本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 評估您 AWS 環境的 Amazon Inspector 涵蓋範圍
<a name="assessing-coverage"></a>

 您可以從 Amazon Inspector 主控台的帳戶**管理**畫面評估 AWS 您環境的 Amazon Inspector 涵蓋範圍，其中顯示 Amazon Inspector 掃描您帳戶和資源狀態的詳細資訊和統計資料。

**注意**  
 如果您是組織的委派管理員，您可以檢視組織中所有帳戶的詳細資訊和統計資料。

 下列程序說明如何評估 Amazon Inspector 環境的涵蓋範圍。

**評估您 AWS 環境的 Amazon Inspector 涵蓋範圍**

1.  使用您的登入資料登入，然後開啟位於 https：//[https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home) 的 Amazon Inspector 主控台。

1.  從導覽窗格中，選擇**帳戶管理**。

1.  若要檢閱涵蓋範圍，請選擇下列其中一個索引標籤：
   +  選擇**帳戶**以檢閱帳戶層級涵蓋範圍。
   +  選擇**執行個體**以檢閱 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的涵蓋範圍。
   +  選擇**容器儲存庫**，以檢閱 Amazon Elastic Container Registry (Amazon ECR) 儲存庫的涵蓋範圍。
   +  選擇**容器映像**以檢視 Amazon ECR 容器映像的涵蓋範圍。
   +  選擇 **Lambda 函數**來檢閱 Lambda 函數的涵蓋範圍。

 下列主題說明每個標籤提供的資訊。

**Topics**
+ [評估帳戶層級涵蓋範圍](#viewing-coverage-accounts)
+ [評估 Amazon EC2 執行個體的涵蓋範圍](#viewing-coverage-instances)
+ [評估 Amazon ECR 儲存庫的涵蓋範圍](#viewing-coverage-repositories)
+ [評估 Amazon ECR 容器映像的涵蓋範圍](#viewing-coverage-images)
+ [評估 AWS Lambda 函數的涵蓋範圍](#viewing-coverage-lambdas)

## 評估帳戶層級涵蓋範圍
<a name="viewing-coverage-accounts"></a>

如果您的帳戶不是組織的一部分，或不是組織的委派 Amazon Inspector 管理員帳戶，**帳戶**索引標籤會提供您的帳戶相關資訊，以及帳戶的資源掃描狀態。在此索引標籤上，您可以啟用或停用您帳戶所有或僅特定類型資源的掃描。如需詳細資訊，請參閱[Amazon Inspector 中的自動掃描類型](scanning-resources.md)。

如果您的帳戶是組織的委派 Amazon Inspector 管理員帳戶，**帳戶**索引標籤會為您組織中的帳戶提供自動啟用設定，並列出組織中的所有帳戶。對於每個帳戶，清單會指出是否已為帳戶啟用 Amazon Inspector，如果是，則會指出為帳戶啟用的資源掃描類型。身為委派管理員，您可以使用此索引標籤來變更組織的自動啟用設定。您也可以啟用或停用個別成員帳戶的特定資源掃描類型。如需詳細資訊，請參閱[啟用成員帳戶的 Amazon Inspector 掃描](adding-member-accounts.md)。

## 評估 Amazon EC2 執行個體的涵蓋範圍
<a name="viewing-coverage-instances"></a>

**執行個體**索引標籤會顯示您 AWS 環境中的 Amazon EC2 執行個體。清單會在下列索引標籤上組織成群組：
+ **全部** – 顯示您環境中的所有執行個體。**狀態**欄指出執行個體目前的掃描狀態。
+ **掃描** – 顯示 Amazon Inspector 在您的環境中主動監控和掃描的所有執行個體。
+ **不掃描** – 顯示 Amazon Inspector 未在環境中監控和掃描的所有執行個體。**原因**欄指出 Amazon Inspector 未監控和掃描執行個體的原因。

  EC2 執行個體可以基於多種原因出現在**「不掃描**」索引標籤上。Amazon Inspector 使用 AWS Systems Manager (SSM) 和 SSM Agent 自動監控和掃描 EC2 執行個體是否有漏洞。如果執行個體沒有執行 SSM 代理程式、沒有支援 Systems Manager 的 AWS Identity and Access Management (IAM) 角色，或未執行支援的作業系統或架構，Amazon Inspector 無法監控和掃描執行個體。如需詳細資訊，請參閱[Amazon EC2 執行個體掃描](scanning-ec2.md)。

在每個索引標籤上，**帳戶**欄會指定擁有執行個體 AWS 帳戶 的 。

 **EC2 執行個體標籤** – 此欄顯示與執行個體相關聯的標籤，可用於判斷您的執行個體是否已從標籤掃描中排除。

**作業系統** – 此欄顯示作業系統類型，可以是 `WINDOWS`、`MAC`、 `LINUX`或 `UNKNOWN`。

**使用 監控** – 此欄顯示 Amazon Inspector 是否在此執行個體上使用[代理程式型](scanning-ec2.md#agent-based)或[無代理](scanning-ec2.md#agentless)程式掃描方法。

**上次掃描** – 當 Amazon Inspector 上次檢查該資源是否有漏洞時，此欄會顯示 。Amazon Inspector 執行掃描的頻率取決於其用來掃描執行個體的掃描方法。

若要檢閱 EC2 執行個體的其他詳細資訊，請選擇 **EC2 執行個體**欄中的連結。然後，Amazon Inspector 會顯示執行個體和執行個體目前調查結果的詳細資訊。若要檢閱問題清單的詳細資訊，請選擇**標題**欄中的連結。如需這些詳細資訊的詳細資訊，請參閱 [檢視 Amazon Inspector 調查結果的詳細資訊](findings-understanding-details.md)。

### 掃描 Amazon EC2 執行個體的狀態值
<a name="reviewing-coverage-status-ec2"></a>

對於 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，可能**的狀態**值為：
+ **主動監控** – Amazon Inspector 會持續監控和掃描執行個體。
+  **超過無代理程式執行個體儲存限制** – 當連接至執行個體的所有磁碟區合併大小大於 1200 GB，或執行個體連接超過 8 個磁碟區時，Amazon Inspector 會使用此狀態。
+  **超過無代理程式執行個體收集時間限制** – Amazon Inspector 在嘗試在執行個體上執行無代理程式掃描時逾時。
+ **EC2 執行個體已停止** – Amazon Inspector 已暫停掃描執行個體，因為執行個體處於已停止狀態。任何現有的問題清單都會持續存在，直到執行個體終止為止。如果執行個體重新啟動，Amazon Inspector 會自動繼續掃描執行個體。
+ **內部錯誤** – Amazon Inspector 嘗試掃描執行個體時發生內部錯誤。Amazon Inspector 會自動解決錯誤，並盡快繼續掃描。
+ **無庫存** – Amazon Inspector 找不到要掃描執行個體的軟體應用程式庫存。執行個體的 Amazon Inspector 關聯可能已刪除，或執行失敗。

  若要修復此問題，請使用 來 AWS Systems Manager 確保`InspectorInventoryCollection-do-not-delete`關聯存在且其關聯狀態成功。此外，使用 AWS Systems Manager Fleet Manager 驗證執行個體的軟體應用程式庫存。
+ **待停用** – Amazon Inspector 已停止掃描執行個體。正在停用執行個體，等待清除任務完成。
+ **等待初始掃描** – Amazon Inspector 已將執行個體排入佇列以進行初始掃描。
+ **資源已終止** – 執行個體已終止。Amazon Inspector 目前正在清除執行個體的現有問題清單和涵蓋範圍資料。
+ **過時的庫存** – Amazon Inspector 無法收集過去 7 天內為執行個體擷取的更新軟體應用程式庫存。

  若要修復此問題，請使用 來 AWS Systems Manager 確保所需的 Amazon Inspector 關聯存在，且正在為執行個體執行。此外，使用 AWS Systems Manager Fleet Manager 驗證執行個體的軟體應用程式庫存。
+ **未受管 EC2 執行個體** – Amazon Inspector 未監控或掃描執行個體。執行個體不是由 管理 AWS Systems Manager。

  若要修復此問題，您可以使用 AWS Systems Manager Automation [https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-troubleshoot-managed-instance.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-troubleshoot-managed-instance.html)提供的 。設定 AWS Systems Manager 管理執行個體之後，Amazon Inspector 會自動開始持續監控和掃描執行個體。
+ **不支援的作業系統** – Amazon Inspector 未監控或掃描執行個體。執行個體使用 Amazon Inspector 不支援的作業系統或架構。如需 Amazon Inspector 支援的作業系統清單，請參閱 [Amazon EC2 執行個體狀態值支援的作業系統：Amazon EC2 掃描](supported.md#supported-os-ec2)。
+ **使用部分錯誤主動監控** – 此狀態表示 EC2 掃描處於作用中狀態，但存在與 相關聯的錯誤[Linux 型 Amazon EC2 執行個體的 Amazon Inspector 深度檢查 Amazon EC2](deep-inspection.md)。可能的深度檢查錯誤包括：
  + **超過深度檢查套件收集限制** – 執行個體已超過 Amazon Inspector 深度檢查的 5000 個套件限制。若要繼續此執行個體的深度檢查，您可以嘗試調整與帳戶相關聯的自訂路徑。
  + **超過深度檢查每日 ssm 庫存限制** – SSM 代理程式無法將庫存傳送至 Amazon Inspector，因為已達到此執行個體*每天每個執行個體收集之庫存資料的* SSM 配額。如需詳細資訊，請參閱 [Amazon EC2 Systems Manager 端點和配額](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
  + **超過深度檢查收集時間限制** – Amazon Inspector 無法擷取套件庫存，因為套件收集時間超過 15 分鐘的最大閾值。
  + **深層檢查沒有庫存** – [Amazon Inspector SSM 外掛程式](https://docs.aws.amazon.com/inspector/latest/user/inspector-ssm-plugin.html)尚未能夠為此執行個體收集套件庫存。這通常是待定掃描的結果，但是，如果此狀態在 6 小時後仍存在，請使用 Amazon EC2 Systems Manager 來確保所需的 Amazon Inspector 關聯存在，並且正在為執行個體執行。如果執行個體缺少必要的 `ssm:PutInventory`和 `ssm:GetParameter`許可，也可能發生此錯誤。如果執行個體具有 IAM 執行個體描述檔，請確認這些許可包含在描述檔中。如果未設定執行個體描述檔，請確認這些許可包含在[預設主機管理組態](https://docs.aws.amazon.com/systems-manager/latest/userguide/managed-instances-default-host-management.html)角色中。

如需設定 EC2 執行個體掃描設定的詳細資訊，請參閱 [Amazon EC2 執行個體掃描](scanning-ec2.md)。

## 評估 Amazon ECR 儲存庫的涵蓋範圍
<a name="viewing-coverage-repositories"></a>

**儲存庫**索引標籤會顯示您 AWS 環境中的 Amazon ECR 儲存庫。清單會在下列索引標籤上組織成群組：
+ **全部** – 顯示您環境中的所有儲存庫。**狀態**欄指出儲存庫目前的掃描狀態。
+ **已啟用** – 顯示 Amazon Inspector 設定為在您的環境中監控和掃描的所有儲存庫。**狀態**欄指出儲存庫目前的掃描狀態。
+ **未啟用** – 顯示 Amazon Inspector 在您環境中未監控和掃描的所有儲存庫。**原因**欄指出 Amazon Inspector 未監控和掃描儲存庫的原因。

在每個索引標籤上，**帳戶**欄會指定擁有儲存庫 AWS 帳戶 的 。

若要檢閱儲存庫的其他詳細資訊，請選擇儲存庫的名稱。然後，Amazon Inspector 會顯示儲存庫中的容器映像清單，以及每個映像的詳細資訊。詳細資訊包括影像標籤、影像摘要和掃描狀態。它們也包含金鑰調查結果統計資料，例如影像的關鍵****調查結果數量。若要向下切入並檢閱問題清單統計資料的支援資料，請選擇影像的影像標籤。

**注意**  
 沒有持續掃描的 Amazon ECR 映像不包含在涵蓋範圍小工具中。

### 掃描 Amazon ECR 儲存庫的狀態值
<a name="reviewing-coverage-status-ecr"></a>

對於 Amazon Elastic Container Registry (Amazon ECR) 儲存庫，可能**的狀態**值為：
+ **已啟用 （持續）** – 對於儲存庫，Amazon Inspector 會持續監控此儲存庫中的映像。儲存庫的增強型掃描設定設定為持續掃描。Amazon Inspector 一開始會在推送新映像時對其進行掃描，並在發佈與該映像相關的新 CVE 時重新掃描映像。在您設定的 Amazon [ ECR 重新掃描期間，Amazon](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html) Amazon Inspector 將繼續監控此儲存庫中的映像。
+ **已啟用 （推送時）** – Amazon Inspector 會在推送新映像時自動掃描儲存庫中的個別容器映像。已針對儲存庫啟用增強型掃描，並設定為在推送時掃描。
+ **存取遭拒** – 不允許 Amazon Inspector 存取儲存庫或儲存庫中的任何容器映像。

  若要修復此問題，請確保儲存庫的 AWS Identity and Access Management (IAM) 政策允許 Amazon Inspector 存取儲存庫。
+ **已停用 （手動）** – Amazon Inspector 不會監控或掃描儲存庫中的任何容器映像。儲存庫的 Amazon ECR 掃描設定設定為基本的手動掃描。

  若要使用 Amazon Inspector 開始掃描儲存庫中的映像，請將儲存庫的掃描設定變更為增強型掃描，然後選擇是否要持續掃描映像，或只在推送新映像時掃描映像。
+ **已啟用 （推送時）** – Amazon Inspector 會在推送新映像時自動掃描儲存庫中的個別容器映像。儲存庫的增強型掃描設定設定為在推送時掃描。
+ **內部錯誤** – Amazon Inspector 嘗試掃描儲存庫時發生內部錯誤。Amazon Inspector 會自動解決錯誤，並盡快恢復掃描。

如需為儲存庫 設定掃描設定的詳細資訊[Amazon ECR 容器映像掃描](scanning-ecr.md)。

## 評估 Amazon ECR 容器映像的涵蓋範圍
<a name="viewing-coverage-images"></a>

**映像**索引標籤會顯示您 AWS 環境中的 Amazon ECR 容器映像。清單會在下列索引標籤上組織成群組：
+ **全部** – 顯示您環境中的所有容器映像。**狀態**欄指出影像目前的掃描狀態。
+ **掃描** – 顯示 Amazon Inspector 設定為在您的環境中監控和掃描的所有容器映像。**狀態**欄指出影像目前的掃描狀態。
+ **不掃描** – 顯示 Amazon Inspector 未在環境中監控和掃描的所有容器映像。**原因**欄指出 Amazon Inspector 未監控和掃描映像的原因。

  容器映像可能會因為多種原因而出現在**未啟用**索引標籤上。映像可能會存放在未啟用 Amazon Inspector 掃描的儲存庫中，或者 Amazon ECR 篩選規則會阻止掃描該儲存庫。或者，未在為 **ECR 重新掃描持續時間**設定的天數內推送或提取映像。如需詳細資訊，請參閱[設定 Amazon ECR 重新掃描持續時間](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_configure_duration_setting_ecr.html)。

在每個索引標籤上，**儲存庫名稱**欄會指定儲存容器映像的儲存庫名稱。**帳戶**欄指定 AWS 帳戶 擁有儲存庫的 。當 Amazon Inspector 上次檢查該資源是否有漏洞時，**上次掃描**的資料欄會顯示 。這可能包括當有問題清單中繼資料的更新、資源的應用程式庫存有更新，或當重新掃描完成以回應新的 CVE 時的檢查。如需詳細資訊，請參閱[Amazon ECR 掃描的掃描行為](scanning-ecr.md#ecr-scan-behavior)。

若要檢閱容器映像的其他詳細資訊，請選擇 **ECR 容器映像**欄中的連結。然後，Amazon Inspector 會顯示影像和影像目前調查結果的詳細資訊。若要檢閱問題清單的詳細資訊，請選擇**標題**欄中的連結。如需這些詳細資訊的詳細資訊，請參閱 [檢視 Amazon Inspector 調查結果的詳細資訊](findings-understanding-details.md)。

### 掃描 Amazon ECR 容器映像的狀態值
<a name="reviewing-coverage-status-ecr-image"></a>

對於 Amazon Elastic Container Registry 容器映像，可能**的狀態**值為：
+ **主動監控 （持續）** – Amazon Inspector 持續監控，並在發佈新的相關 CVE 時對其執行映像和新掃描。每當推送或提取映像時，就會重新整理映像的 Amazon ECR 重新掃描持續時間。儲存映像的儲存庫已啟用增強型掃描，且儲存庫的增強型掃描設定設定為持續掃描。
+ **已啟用 （推送時）** – 每次推送新映像時，Amazon Inspector 會自動掃描映像。針對存放映像的儲存庫啟用增強型掃描，且儲存庫的增強型掃描設定設定為在推送時掃描。
+ **內部錯誤** – Amazon Inspector 嘗試掃描容器映像時發生內部錯誤。Amazon Inspector 會自動解決錯誤，並盡快恢復掃描。
+ **待定初始掃描** – Amazon Inspector 已將映像排入佇列以進行初始掃描。
+ **掃描資格已過期 （持續）** – Amazon Inspector 暫停掃描影像。在您為儲存庫中的映像自動重新掃描指定的期間內，映像尚未更新。您可以推送或提取映像以繼續掃描。
+ **掃描資格已過期 （推送時）** – Amazon Inspector 暫停掃描影像。在您為儲存庫中的映像自動重新掃描指定的期間內，映像尚未更新。您可以推送映像以繼續掃描。
+ **掃描頻率手冊 （手動）** – Amazon Inspector 不會掃描 Amazon ECR 容器映像。存放映像之儲存庫的 Amazon ECR 掃描設定設定為基本的手動掃描。若要使用 Amazon Inspector 開始自動掃描映像，請將儲存庫設定變更為增強型掃描，然後選擇是否要持續掃描映像，或只在推送新映像時才掃描映像。
+ **不支援的作業系統** – Amazon Inspector 未監控或掃描映像。映像是以 Amazon Inspector 不支援的作業系統為基礎，或使用 Amazon Inspector 不支援的媒體類型。

  如需 Amazon Inspector 支援的作業系統清單，請參閱 [支援的作業系統：使用 Amazon Inspector 進行 Amazon ECR 掃描](supported.md#supported-os-ecr)。如需 Amazon Inspector 支援的媒體類型清單，請參閱[支援的媒體類型](scanning-ecr.md#ecr-supported-media)。

如需為儲存庫和映像設定掃描設定的詳細資訊，請參閱 [Amazon ECR 容器映像掃描](scanning-ecr.md)。

## 評估 AWS Lambda 函數的涵蓋範圍
<a name="viewing-coverage-lambdas"></a>

**Lambda** 索引標籤會顯示您 AWS 環境中的 Lambda 函數。此頁面有兩個資料表，一個顯示 Lambda 標準掃描的函數涵蓋範圍詳細資訊，另一個顯示 Lambda 程式碼掃描的函數涵蓋範圍詳細資訊。您可以根據下列索引標籤將函數分組：
+ **全部** – 顯示您環境中的所有 Lambda 函數。**狀態**欄指出 Lambda 函數目前的掃描狀態。
+ **掃描** – 顯示 Amazon Inspector 設定為掃描的 Lambda 函數。**狀態**欄指出每個 Lambda 函數目前的掃描狀態。
+ **不掃描** – 顯示 Amazon Inspector 未設定掃描的 Lambda 函數。**原因**欄指出 Amazon Inspector 未監控和掃描函數的原因。

  Lambda 函數可能會出現在**「不掃描**」索引標籤上，原因有很多。Lambda 函數可能屬於尚未新增至 Amazon Inspector 的帳戶，或篩選規則會阻止掃描此函數。如需詳細資訊，請參閱[Lambda 函數掃描](scanning-lambda.md)。

在每個索引標籤上，**函數名稱**欄會指定 Lambda 函數的名稱。**帳戶**欄指定 AWS 帳戶 擁有函數的 。**執行時間**指定函數的執行時間。**狀態**欄指出每個 Lambda 函數目前的掃描狀態。**資源標籤**會顯示已套用至函數的標籤。當 Amazon Inspector 上次檢查該資源是否有漏洞時，**上次掃描**的資料欄會顯示 。這可能包括當有問題清單中繼資料的更新、資源的應用程式庫存有更新，或當重新掃描完成以回應新的 CVE 時的檢查。如需詳細資訊，請參閱[Lambda 函數掃描的掃描行為](scanning-lambda.md#lambda-scan-behavior)。

### 掃描 AWS Lambda 函數的狀態值
<a name="reviewing-coverage-status-lambda"></a>

對於 Lambda 函數，可能**的狀態**值為：
+ **主動監控** – Amazon Inspector 持續監控和掃描 Lambda 函數。持續掃描包括將新函數推送至儲存庫時的初始掃描，以及在函數更新或發佈新的常見漏洞與暴露 (CVEs) 時自動重新掃描函數。
+ **由標籤排除** – Amazon Inspector 不會掃描此函數，因為它已被標籤排除在掃描之外。
+ **掃描資格已過期** – Amazon Inspector 未監控此函數，因為它自上次調用或更新以來已超過 90 天。
+ **內部錯誤** – Amazon Inspector 嘗試掃描函數時發生內部錯誤。Amazon Inspector 會自動解決錯誤，並盡快恢復掃描。
+ **待定初始掃描** – Amazon Inspector 已將函數排入佇列以進行初始掃描。
+ **不支援** – Lambda 函數具有不支援的執行時間。