AWS Inspectorで特定リソースを検知対象から除外することはできますか
2025.04.25困っていた内容
Inspectorの検知対象リソースを除外することはできますか?
可能な場合はその方法と、Inspector有効化前に実施できるか教えてください。
どう対応すればいいの?
EC2とLambdaに関しては、特定のタグを付与することでInspectorの検知対象から除外することが可能です。
EC2に付与するタグはキーを「InspectorEC2Exclusion」とし、値は任意の値を入力してください。
Lambdaに付与するタグはキーを「InspectorExclusion」とし、値を「LambdaStandardScanning」と入力してください。
ECSに関しては、該当リポジトリの拡張スキャンの設定から継続的スキャンをオフに設定し、フィルターを作成することで除外するリソースを設定可能です。
また、いずれのリソースにおいてもInspector有効化前に設定を実施することで、Inspector有効化後に除外対象のリソースとして登録されます。
やってみた
EC2とLambdaでの除外方法
Inspector有効化前に、それぞれEC2とLambdaを2つずつ、除外タグを付与したリソースとタグを付与しないリソースを用意し、検知対象から除外されるか確認します。
1.「InspectorEC2Exclusion」キーを持つEC2と持たないEC2をそれぞれ作成します。なお、Inspectorで検知対象とするEC2はAWS Systems Managerのマネージドインスタンスである必要があります。
2.「InspectorExclusion」キーと「LambdaStandardScanning」の値を持つLambdaと持たないLambdaを作成します。
3.Inspectorを有効化します。「アカウント管理」のそれぞれのリソースタブから、リソースが検知対象であるか、除外されたリソースであるかを確認することが可能です。
ECRリポジトリでの除外方法
1.「ECR」→「プライベートリポジトリ」→「Features & Settings」に移動します。「スキャン中」の「編集」を選択します。
2.スキャンタイプを「拡張スキャン」とし、継続的スキャンフィルターの「すべてのリポジトリを継続的にスキャンする」のチェックボックスをオフにします。
検知したいリポジトリについては、リポジトリ名を記入してフィルターを追加することで、検知対象とすることが可能です。
3.Inspectorのアカウント管理を確認します。フィルターに追加したリポジトリが検知対象となっており、追加していないリポジトリが自動の継続的スキャンの検知対象から除外されていることが確認できます。
参考情報
