Amazon Inspector のスキャンステータスを EC2 インスタンスごとに確認する方法を教えてください
2024.10.31困っていた内容
Inspector のスキャンが成功しているかを知るために、スキャンステータスを EC2 インスタンスごとに確認したいです。
方法を教えてください。
どう対応すればいいの?
マネジメントコンソール/ AWS CLI のそれぞれから確認することが可能です。
マネジメントコンソール:
Inspector > アカウント管理 > インスタンス > ステータス
AWS CLI:
aws inspector2 list-coverageコマンドの実行
以下、各方法ごとに詳細な手順をご案内します。
マネジメントコンソール
Inspector のマネジメントコンソール画面の左ペインより、
"アカウント管理"(もしくは "Resources coverage")を選択します。
"インスタンス" の項目を選択します。
EC2 インスタンスごとにスキャン情報が表示されます。
"ステータス" に表示されているのが、対象 EC2 インスタンスのスキャンステータスです。
AWS CLI
aws inspector2 list-coverageコマンドの実行結果から確認可能です。
"scanStatus" が、対象 EC2 インスタンスのスキャンステータスとなります。
# コマンド例
$ aws inspector2 list-coverage --filter-criteria '{"resourceId": [{"comparison": "EQUALS", "value": "<インスタンス ID>"}]}'
# 結果例
{
"coveredResources": [
{
"accountId": "XXXXXXXXXXXX",
"lastScannedAt": "YYYY-MM-DDTHH:MM:SS+00:00",
"resourceId": "i-XXXXXXXXXXXXXXXXX",
"resourceMetadata": {
"ec2": {
"amiId": "ami-XXXXXXXXXXXXXXXXX",
"platform": "LINUX",
"tags": {
"Name": "ec2-test"
}
}
},
"resourceType": "AWS_EC2_INSTANCE",
"scanMode": "EC2_SSM_AGENT_BASED",
"scanStatus": {
"reason": "EC2_INSTANCE_STOPPED",
"statusCode": "INACTIVE"
},
"scanType": "PACKAGE"
}
]
}
上記の例では、EC2 インスタンスが停止しているため、ステータスが "INACTIVE" であることがわかります。
表示されるステータスの一覧については、下記ドキュメントをご参照ください。
AWS 環境の Amazon Inspector カバレッジの評価 - Amazon Inspector
参考資料
Amazon Inspector を使用した Amazon EC2インスタンスのスキャン - Amazon Inspector
ListCoverage - Inspector
AWS 環境の Amazon Inspector カバレッジの評価 - Amazon Inspector
![【Security Hub修復手順】[Inspector.1]Amazon Inspector EC2スキャンを有効にする必要があります](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
