기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon Inspector를 사용하여 AWS Lambda 함수 스캔
<a name="scanning-lambda"></a>

 AWS Lambda 함수 및 계층에 대한 Amazon Inspector 지원은 지속적인 자동 보안 취약성 평가를 제공합니다. Amazon Inspector는 두 가지 유형의 Lambda 함수 스캔을 제공합니다.

**[Amazon Inspector Lambda 표준 스캔](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_exclude_functions.html)**  
 이 스캔 유형이 기본 Lambda 스캔 유형입니다. Lambda 함수 및 계층의 애플리케이션 종속성을 스캔하여 [패키지 취약성](findings-types.md#findings-types-package)을 찾아냅니다.

**[Amazon Inspector Lambda 코드 스캔](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_code.html)**  
 이 스캔 유형은 Lambda 함수 및 계층의 사용자 지정 애플리케이션 코드를 스캔하여 [코드 취약성](findings-types.md#findings-types-code)을 찾아냅니다. Lambda 표준 스캔을 활성화하거나, Lambda 표준 스캔을 Lambda 코드 스캔과 함께 활성화할 수 있습니다.

 Lambda 코드 스캔을 활성화하려면 먼저 Lambda 표준 스캔을 활성화해야 합니다. 자세한 내용은 [스캔 유형 활성화](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html)를 참조하세요.

 Lambda 함수 스캔을 활성화하면 Amazon Inspector는 계정에 `cloudtrail:CreateServiceLinkedChannel` 및 `cloudtrail:DeleteServiceLinkedChannel`이라는 다음과 같은 서비스 연결 채널을 생성합니다. Amazon Inspector는 이러한 채널을 관리하고 이를 사용하여 CloudTrail 이벤트의 스캔을 모니터링합니다. 이러한 채널을 사용하면 CloudTrail에 추적이 있는 것처럼 계정에서 CloudTrail 이벤트를 볼 수 있습니다. CloudTrail에서 자체 추적을 생성하여 계정의 이벤트를 관리하는 것이 좋습니다. 이러한 채널을 보는 방법에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [서비스 연결 채널 보기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-service-linked-channels.html)를 참조하세요.

**참고**  
 Amazon Inspector는 [고객 관리형 키로 암호화된 Lambda 함수](https://docs.aws.amazon.com/lambda/latest/dg/security-encryption-at-rest.html) 스캔을 지원하지 않습니다. 이는 Lambda 표준 스캔 및 Lambda 코드 스캔에 적용됩니다.

## Lambda 함수 스캔의 스캔 동작
<a name="lambda-scan-behavior"></a>

Amazon Inspector는 활성화되면 계정에서 지난 90일 동안 간접적으로 호출되거나 업데이트된 모든 Lambda 함수를 스캔합니다. Amazon Inspector는 다음과 같은 경우에 Lambda 함수의 취약성 스캔을 시작합니다.
+ Amazon Inspector에서 기존 Lambda 함수를 발견하는 즉시
+ Lambda 서비스에 새 Lambda 함수를 배포하는 경우
+ 기존 Lambda 함수 또는 해당 계층의 애플리케이션 코드 또는 종속성에 대한 업데이트를 배포하는 경우
+ Amazon Inspector가 새로운 일반적인 취약성 및 노출(CVE) 항목을 데이터베이스에 추가하고, 해당 CVE가 함수와 관련이 있는 경우

Amazon Inspector는 Lambda 함수가 삭제되거나 검사에서 제외될 때까지 전체 기간 동안 각 Lambda 함수를 모니터링합니다.

Lambda 함수의 취약성을 마지막으로 확인한 시기는 **계정 관리** 페이지의 **Lambda 함수** 탭에서 또는 [https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html](https://docs.aws.amazon.com/inspector/v2/APIReference/API_ListCoverage.html) API를 사용하여 확인할 수 있습니다. Amazon Inspector는 다음 이벤트에 대한 응답으로 Lambda 함수의 **마지막 스캔 시간** 필드를 업데이트합니다.
+ Amazon Inspector에서 Lambda 함수의 첫 번째 스캔을 완료한 경우
+ Lambda 함수가 업데이트된 경우
+ 함수에 영향을 미치는 새 CVE 항목이 Amazon Inspector 데이터베이스에 추가되어 Amazon Inspector에서 Lambda 함수를 다시 스캔하는 경우

## 지원되는 런타임 및 적합한 함수
<a name="supported-functions"></a>

Amazon Inspector는 Lambda 표준 스캔 및 Lambda 코드 스캔에 대해 다양한 런타임을 지원합니다. 스캔 유형별 지원되는 런타임 목록은 [지원되는 런타임: Amazon Inspector Lambda 표준 스캔](supported.md#supported-programming-languages-lambda-standard) 및 [지원되는 런타임: Amazon Inspector Lambda 코드 스캔](supported.md#supported-programming-languages-lambda-code) 섹션을 참조하세요.

지원되는 런타임이 외에도 Lambda 함수가 Amazon Inspector 스캔 대상이 되려면 다음 기준을 충족해야 합니다.
+ 함수가 지난 90일 이내에 간접적으로 호출되거나 업데이트되었습니다.
+ 함수가 `$LATEST`로 표시됩니다.
+ 함수가 태그 기준 스캔에서 제외되지 않았습니다.

**참고**  
지난 90일 이내에 간접적으로 호출되거나 수정되지 않은 Lambda 함수는 스캔에서 자동으로 제외됩니다. 자동으로 제외된 함수가 다시 간접적으로 호출되거나 Lambda 함수 코드가 변경되면 Amazon Inspector에서 해당 함수의 스캔을 재개합니다.

# Amazon Inspector Lambda 표준 스캔
<a name="scanning_resources_lambda"></a>

Amazon Inspector Lambda 표준 스캔은 Lambda 함수 코드 및 계층에 추가하는 애플리케이션 패키지 종속성의 소프트웨어 취약성을 식별합니다. 예를 들어 Lambda 함수에서 사용하는 `python-jwt` 패키지 버전에 알려진 취약성이 있을 경우 Lambda 표준 스캔은 해당 함수에 대한 결과를 생성합니다.

**Amazon Inspector에서 Lambda 함수 애플리케이션 패키지 종속성의 취약성을 탐지한 경우 Amazon Inspector는 상세한 패키지 취약성** 유형의 결과를 생성합니다.

스캔 유형 활성화에 대한 지침은 [스캔 유형 활성화](activate-scans.md) 섹션을 참조하세요.

**참고**  
Lambda 표준 스캔은 Lambda 런타임 환경에 기본적으로 설치된 AWS SDK 종속성을 스캔하지 않습니다. Amazon Inspector는 함수 코드와 함께 업로드되거나 계층에서 상속된 종속성만 스캔합니다.

**참고**  
Amazon Inspector Lambda 표준 스캔을 비활성화하면 Amazon Inspector Lambda 코드 스캔도 비활성화됩니다.

# Lambda 표준 스캔에서 함수 제외
<a name="scanning_resources_lambda_exclude_functions"></a>

 Lambda 함수에 태그를 추가하여 Amazon Inspector Lambda 표준 스캔에서 제외할 수 있습니다. 함수를 스캔에서 제외하면 조치할 수 없는 알림을 방지할 수 있습니다. 제외할 함수에 태그를 지정할 때 태그에는 다음과 같은 키-값 페어가 있어야 합니다.
+  키: `InspectorExclusion` 
+  값: `LambdaStandardScanning` 

 이 주제에서는 스캔에서 제외할 함수에 태그를 지정하는 방법에 대해 설명합니다. Lambda에 태그를 추가하는 방법에 대한 자세한 내용은 [Lambda 함수에서 태그 사용](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html)을 참조하세요.

**스캔에서 함수를 제외하려면**

1.  자격 증명을 사용하여 로그인한 다음 Lambda 콘솔([https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/))을 엽니다.

1.  탐색 창에서 **함수**를 선택합니다.

1.  Amazon Inspector Lambda 표준 스캔에서 제외하려는 함수의 이름을 선택합니다.

1.  **구성(Configuration)**을 선택한 다음 **태그(Tags)**를 선택합니다.

1.  **태그 관리**, **새 태그 추가**를 차례로 선택합니다.

   1. **키**에 `InspectorExclusion`를 입력합니다.

   1.  [**값(Value)**]에 `LambdaStandardScanning`을 입력합니다.

1.  **저장**을 선택합니다.

# Amazon Inspector Lambda 코드 스캔
<a name="scanning_resources_lambda_code"></a>

**중요**  
 이 특성은 Lambda 함수의 스니펫을 캡처하여 탐지된 취약성을 강조 표시합니다. 이러한 스니펫에는 하드코딩된 자격 증명과 기타 민감한 자료가 표시될 수 있습니다.

 이 특성을 사용하면 Amazon Inspector가 AWS 보안 모범 사례를 기반으로 Lambda 함수에서 애플리케이션 코드의 코드 취약성을 스캔하여 데이터 유출, 주입 결함, 암호화 누락 및 취약한 암호화를 탐지합니다. Amazon Inspector는 자동 추론 및 기계 학습을 사용하여 Lambda 함수 애플리케이션 코드를 평가합니다. 또한 Amazon Q와 공동으로 개발한 내부 탐지기를 사용하여 정책 위반 및 취약성을 식별합니다.

 Amazon Inspector는 Lambda 함수 애플리케이션 코드에서 취약성을 탐지하면 [코드 취약성](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html#findings-types-code)을 생성합니다. 이 조사 결과 유형에는 문제를 보여주는 코드 스니펫과 코드에서 문제를 찾을 수 있는 위치가 포함되어 있습니다. 또한 문제를 해결하는 방법도 제안합니다. 제안 사항에는 취약한 코드 줄을 대체하는 데 사용할 수 있는 플러그 앤 플레이 코드 블록이 포함되어 있습니다. 이러한 코드 수정은 해당 조사 결과 유형에 대한 일반 코드 수정 지침과 함께 제공됩니다.

 코드 수정 제안은 자동 추론을 기반으로 합니다. 일부 코드 수정 제안은 의도한 대로 작동하지 않을 수 있습니다. 제안된 코드 수정을 사용할 경우 이에 따른 책임은 사용자에게 있습니다. 그러므로 제안된 코드 수정 방법을 사용하기 전에 항상 검토하세요. 코드가 의도한 대로 작동하는지 확인하기 위해 편집해야 할 수도 있습니다. 자세한 내용은 [책임 있는 AI 정책](https://aws.amazon.com/machine-learning/responsible-ai/policy/)을 참조하세요.

 Lambda 코드 스캔을 활성화하려면 먼저 Lambda 표준 스캔을 활성화해야 합니다. 자세한 내용은 [스캔 유형 활성화](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html)를 참조하세요. 이 특성을 지원하는 AWS 리전에 대한 자세한 내용은 [리전별 특성 가용성](inspector_regions.md#ins-regional-feature-availability) 섹션을 참조하세요.

## 코드 취약성 조사 결과에서 코드 암호화
<a name="lambda-code-encryption"></a>

 Amazon Q는 Lambda 코드 스캔을 사용하여 코드 취약성 조사 결과와 관련된 것으로 탐지된 코드 스니펫을 저장합니다. 기본적으로 Amazon Q는 코드를 암호화하는 데 사용되는 [AWS 소유 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)를 제어합니다. 하지만 Amazon Inspector API를 통해 암호화에 자체 고객 관리형 키를 사용할 수 있습니다. 자세한 내용은 [조사 결과 코드에 대한 저장 중 암호화](encryption-rest.md#encryption-code-snippets) 섹션을 참조하세요.

# Lambda 코드 스캔에서 함수 제외
<a name="scanning_resources_lambda_code_exclude_functions"></a>

 Lambda 함수에 태그를 추가하여 Amazon Inspector Lambda 코드 스캔에서 제외할 수 있습니다. 함수를 스캔에서 제외하면 조치할 수 없는 알림을 방지할 수 있습니다. 제외할 함수에 태그를 지정할 때 태그에는 다음과 같은 키-값 페어가 있어야 합니다.
+  키 - `InspectorCodeExclusion` 
+  값-`LambdaCodeScanning` 

 이 주제에서는 코드 스캔에서 제외할 함수에 태그를 지정하는 방법에 대해 설명합니다. Lambda에 태그를 추가하는 방법에 대한 자세한 내용은 [Lambda 함수에서 태그 사용](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html)을 참조하세요.

**코드 스캔에서 함수를 제외하려면**

1.  자격 증명을 사용하여 로그인한 다음 Lambda 콘솔([https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/))을 엽니다.

1.  탐색 창에서 **함수**를 선택합니다.

1.  Amazon Inspector Lambda 코드 스캔에서 제외할 함수의 이름을 선택합니다.

1.  **구성(Configuration)**을 선택한 다음 **태그(Tags)**를 선택합니다.

1.  **태그 관리**, **새 태그 추가**를 차례로 선택합니다.

   1. **키**에 `InspectorCodeExclusion`를 입력합니다.

   1.  [**값(Value)**]에 `LambdaCodeScanning`을 입력합니다.

1.  **저장**을 선택합니다.