本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 评估 Amazon Inspector 对您 AWS 环境的覆盖范围
<a name="assessing-coverage"></a>

 您可以从 Amazon Inspector 控制台的**账户管理**屏幕中评估 Amazon Inspector 对您 AWS 环境的覆盖范围，该屏幕显示有关您的账户和资源的 Amazon Inspector 扫描状态的详细信息和统计数据。

**注意**  
 如果您是组织的委派管理员，则可以查看组织中所有账户的详细信息和统计数据。

 以下过程介绍了如何评测 Amazon Inspector 环境的覆盖率。

**评估 Amazon Inspector 对您 AWS 环境的覆盖范围**

1.  使用您的凭证登录，然后在 [https://console.aws.amazon.com/inspector/v2/](https://console.aws.amazon.com/inspector/v2/home) home 中打开 Amazon Inspector 控制台。

1.  在导航窗格中，选择**账户管理**。

1.  要查看覆盖率，请选择以下选项卡之一：
   +  选择**账户**可以查看账户级别的覆盖率。
   +  选择**实例**可查看 Amazon Elastic Compute Cloud（Amazon EC2）的覆盖率。
   +  选择**容器存储库**，可查看 Amazon Elastic Container Registry（Amazon ECR）的覆盖率。
   +  选择**容器映像**可查看 Amazon ECR 容器映像的覆盖率。
   +  选择 **Lambda 函数**可以查看 Lambda 函数的覆盖率。

 以下主题介绍了每个选项卡提供的信息。

**Topics**
+ [评测账户级别的覆盖率](#viewing-coverage-accounts)
+ [评测 Amazon EC2 实例的覆盖率](#viewing-coverage-instances)
+ [评测 Amazon ECR 存储库的覆盖率](#viewing-coverage-repositories)
+ [评测 Amazon ECR 容器映像的覆盖率](#viewing-coverage-images)
+ [评估 AWS Lambda 职能覆盖范围](#viewing-coverage-lambdas)

## 评测账户级别的覆盖率
<a name="viewing-coverage-accounts"></a>

如果您的账户不是组织的一员，或者不是组织的 Amazon Inspector 委托管理员账户，则**账户**选项卡会提供有关您的账户和账户资源扫描状态的信息。在此选项卡上，您可以激活或停用对您账户中所有或仅特定类型资源的扫描。有关更多信息，请参阅 [Amazon Inspector 中的自动扫描类型](scanning-resources.md)。

如果您的账户是组织的 Amazon Inspector 委托管理员账户，则**账户**选项卡会提供组织中账户的自动激活设置并列出组织中的所有账户。对于每个账户，该列表都会显示账户是否已激活 Amazon Inspector，如果已激活，还会显示为该账户激活的资源扫描类型。作为委托管理员，您可以使用此选项卡更改组织的自动激活设置。您还可以为个人成员账户激活或停用特定类型的资源扫描。有关更多信息，请参阅 [为成员账户激活 Amazon Inspector 扫描](adding-member-accounts.md)。

## 评测 Amazon EC2 实例的覆盖率
<a name="viewing-coverage-instances"></a>

**实例**选项卡显示环境中 AWS 的 Amazon EC2 实例。列表按以下选项卡分组：
+ **全部** – 显示环境中的所有实例。**状态**列显示实例的当前扫描状态。
+ **扫描** – 显示 Amazon Inspector 在环境中主动监控和扫描的所有实例。
+ **未扫描** – 显示 Amazon Inspector 未在环境中主动监控和扫描的所有实例。**原因**列说明了为什么 Amazon Inspector 没有监控和扫描实例。

  EC2 实例可能由于多种原因出现在**未扫描**选项卡上。Amazon Inspector 使用 AWS Systems Manager (SSM) 和 SSM 代理来自动监控和扫描您的 EC2 实例中是否存在漏洞。如果实例没有运行 SSM 代理，没有支持 Systems Manager 的 AWS Identity and Access Management (IAM) 角色，或者没有运行支持的操作系统或架构，则 Amazon Inspector 无法监控和扫描该实例。有关更多信息，请参阅 [Amazon EC2 实例扫描](scanning-ec2.md)。

在每个选项卡上，**账户**列都指定 AWS 账户 了拥有实例的。

 **EC2 实例标签** – 此列显示与实例关联的标签，可用于确定您的实例是否已按标签排除在扫描之外。

**操作系统** – 此列显示操作系统类型，可以是 `WINDOWS`、`MAC`、`LINUX` 或 `UNKNOWN`。

**使用已监控** – 此列显示 Amazon Inspector 对此实例使用的是[基于代理](scanning-ec2.md#agent-based)还是[无代理](scanning-ec2.md#agentless)的扫描方法。

**上次扫描时间** – 此列显示 Amazon Inspector 上次检查资源是否存在漏洞的时间。Amazon Inspector 执行扫描的频率取决于它用来扫描实例的扫描方法。

要查看有关 EC2 实例的更多详细信息，请选择 **EC2 实例**列中的链接。然后，Amazon Inspector 会显示有关该实例的详细信息以及该实例的当前调查发现。要查看调查发现的详细信息，请选择**标题**列中的链接。如需了解这些详细信息，请参阅[查看 Amazon Inspector 调查发现的详细信息](findings-understanding-details.md)。

### 扫描 Amazon EC2 实例的状态值
<a name="reviewing-coverage-status-ec2"></a>

对于 Amazon Elastic Compute Cloud (Amazon EC2) 实例，可能的**状态**值包括：
+ **主动监控** – Amazon Inspector 正在持续监控和扫描实例。
+  **超出无代理实例存储限制** - 当连接到实例的所有卷的总大小超过 1200 GB，或者一个实例所连接的卷超过 8 个时，Amazon Inspector 将使用此状态。
+  **超出无代理实例收集时间限制** - Amazon Inspector 在尝试对实例运行无代理扫描时超时。
+ **EC2 实例已停止** – 由于实例处于停止状态，Amazon Inspector 暂停了对实例的扫描。所有现有调查发现都将持续到实例终止。如果实例重新启动，Amazon Inspector 将自动恢复对实例的扫描。
+ **内部错误** – Amazon Inspector 尝试扫描实例时发生内部错误。Amazon Inspector 将自动处理错误并尽快恢复扫描。
+ **无清单** – Amazon Inspector 找不到用于扫描实例的软件应用程序清单。实例的 Amazon Inspector 关联可能已被删除或者无法运行。

  要修复此问题，请使用 AWS Systems Manager 来确保`InspectorInventoryCollection-do-not-delete`关联存在且其关联状态为成功。此外，使用 AWS Systems Manager Fleet Manager 验证实例的软件应用程序清单。
+ **待禁用** – Amazon Inspector 已停止扫描该实例。正在禁用该实例，等待清理任务完成。
+ **等待初始扫描** – Amazon Inspector 已将实例纳入队列，等待初始扫描。
+ **资源已终止** – 实例已终止。Amazon Inspector 当前正在清理该实例的现有调查发现和覆盖率数据。
+ **清单过期** – Amazon Inspector 无法收集过去 7 天内为该实例捕获的更新后的软件应用程序清单。

  要修复此问题，请使用 AWS Systems Manager 来确保该实例所必需的 Amazon Inspector 关联存在且正在运行。此外，使用 AWS Systems Manager Fleet Manager 验证实例的软件应用程序清单。
+ **非托管型 EC2 实例** – Amazon Inspector 未监控或扫描实例。实例不由 AWS Systems Manager托管。

  要修复此问题，你可以使用 A AWS Systems Manager utomation [https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-troubleshoot-managed-instance.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-troubleshoot-managed-instance.html)提供的。在您配置 AWS Systems Manager 为管理实例后，Amazon Inspector 将自动开始持续监控和扫描该实例。
+ **不支持的操作系统** – Amazon Inspector 未监控或扫描实例。实例使用了 Amazon Inspector 不支持的操作系统或架构。有关 Amazon Inspector 支持的操作系统的列表，请参阅[Amazon EC2 实例的状态值支持的操作系统：Amazon EC2 扫描](supported.md#supported-os-ec2)。
+ **主动监视且存在部分错误** – 此状态表示 EC2 扫描处于活动状态，但存在与 [基于 Linux 的 Amazon EC2 实例的 Amazon Inspector 深度检查](deep-inspection.md) 相关的错误。可能的深度检查错误包括：
  + **超出深度检查程序包收集限制** – 该实例已超过 Amazon Inspector 深度检查的 5000 个程序包限制。要恢复对此实例的深度检查，您可以尝试调整与该账户关联的自定义路径。
  + **超出深度检查每日 SSM 清单限制** – SSM Agent 无法向 Amazon Inspector 发送清单，因为对于该实例，已达到*每天每个实例收集的清单数据*的 SSM 配额。有关更多信息，请参阅 [Amazon EC2 Systems Manager 端点和配额](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
  + **超过深度检查收集时间限制** – Amazon Inspector 未能提取程序包清单，因为程序包收集时间超过了 15 分钟的最大阈值。
  + **深度检查没有清单** – [Amazon Inspector SSM 插件](https://docs.aws.amazon.com/inspector/latest/user/inspector-ssm-plugin.html)尚未能够收集此实例的程序包清单。这通常是待处理扫描的结果，但是，如果此状态在 6 小时后仍然存在，请使用 Amazon EC2 Systems Manager 确保该实例存在所需的 Amazon Inspector 关联并且关联正在运行。如果实例缺少所需的`ssm:GetParameter`权限`ssm:PutInventory`和权限，也可能发生此错误。如果实例具有 IAM 实例配置文件，请验证配置文件中是否包含这些权限。如果未配置实例配置文件，请验证这些权限是否包含在[默认主机管理配置](https://docs.aws.amazon.com/systems-manager/latest/userguide/managed-instances-default-host-management.html)角色中。

有关为 EC2 实例配置扫描设置的详细信息，请参阅[Amazon EC2 实例扫描](scanning-ec2.md)。

## 评测 Amazon ECR 存储库的覆盖率
<a name="viewing-coverage-repositories"></a>

**存储库**选项卡显示 AWS 环境中的 Amazon ECR 存储库。列表按以下选项卡分组：
+ **全部** – 显示环境中的所有存储库。**状态**列显示存储库的当前扫描状态。
+ **已激活** – 显示根据 Amazon Inspector 配置要在环境中监控和扫描的所有存储库。**状态**列显示存储库的当前扫描状态。
+ **已激活** – 显示 Amazon Inspector 未在环境中监控和扫描的所有存储库。**原因**列说明了为什么 Amazon Inspector 没有监控和扫描存储库。

在每个选项卡上，“**帐户**” 列指定 AWS 账户 拥有存储库的。

要查看有关存储库的其他详细信息，请选择存储库的名称。然后，Amazon Inspector 会显示存储库中的容器映像的列表以及每个映像的详细信息。详细信息包括映像标签、映像摘要和扫描状态。其中还包括关键调查发现统计数据，例如映像的**关键**调查发现数量。要深入了解和查看调查发现统计数据的支持数据，请选择映像的映像标签。

**注意**  
 未连续扫描的 Amazon ECR 映像不包含在覆盖小部件中。

### 扫描 Amazon ECR 存储库的状态值
<a name="reviewing-coverage-status-ecr"></a>

对于 Amazon Elastic Container Registry（Amazon ECR）存储库，可能的**状态**值包括：
+ **已激活(持续)** – 对于存储库，Amazon Inspector 会持续监控存储库中的映像。存储库的增强扫描设置为持续扫描。Amazon Inspector 最初会在推送新映像时对其进行扫描，如果发布了与该映像相关的新 CVE，则会重新扫描映像。Amazon Inspector 将会在您配置的 [Amazon ECR 重新扫描持续时间](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html)内，继续监控此存储库中的映像。
+ **已激活(推送时)** – Amazon Inspector 会在推送新映像时自动扫描存储库中的各个容器映像。会为存储库激活增强扫描，并设置为推送时扫描。
+ **访问被拒绝** – Amazon Inspector 无法访问存储库或存储库中的任何容器映像。

  要修复此问题，请确保仓库的 AWS Identity and Access Management (IAM) 策略允许 Amazon Inspector 访问存储库。
+ **已停用（手动）**– Amazon Inspector 未监控或扫描存储库中的任何容器映像。存储库的 Amazon ECR 扫描设置为基本手动扫描。

  要开始使用 Amazon Inspector 扫描存储库中的映像，请将存储库的扫描设置更改为增强扫描，然后选择是持续扫描映像还是仅在推送新映像时扫描映像。
+ **已激活(推送时)** – Amazon Inspector 会在推送新映像时自动扫描存储库中的各个容器映像。存储库的增强扫描设置为推送时扫描。
+ **内部错误** – Amazon Inspector 尝试扫描存储库时发生内部错误。Amazon Inspector 将自动处理错误并尽快恢复扫描。

有关为存储库配置扫描设置的详细信息，请参阅[Amazon ECR 容器映像扫描](scanning-ecr.md)。

## 评测 Amazon ECR 容器映像的覆盖率
<a name="viewing-coverage-images"></a>

**映像**选项卡显示 AWS 环境中的 Amazon ECR 容器映像。列表按以下选项卡分组：
+ **全部** – 显示环境中的所有容器映像。**状态**列显示映像的当前扫描状态。
+ **正在扫描** – 显示根据 Amazon Inspector 配置要在环境中监控和扫描的所有容器映像。**状态**列显示映像的当前扫描状态。
+ **未扫描** – 显示 Amazon Inspector 未在环境中监控和扫描的所有容器映像。**原因**列说明了为什么 Amazon Inspector 没有监控和扫描映像。

  容器映像可能会由于多种原因出现在**未激活**选项卡上。映像可能存储在未激活 Amazon Inspector 扫描的存储库中，或者 Amazon ECR 筛选规则阻止扫描该存储库。或者未在您针对 **ECR 重新扫描持续时间**配置的天数内推送或拉取映像。有关更多信息，请参阅[配置 Amazon ECR 重新扫描持续时间](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html)。

在每个选项卡上，**存储库名称**列指定存储容器映像的存储库的名称。“**帐户**” 列指定 AWS 账户 拥有存储库的。**上次扫描**列显示 Amazon Inspector 上次检查资源是否存在脆弱性的时间。这可能包括在更新调查发现元数据时、更新资源的应用程序清单时，或者针对新 CVE 重新扫描时进行检查。有关更多信息，请参阅 [Amazon ECR 扫描的扫描行为](scanning-ecr.md#ecr-scan-behavior)。

要查看有关容器映像的其他详细信息，请选择 **ECR 容器映像**列中的链接。然后，Amazon Inspector 会显示有关该映像的详细信息以及该映像的当前调查发现。要查看调查发现的详细信息，请选择**标题**列中的链接。如需了解这些详细信息，请参阅[查看 Amazon Inspector 调查发现的详细信息](findings-understanding-details.md)。

### 扫描 Amazon ECR 容器映像的状态值
<a name="reviewing-coverage-status-ecr-image"></a>

对于 Amazon Elastic Container Registry 容器映像，可能的**状态**值包括：
+ **主动监控(持续)** - Amazon Inspector 会持续监控映像，并且每当发布新的相关 CVE 时，都会对其进行新一轮扫描。每当推送或拉取映像时，都会刷新映像的 Amazon ECR 重新扫描持续时间。存储映像的存储库启用了增强扫描，存储库的增强扫描设置为持续扫描。
+ **已激活(推送时)** - 每次推送新映像时，Amazon Inspector 都会自动扫描该映像。存储映像的存储库启用了增强扫描，存储库的增强扫描设置为推送时扫描。
+ **内部错误** – Amazon Inspector 尝试扫描容器映像时发生内部错误。Amazon Inspector 将自动处理错误并尽快恢复扫描。
+ **等待初始扫描** – Amazon Inspector 已将映像纳入队列，等待初始扫描。
+ **扫描资格已过期(持续)** - Amazon Inspector 会暂停对映像的扫描。在您为自动重新扫描存储库中的映像指定的持续时间内，映像尚未更新。您可以推送或拉取映像以恢复扫描。
+ **扫描资格已过期(推送时)** - Amazon Inspector 会暂停对映像的扫描。在您为自动重新扫描存储库中的映像指定的持续时间内，映像尚未更新。您可以推送映像以恢复扫描。
+ **手动扫描频率（手动）**– Amazon Inspector 不会扫描 Amazon ECR 容器映像。存储映像的存储库的 Amazon ECR 扫描设置为基本手动扫描。要开始使用 Amazon Inspector 自动扫描映像，请将存储库设置为增强扫描，然后选择持续扫描映像或者仅在推送新映像时扫描。
+ **不支持的操作系统** – Amazon Inspector 未监控或扫描映像。该映像基于 Amazon Inspector 不支持的操作系统，或者它使用了 Amazon Inspector 不支持的媒体类型。

  有关 Amazon Inspector 支持的操作系统的列表，请参阅[支持的操作系统：使用 Amazon Inspector 执行 Amazon ECR 扫描](supported.md#supported-os-ecr)。有关 Amazon Inspector 支持的媒体类型的列表，请参阅[支持的媒体类型](scanning-ecr.md#ecr-supported-media)。

有关为存储库和映像配置扫描设置的详细信息，请参阅[Amazon ECR 容器映像扫描](scanning-ecr.md)。

## 评估 AWS Lambda 职能覆盖范围
<a name="viewing-coverage-lambdas"></a>

**Lambda 选项卡显示**您的环境中的 Lambda 函数。 AWS 本页有两个表，一个显示 Lambda 标准扫描的函数覆盖率详细信息，另一个显示 Lambda 代码扫描的函数覆盖率详细信息。您可以根据以下选项卡对函数进行分组：
+ **全部** – 显示环境中的所有 Lambda 函数。**状态**列显示 Lambda 函数的当前扫描状态。
+ **扫描** – 显示根据 Amazon Inspector 配置要扫描的 Lambda 函数。**状态**列显示每个 Lambda 函数的当前扫描状态。
+ **未扫描** – 显示根据 Amazon Inspector 配置未扫描的 Lambda 函数。**原因**列说明了为什么 Amazon Inspector 没有监控和扫描函数。

  Lambda 函数可能由于多种原因出现在**未扫描**选项卡上。Lambda 函数可能属于尚未添加到 Amazon Inspector 的账户，或者筛选规则阻止扫描此函数。有关更多信息，请参阅 [Lambda 函数扫描](scanning-lambda.md)。

在每个选项卡上，**函数名称**列指定 Lambda 函数的名称。“**帐户**” 列指定拥有 AWS 账户 该函数的。**运行时系统**指定函数的运行时系统。**状态**列显示每个 Lambda 函数的当前扫描状态。**资源标签**显示已应用于函数的标签。**上次扫描**列显示 Amazon Inspector 上次检查资源是否存在脆弱性的时间。这可能包括在更新调查发现元数据时、更新资源的应用程序清单时，或者针对新 CVE 重新扫描时进行检查。有关更多信息，请参阅 [Lambda 函数扫描的扫描行为](scanning-lambda.md#lambda-scan-behavior)。

### 正在扫描 AWS Lambda 函数的状态值
<a name="reviewing-coverage-status-lambda"></a>

对于 Lambda 函数，可能的**状态**值包括：
+ **主动监控** – Amazon Inspector 正在持续监控和扫描 Lambda 函数。持续扫描包括在将新功能推送到存储库时对其进行初始扫描，以及在函数更新或发布新的常见漏洞和风险敞口 (CVEs) 时自动重新扫描这些函数。
+ **按标签排除** – Amazon Inspector 未扫描此函数，因为按标签它已被排除在扫描范围之外。
+ **扫描资格已过期** – Amazon Inspector 未监控此函数，因为自上次调用或更新该函数已过去 90 天或更长时间。
+ **内部错误** – Amazon Inspector 尝试扫描函数时发生内部错误。Amazon Inspector 将自动处理错误并尽快恢复扫描。
+ **等待初始扫描** – Amazon Inspector 已将函数纳入队列，等待初始扫描。
+ **不支持** – Lambda 函数的运行时系统不受支持。