はじめに
Inspectorのテストをすることがあったので、イベントを起こす方法を書いていく。
以下のパターンが対象
- EC2 Package Vulnerability
- EC2 Network Rearchability
- ECR Package Vulnerability
- Lambda Package Vulnerability
- Lambda Code Vulnerability
EC2 Package Vulnerability
EC2を「Microsoft Windows Server 2022 Base」のAMIを使ってたてる。
この際、マネージドインスタンスにすることを忘れないこと。
EC2 Network Rearchability
EC2のSGでインバウンドを全て開放する
ECR Package Vulnerability
以下のブログの記事に乗っ取ってコマンドを実行していく。
すでにECRでリポジトリを「test」で作っている前提。CloudShellで実行できるよ。
Amazon Inspector を使用した Amazon ECR プライベートレジストリでのコンテナスキャンの更新
bash
docker pull public.ecr.aws/docker/library/neo4j:4.4.0
docker tag test:latest <testリポジトリ>
docker tag public.ecr.aws/docker/library/neo4j:4.4.0 <testリポジトリ>
aws ecr get-login-password --region ap-northeast-1 | docker login --username AWS --password-stdin <testリポジトリ>
docker push <testリポジトリ>
Lambda Package Vulnerability & Lambda Code Vulnerability
以下のブログ記事を参考
[アップデート] Amazon Inspector で AWS Lambda コードスキャンがプレビュー利用出来るようになりました
古いrequestsのレイヤーを作る必要があるので、作り方をのせておく。
pythonフォルダをzip化してね。
powershell
mkdir python
cd python
pip install requests==2.20.0 -t.
ちょっとしたtips
Inspectorは任意のタイミングでスキャンを実行することは出来ないので、もし急いでいる場合はスキャンを非アクティブ化→アクティブ化で強制的に動かすことが可能だよ
おわりに
Inspectorを動かしている系の記事が少なく、今回記事にしてみました。
ニッチofニッチな記事ですが、誰かの助けになれば幸いです。