Amazon Inspector のスキャンステータスを EC2 インスタンスごとに確認する方法を教えてください

Amazon Inspector のスキャンステータスを EC2 インスタンスごとに確認する方法を教えてください

Clock Icon2024.10.31

困っていた内容

Inspector のスキャンが成功しているかを知るために、スキャンステータスを EC2 インスタンスごとに確認したいです。
方法を教えてください。

どう対応すればいいの?

マネジメントコンソール/ AWS CLI のそれぞれから確認することが可能です。

マネジメントコンソール:
Inspector > アカウント管理 > インスタンス > ステータス

AWS CLI:
aws inspector2 list-coverageコマンドの実行

以下、各方法ごとに詳細な手順をご案内します。

マネジメントコンソール

Inspector のマネジメントコンソール画面の左ペインより、
"アカウント管理"(もしくは "Resources coverage")を選択します。
"インスタンス" の項目を選択します。
EC2 インスタンスごとにスキャン情報が表示されます。
"ステータス" に表示されているのが、対象 EC2 インスタンスのスキャンステータスです。

inspector_status

AWS CLI

aws inspector2 list-coverageコマンドの実行結果から確認可能です。
"scanStatus" が、対象 EC2 インスタンスのスキャンステータスとなります。

# コマンド例
$ aws inspector2 list-coverage --filter-criteria '{"resourceId": [{"comparison": "EQUALS", "value": "<インスタンス ID>"}]}'
# 結果例
{
    "coveredResources": [
        {
            "accountId": "XXXXXXXXXXXX",
            "lastScannedAt": "YYYY-MM-DDTHH:MM:SS+00:00",
            "resourceId": "i-XXXXXXXXXXXXXXXXX",
            "resourceMetadata": {
                "ec2": {
                    "amiId": "ami-XXXXXXXXXXXXXXXXX",
                    "platform": "LINUX",
                    "tags": {
                        "Name": "ec2-test"
                    }
                }
            },
            "resourceType": "AWS_EC2_INSTANCE",
            "scanMode": "EC2_SSM_AGENT_BASED",
            "scanStatus": {
                "reason": "EC2_INSTANCE_STOPPED",
                "statusCode": "INACTIVE"
            },
            "scanType": "PACKAGE"
        }
    ]
}

上記の例では、EC2 インスタンスが停止しているため、ステータスが "INACTIVE" であることがわかります。
表示されるステータスの一覧については、下記ドキュメントをご参照ください。

AWS 環境の Amazon Inspector カバレッジの評価 - Amazon Inspector

参考資料

Amazon Inspector を使用した Amazon EC2インスタンスのスキャン - Amazon Inspector
ListCoverage - Inspector
AWS 環境の Amazon Inspector カバレッジの評価 - Amazon Inspector

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.