlugin-do-not-delete dans votre compte. Amazon Inspector collecte l'inventaire des applications mis à jour à partir de vos instances EC2 Amazon basées sur Linux toutes les 6 heures.

Cette section explique comment gérer l'inspection approfondie d'Amazon Inspector pour les EC2 instances Amazon, notamment comment définir des chemins personnalisés à scanner par Amazon Inspector.

Accès ou désactivation de l'inspection approfondie

Vous pouvez vérifier le statut d'activation par programmation pour un seul compte grâce à l'API GetEc2. DeepInspectionConfiguration Vous pouvez vérifier le statut d'activation de plusieurs comptes par programme à l'aide du BatchGetMemberEc2DeepInspectionStatusAPI.

Si vous avez activé Amazon Inspector avant le 17 avril 2023, vous pouvez activer l'inspection approfondie via la bannière de la console ou le UpdateEc2DeepInspectionConfigurationAPI. Si vous êtes l'administrateur délégué d'une organisation dans Amazon Inspector, vous pouvez utiliser BatchUpdateMemberEc2DeepInspectionStatusAPI pour activer une inspection approfondie pour vous-même et vos comptes membres.

Vous pouvez désactiver l'inspection approfondie via le UpdateEc2DeepInspectionConfigurationAPI. Les comptes membres d'une organisation ne peuvent pas désactiver l'inspection approfondie. Le compte du membre doit plutôt être désactivé par son administrateur délégué à l'aide du BatchUpdateMemberEc2DeepInspectionStatusAPI.

À propos du plug-in Amazon Inspector SSM pour Linux

Amazon Inspector utilise le plug-in Amazon Inspector SSM pour effectuer une inspection approfondie de vos instances Linux. Le plugin Amazon Inspector SSM est automatiquement installé sur vos instances Linux dans le /opt/aws/inspector/bin répertoire. Le nom de l'exécutable estinspectorssmplugin.

Amazon Inspector utilise Systems Manager Distributor pour déployer le plugin sur votre instance. Pour effectuer des analyses d'inspection approfondies, Systems Manager Distributor et Amazon Inspector doivent prendre en charge le système d'exploitation de votre EC2 instance Amazon. Pour plus d'informations sur les systèmes d'exploitation pris en charge par Systems Manager Distributor, consultez la section Plateformes et architectures de packages prises en charge dans le Guide de AWS Systems Manager l'utilisateur.

Amazon Inspector crée les répertoires de fichiers suivants pour gérer les données collectées à des fins d'inspection approfondie par le plugin Amazon Inspector SSM :

Amazon Inspector stocke les journaux du plugin dans le /var/log/amazon/inspector répertoire.

Désinstaller le plug-in Amazon Inspector SSM

Si le inspectorssmplugin fichier est supprimé par inadvertance, l'association SSM InspectorLinuxDistributor-do-not-delete essaiera de le réinstaller au prochain inspectorssmplugin intervalle d'analyse.

Si vous désactivez le EC2 scan Amazon, le plugin sera automatiquement désinstallé de tous les hôtes Linux.

Chemins personnalisés pour l'inspection approfondie d'Amazon Inspector

Vous pouvez définir des chemins personnalisés à scanner par Amazon Inspector lors d'une inspection approfondie de vos EC2 instances Amazon Linux. Lorsque vous définissez un chemin personnalisé, Amazon Inspector analyse les packages de ce répertoire et tous les sous-répertoires qu'il contient.

Tous les comptes peuvent définir jusqu'à 5 chemins personnalisés. L'administrateur délégué d'une organisation peut définir 10 chemins personnalisés.

Amazon Inspector analyse tous les chemins personnalisés en plus des chemins par défaut suivants, qu'Amazon Inspector analyse pour tous les comptes :

Formatage de chemins personnalisés

Un chemin personnalisé ne peut pas comporter plus de 256 caractères. Voici un exemple de ce à quoi peut ressembler un chemin personnalisé :

Exemple de chemin

/home/usr1/project01

Définition d'un chemin personnalisé dans la console Amazon Inspector et avec l'API Amazon Inspector

Les procédures suivantes décrivent comment définir un chemin personnalisé pour l'inspection approfondie d'Amazon Inspector dans la console Amazon Inspector et avec l'API Amazon Inspector. Une fois que vous avez défini un chemin personnalisé, Amazon Inspector inclut ce chemin dans l'inspection approfondie suivante.

Console

1. Connectez-vous en AWS Management Console tant qu'administrateur délégué et ouvrez la console Amazon Inspector sur https://console.aws.amazon.com/inspector/v2/home

2. Utilisez le Région AWS sélecteur pour choisir la région dans laquelle vous souhaitez activer le scan standard Lambda.

3. Dans le volet de navigation, choisissez Paramètres généraux, puis sélectionnez Paramètres de EC2 numérisation.

4. Sous Chemins personnalisés pour votre propre compte, choisissez Modifier.

5. Dans les zones de texte des chemins, entrez vos chemins personnalisés.

6. Choisissez Save (Enregistrer).

API

Exécutez le UpdateEc2DeepInspectionConfigurationcommande. Pour packagePaths spécifier un tableau de chemins à scanner.

Programmes personnalisés pour l'inspection approfondie d'Amazon Inspector

Par défaut, Amazon Inspector collecte un inventaire des applications auprès des EC2 instances Amazon toutes les 6 heures. Toutefois, vous pouvez exécuter les commandes suivantes pour contrôler la fréquence à laquelle Amazon Inspector effectue ces opérations.

Exemple de commande 1 : Répertorier les associations pour afficher l'ID d'association et l'intervalle actuel

La commande suivante indique l'identifiant de l'associationInvokeInspectorLinuxSsmPlugin-do-not-delete.

aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region

Exemple de commande 2 : Mettre à jour l'association pour inclure un nouvel intervalle

La commande suivante utilise l'identifiant de l'associationInvokeInspectorLinuxSsmPlugin-do-not-delete. Vous pouvez définir le taux pour une période comprise schedule-expression entre 6 heures et un nouvel intervalle, par exemple 12 heures.

aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region

Langages de programmation pris en charge

Pour les instances Linux, l'inspection approfondie d'Amazon Inspector peut produire des résultats pour les packages de langage de programmation d'applications et les packages de système d'exploitation.

Pour les instances Mac et Windows, l'inspection approfondie d'Amazon Inspector peut produire des résultats uniquement pour les packages de systèmes d'exploitation.

Pour plus d'informations sur les langages de programmation pris en charge, consultez Langages de programmation pris en charge : Amazon EC2 Deep Inspection.