Amazon Inspector v2 で ECS コンテナインスタンスをスキャンしてみた
アノテーション株式会社の hato です。
Amazon Inspector v2で「Amazon ECS に最適化された Amazon Linux 2 AMI」の ECS コンテナインスタンスをスキャンしてみました。
Amazon ECS に最適化された AMI - Amazon Elastic Container Service
Amazon Inspector v2 について
Amazon Inspector は v1(Amazon Inspector Classic)と v2があるので、ご注意ください。詳細については次のブログが参考になると思います。
やってみた
- Amazon Inspector の有効化
- コンテナインスタンス作成とマネージドノード
- スキャン結果の確認
Amazon Inspector の有効化
Amazon Inspector コンソールから「使用を開始する」を選択します。
「Inspector を有効化」を選択します。
ダッシュボードが表示されることを確認します。
コンテナインスタンス作成とマネージドノード
スキャン対象となるコンテナインスタンスを含む ECS クラスターを作成します。
今回は Amazon Linux 2 の ECS 最適化 AMI を選択しています。
ECS クラスターの作成後、Amazon Inspector コンソールに戻り、「アカウント管理」⇨「インスタンス」の順に選択して、作成したインスタンスのスキャン状況を確認します。
スキャン対象にするには、対象インスタンスが Systems Manager を設定したマネージドノードである必要がありますが、今回作成したコンテナインスタンスは設定(権限)が不足しているので「アンマネージド EC2 インスタンス」と表示されています。
マネージドノードにするため、EC2 インスタンスに追加のアクセス許可を追加します。 EC2 の詳細から IAM ロールを選択して、EC2 インスタンスの IAM ロールを表示します。
「許可の追加」から「ポリシーのアタッチ」を選択します。
AmazonSSMManagedInstanceCoreを選択して「ポリシーをアタッチ」を選択します。
ポリシーを追加後、少し待つと EC2 インスタンスがマネージドノードになり、ステータスが「スキャン」に変化します。
ステータスが変更されない場合は、AWSSupport-TroubleshootManagedInstance Runbook などを使用してトラブルシューティングを行なってください。
なお、今回使用したAmazon Linux 2 の ECS 最適化 AMIは SSM Agent がプリインストールされていますが、 SSM Agent がインストールされていない AMI を使用した場合は、SSM Agent のインストールが必要となります。
スキャン結果の確認
インスタンス IDのリンクをクリックすると、スキャン結果が表示されます。
参考資料
- Amazon Inspector を使用した Amazon EC2 インスタンスのスキャン - Amazon Inspector
- よくある質問 - Amazon Inspector | AWS
- Amazon ECS に最適化された AMI - Amazon Elastic Container Service
- マネージドノード - AWS Systems Manager
- Amazon Inspector の開始方法 - Amazon Inspector
- Linux の EC2 インスタンスで SSM Agent をインストールして設定する - AWS Systems Manager
- Amazon ECS に最適化された Linux 2 AMI に、AWS Systems Manager Agent のプリインストール開始
- 【待望】コンテナデバッグが捗る!ECS-optimized AMIにSSMエージェントがプリインストールされるようになりました | DevelopersIO
アノテーション株式会社について
アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイトをご覧ください。
