Linux ベースの Amazon EC2 インスタンス向け Amazon Inspector 詳細検査 - Amazon Inspector
詳細検査へのアクセスまたは無効化Linux 向け Amazon Inspector SSM プラグインについてAmazon Inspector 詳細検査のカスタムパスAmazon Inspector 詳細検査のカスタムスケジュールサポートされているプログラミング言語

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Linux ベースの Amazon EC2 インスタンス向け Amazon Inspector 詳細検査

Amazon Inspector は Amazon EC2 スキャンの対象範囲を拡大し、詳細検査を含めました。詳細検査により、Amazon Inspector は Linux ベースの Amazon EC2 インスタンス内のアプリケーションプログラミング言語パッケージのパッケージ脆弱性を検出します。Amazon Inspector は、プログラミング言語パッケージライブラリのデフォルトパスをスキャンします。ただし、Amazon Inspector がデフォルトでスキャンするパスに加えて、カスタムパスを設定できます。

注記

詳細検査は、デフォルトのホスト管理設定で使用できます。ただし、ssm:PutInventory および ssm:GetParameter アクセス許可で設定されたロールを作成または使用する必要があります。

Amazon Inspector は、Linux ベースの Amazon EC2 インスタンスの詳細検査スキャンを実行するため、Amazon Inspector SSM プラグインで収集されたデータを使用します。Amazon Inspector SSM プラグインを管理し、Linux 用の詳細検査を実行するために、Amazon Inspector はアカウントに SSM 関連付け InvokeInspectorLinuxSsmPlugin-do-not-delete を自動的に作成します。Amazon Inspector は、6 時間ごとに Linux ベースの Amazon EC2 インスタンスから更新されたアプリケーションインベントリを収集します。

注記

Windows または Mac インスタンスでは詳細検査はサポートされていません。

このセクションでは、Amazon Inspector がスキャンするカスタムパスを設定する方法など、Amazon EC2 インスタンスの Amazon Inspector 詳細検査を管理する方法について説明します。

詳細検査へのアクセスまたは無効化

注記

2023 年 4 月 17 日以降に Amazon Inspector をアクティブ化したアカウントの場合、Amazon EC2 スキャンの一環として詳細検査が自動的にアクティブ化されます。

詳細検査を管理するには

  1. 認証情報を使用してサインインし、Amazon Inspector コンソール (https://console.aws.amazon.com/inspector/v2/home) を開きます。

  2. ナビゲーションペインから全般設定を選択し、Amazon EC2 スキャン設定を選択します。

  3. [Amazon EC2 インスタンスの詳細検査] で、組織または独自のアカウントのカスタムパスを設定できます。

GetEc2DeepInspectionConfiguration API を使用して、アクティブ化のステータスをプログラムで 1 つのアカウントに対して確認できます。BatchGetMemberEc2DeepInspectionStatus API を使用して、複数のアカウントでアクティブ化のステータスをプログラムで確認できます。

2023 年 4 月 17 日より前に Amazon Inspector をアクティベートした場合は、コンソールバナーまたは UpdateEc2DeepInspectionConfiguration API を使用して詳細検査をアクティベートできます。組織において Amazon Inspector の委任管理者である場合は、BatchUpdateMemberEc2DeepInspectionStatus API を使用して、自分とメンバーアカウントに対して詳細検査をアクティブ化できます。

UpdateEc2DeepInspectionConfiguration API を使用して詳細検査を非アクティブ化できます。組織のメンバーアカウントは詳細検査を非アクティブ化することはできません。その代わりに、委任管理者が BatchUpdateMemberEc2DeepInspectionStatus API を使用してメンバーアカウントを非アクティブ化する必要があります。

Linux 向け Amazon Inspector SSM プラグインについて

Amazon Inspector は Amazon Inspector SSM プラグインを使用して Linux インスタンスの詳細検査を実行します。Amazon Inspector SSM プラグインは、Linux インスタンスの /opt/aws/inspector/bin ディレクトリに自動的にインストールされます。実行可能ファイルの名前は inspectorssmplugin です。

Amazon Inspector は、Systems Manager Distributor を使用してインスタンスにプラグインをデプロイします。詳細検査スキャンを実行するには、Systems Manager Distributor と Amazon Inspectorが、Amazon EC2 インスタンスオペレーティングシステムをサポートしている必要があります。Systems Manager Distributor がサポートするオペレーティングシステムの詳細については、「AWS Systems Manager ユーザーガイド」の「サポートされているパッケージのプラットフォームとアーキテクチャ」を参照してください。

Amazon Inspector は、Amazon Inspector SSM プラグインによって詳細検査向けに収集されたデータを管理するために、以下のファイルディレクトリを作成します。

  • /opt/aws/inspector/var/input

  • /opt/aws/inspector/var/output – このディレクトリの packages.txt ファイルは、詳細検査によって検出されたパッケージへのフルパスを保存します。Amazon Inspector がインスタンスで同じパッケージを複数回検出した場合、packages.txt ファイルにはそのパッケージが見つかった各場所が一覧表示されます。

Amazon Inspector は、プラグインのログを /var/log/amazon/inspector ディレクトリに保存します。

Amazon Inspector SSM プラグインのアンインストール

inspectorssmplugin ファイルが誤って削除された場合、SSM 関連付け InspectorLinuxDistributor-do-not-delete は次のスキャン間隔で inspectorssmplugin ファイルの再インストールを試みます。

Amazon EC2 スキャンを非アクティブ化すると、プラグインはすべての Linux ホストから自動的にアンインストールされます。

Amazon Inspector 詳細検査のカスタムパス

Amazon Inspector が Linux Amazon EC2 インスタンスの詳細検査を実行するときにスキャンするカスタムパスを設定できます。カスタムパスを設定すると、Amazon Inspector はそのディレクトリとその中のすべてのサブディレクトリにあるパッケージをスキャンします。

すべてのアカウントで、最大 5 個のカスタムパスを定義できます。組織の委任管理者は、10 個のカスタムパスを定義できます。

Amazon Inspector は、すべてのアカウントで Amazon Inspector がスキャンする以下のデフォルトパスに加えて、すべてのカスタムパスをスキャンします。

  • /usr/lib

  • /usr/lib64

  • /usr/local/lib

  • /usr/local/lib64

注記

カスタムパスはローカルパスである必要があります。Amazon Inspector は、ネットワークファイルシステムマウントや Amazon S3 ファイルシステムマウントなどのマッピングされたネットワークパスをスキャンしません。

カスタムパスのフォーマット

カスタムパスは 256 文字より長くすることはできません。以下に示すのは、カスタムパスの例です。

パスの例

/home/usr1/project01

注記

インスタンスあたりのパッケージ制限は 5,000 です。パッケージインベントリの最大収集時間は 15 分です。これらの制限を避けるため、Amazon Inspector ではカスタムパスを選択することをお勧めします。

Amazon Inspector コンソールと Amazon Inspector API でのカスタムパスの設定

次の手順は、Amazon Inspector コンソールと Amazon Inspector API で Amazon Inspector 詳細検査のカスタムパスを設定する方法を示しています。カスタムパスを設定すると、Amazon Inspector は次の詳細検査にパスを含めます。

Console

  1. 委任管理者 AWS Management Console として にサインインし、https://console.aws.amazon.com/inspector/v2/home で Amazon Inspector コンソールを開きます。

  2. AWS リージョン セレクタを使用して、Lambda 標準スキャンをアクティブ化するリージョンを選択します。

  3. ナビゲーションペインから、[全般設定][EC2 スキャン設定] の順に選択します。

  4. [独自のアカウントのカスタムパス] で、[編集] を選択します。

  5. テキストボックスにカスタムパスを入力します。

  6. [Save] を選択します。

API

UpdateEc2DeepInspectionConfiguration コマンドを実行します。packagePaths には、スキャンするパスの配列を指定します。

Amazon Inspector 詳細検査のカスタムスケジュール

デフォルトでは、Amazon Inspector は 6 時間ごとに Amazon EC2 インスタンスからアプリケーションインベントリを収集します。ただし、次のコマンドを実行して、Amazon Inspector がこれを実行する頻度を制御できます。

コマンド例 1: 関連付けを一覧表示して関連付け ID と現在の間隔を表示する

次のコマンドは、関連付け InvokeInspectorLinuxSsmPlugin-do-not-delete の関連付け ID を示しています。

aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region

コマンド例 2: 関連付けを更新して新しい間隔を含める

次のコマンドは、関連付け InvokeInspectorLinuxSsmPlugin-do-not-delete の関連付け ID を使用します。schedule-expression のレートは、6 時間から新しい間隔 (12 時間など) に設定できます。

aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region
注記

ユースケースに応じて、schedule-expression のレートを 6 時間から 30 分などの間隔に設定すると、毎日の ssm インベントリ制限を超える可能性があります。これにより結果が遅延し、部分的なエラーステータスを持つ Amazon EC2 インスタンスが発生する可能性があります。

サポートされているプログラミング言語

Linux インスタンスの場合、Amazon Inspector の詳細検査により、アプリケーションプログラミング言語パッケージとオペレーティングシステムパッケージの検出結果を生成できます。

Mac および Windows インスタンスの場合、Amazon Inspector の詳細検査はオペレーティングシステムパッケージに対してのみ検出結果を生成できます。

サポートされているプログラミング言語の詳細については、「サポートされているプログラミング言語: Amazon EC2 詳細検査」を参照してください。