本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Amazon Inspector 針對 Linux 型 Amazon EC2執行個體進行深入檢查

Amazon Inspector 擴展 Amazon EC2掃描涵蓋範圍，以包含深度檢查。透過深度檢查，Amazon Inspector 會偵測 Linux 型 Amazon EC2執行個體中應用程式程式設計語言套件的套件漏洞。Amazon Inspector 會掃描程式設計語言套件程式庫的預設路徑。不過，除了 Amazon Inspector 預設掃描的路徑之外，您還可以設定自訂路徑。

為了對 Linux 型 Amazon EC2執行個體執行深度檢查掃描，Amazon Inspector 會使用透過 Amazon Inspector SSM外掛程式收集的資料。若要管理 Amazon Inspector SSM外掛程式並執行 Linux 的深度檢查，Amazon Inspector 會自動在您的帳戶InvokeInspectorLinuxSsmPlugin-do-not-delete中建立SSM關聯。Amazon Inspector 每 6 小時從您的 Linux 型 Amazon EC2執行個體收集更新的應用程式庫存。

本節說明如何管理 Amazon 執行個體的 Amazon Inspector 深度檢查，包括如何設定 Amazon Inspector 掃描的自訂路徑。 EC2

存取或停用深度檢查

您可以使用 GetEc2DeepInspectionConfiguration 以程式設計方式檢查單一帳戶的啟用狀態API。您可以使用 ，以程式設計方式檢查多個帳戶的啟用狀態 BatchGetMemberEc2DeepInspectionStatus API.

如果您在 2023 年 4 月 17 日之前啟用 Amazon Inspector，您可以透過主控台橫幅或 UpdateEc2DeepInspectionConfiguration API。如果您是 Amazon Inspector 中組織的委派管理員，您可以使用 BatchUpdateMemberEc2DeepInspectionStatus API 啟用您自己和成員帳戶的深度檢查。

您可以透過 停用深度檢查 UpdateEc2DeepInspectionConfiguration API。組織中的成員帳戶無法停用深度檢查。相反地，成員帳戶必須由其委派管理員使用 來停用 BatchUpdateMemberEc2DeepInspectionStatus API.

關於 Linux 的 Amazon Inspector SSM 外掛程式

Amazon Inspector 使用 Amazon Inspector SSM 外掛程式，對 Linux 執行個體執行深入檢查。Amazon Inspector SSM外掛程式會自動安裝在 /opt/aws/inspector/bin目錄中的 Linux 執行個體上。可執行檔的名稱為 inspectorssmplugin。

Amazon Inspector 使用 Systems Manager Distributor 在您的執行個體上部署外掛程式。若要執行深層檢查掃描，Systems Manager Distributor 和 Amazon Inspector 必須支援您的 Amazon EC2執行個體作業系統。如需有關 Systems Manager Distributor 支援的作業系統的資訊，請參閱 AWS Systems Manager 使用者指南 中的支援套件平台和架構。

Amazon Inspector 會建立下列檔案目錄，以管理 Amazon Inspector SSM外掛程式為深入檢查所收集的資料：

Amazon Inspector 會將外掛程式的日誌儲存在 /var/log/amazon/inspector目錄中。

解除安裝 Amazon Inspector SSM外掛程式

如果不小心刪除inspectorssmplugin檔案，SSM關聯InspectorLinuxDistributor-do-not-delete會嘗試在下次掃描間隔重新安裝inspectorssmplugin檔案。

如果您停用 Amazon EC2掃描，外掛程式會自動從所有 Linux 主機解除安裝。

Amazon Inspector 深度檢查的自訂路徑

您可以為 Amazon Inspector 設定自訂路徑，以便在 Linux Amazon EC2執行個體的深度檢查期間進行掃描。當您設定自訂路徑時，Amazon Inspector 會掃描該目錄中的套件及其中的所有子目錄。

所有帳戶最多可定義 5 個自訂路徑。組織的委派管理員可以定義 10 個自訂路徑。

除了下列預設路徑之外，Amazon Inspector 還會掃描所有自訂路徑，Amazon Inspector 會掃描所有帳戶：

格式化自訂路徑

自訂路徑不能超過 256 個字元。以下是自訂路徑的外觀的檢查複本：

路徑範例

/home/usr1/project01

在 Amazon Inspector 主控台和 Amazon Inspector 中設定自訂路徑 API

下列程序說明如何在 Amazon Inspector 主控台和 Amazon Inspector 中設定 Amazon Inspector Amazon Inspector 深度檢查的自訂路徑API。設定自訂路徑後，Amazon Inspector 會在下次深度檢查中包含路徑。

Console

1. 以委派管理員 AWS Management Console 身分登入 ，並在 https://console.aws.amazon.com/inspector/v2/home 開啟 Amazon Inspector 主控台

2. 使用 AWS 區域 選取器選擇您要啟用 Lambda 標準掃描的區域。

3. 從導覽窗格中，選擇一般設定 ，然後選擇EC2掃描設定 。

4. 在您自己的帳戶的自訂路徑 下，選擇編輯 。

5. 在路徑文字方塊中，輸入您的自訂路徑。

6. 選擇 Save (儲存)。

API

執行 UpdateEc2DeepInspectionConfiguration 命令。對於 packagePaths 指定要掃描的路徑陣列。

Amazon Inspector 深度檢查的自訂排程

依預設，Amazon Inspector 每 6 小時從 Amazon EC2執行個體收集一次應用程式庫存。不過，您可以執行下列命令來控制 Amazon Inspector 執行此作業的頻率。

範例命令 1：列出要檢視關聯 ID 和目前間隔的關聯

下列命令顯示關聯 的關聯 IDInvokeInspectorLinuxSsmPlugin-do-not-delete。

aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region

範例命令 2：更新關聯以包含新的間隔

下列命令會使用關聯 的關聯 IDInvokeInspectorLinuxSsmPlugin-do-not-delete。您可以設定 的速率，schedule-expression從 6 小時到新的間隔，例如 12 小時。

aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region

支援的程式設計語言

對於 Linux 執行個體，Amazon Inspector 深度檢查可以產生應用程式程式設計語言套件和作業系統套件的調查結果。

對於 Mac 和 Windows 執行個體，Amazon Inspector 深度檢查只能產生作業系統套件的調查結果。

如需支援程式設計語言的詳細資訊，請參閱支援的程式設計語言：Amazon EC2 Deep inspection 。