{Inspector}Getting started with Amazon Inspector

AWS

 

https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html
https://www.softek.co.jp/SID/blog/archive/entry/20211207.html
https://dev.classmethod.jp/articles/amazon-inspector-v2-released/

 


Amazon Inspector requires that the AWS Systems Manager (SSM) agent be installed and enabled

有効化するだけで自動でスキャン


スキャンされるタイミング
・As soon as the EC2 instance is discovered by Amazon Inspector
・When you launch a new instance
・When you install new software on an existing instance
・When Amazon Inspector adds a new common vulnerabilities and exposures (CVE) item to its database

 


-- 1. コマンド等のインストール

-- 1.1 aws cli version 2 インストール

curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install
aws --version

-- 1.2 jqインストール
sudo yum -y install jq


-- 2. Amazon Inspectorの有効化

aws inspector2 enable \
--resource-types EC2

 


-- 3. EC2用IAMロール作成
vim role01.json

{
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": "ec2.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
      }
    ]
}

 

aws iam create-role \
--role-name role01 \
--assume-role-policy-document file://role01.json


-- 4. ポリシーをロールにアタッチ

aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore \
--role-name role01

 

-- 5. インスタンスプロファイルを作成

aws iam create-instance-profile --instance-profile-name profile01

aws iam list-instance-profiles | grep InstanceProfileName


-- 6. インスタンスプロファイルにロールを追加

aws iam add-role-to-instance-profile --instance-profile-name profile01 --role-name role01

aws iam list-instance-profiles-for-role --role-name role01

 


-- 7. EC2インスタンス起動

 

aws ec2 run-instances \
--image-id ami-0404778e217f54308 \
--instance-type t3.nano \
--key-name key1 \
--tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=instance01}]' \
--iam-instance-profile Name="profile01"

 

 

aws ec2 describe-instances


-- 8. 結果の確認

aws inspector2 list-coverage


aws inspector2 list-finding-aggregations \
--aggregation-type AWS_EC2_INSTANCE

aws inspector2 list-findings

 

 

-- 9. 動作確認

instance01にログインしてパッケージを更新

sudo yum -y update


1時間程度待っていたら更新された

 

 

-- 10. クリーンアップ

 

-- EC2インスタンスの削除

aws ec2 describe-instances

aws ec2 terminate-instances --instance-ids i-11111111111111111


-- インスタンスプロファイルの削除

aws iam remove-role-from-instance-profile --instance-profile-name profile01 --role-name role01


aws iam delete-instance-profile --instance-profile-name profile01

aws iam list-instance-profiles | grep InstanceProfileName

 

-- EC2用IAMロールの削除
aws iam list-roles | grep role01

aws iam detach-role-policy \
--role-name role01 \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

aws iam delete-role --role-name role01

 

-- Amazon Inspectorの無効化

aws inspector2 disable