Amazon Inspector のスキャンから特定の AWS リソースを除外する方法を教えてください。

解決策

特定の AWS リソースのスキャンを除外するように Amazon Inspector を設定できます。たとえば、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、AWS Lambda 関数、または Amazon Elastic Container Registry (Amazon ECR) リポジトリからのスキャンを除外できます。

特定の EC2 インスタンスをスキャンから除外する

Amazon Inspector のスキャンから EC2 インスタンスを除外するには、以下の手順に従って、インスタンスに InspectorEc2Exclusion というタグキーをタグ付けします。

1. Amazon EC2 コンソールを開きます。
2. ナビゲーションペインで [インスタンス] を選択し、インスタンス ID を選択します。
3. [タグ] タブ、[タグの管理] の順番に選択し、[新しいタグを追加] を選択します。
4. [キー名] フィールドに、キーの名前を入力します。
5. [キーを入力] フィールドに InspectorEC2Exclusion と入力し、[保存] を選択します。

特定の Lambda 関数をスキャンから除外する

Amazon Inspector のスキャンから Lambda 関数を除外するには、次の手順を実行し、関数にキータグ InspectorExclusion および、値 LambdaStandardScanning または LambdaCodeScanning をタグ付けします。

Lambda 標準スキャンから関数を除外する

1. Lambda コンソールを開きます。
2. ナビゲーションペインで [関数] を選択し、関数名を選択します。
3. [構成] タブを選択し、[一般構成] で [タグ] を選択します。
4. [タグの管理]、[新しいタグを追加] の順番に選択します。
5. [キー] フィールドに InspectorExclusion と入力し、[値] フィールドに LambdaStandardScanning と入力したら、[保存] を選択します。

Lambda コードスキャンから関数を除外する

1. Lambda コンソールを開きます。
2. ナビゲーションペインで [関数] を選択し、関数名を選択します。
3. [構成] タブを選択し、[一般構成] で [タグ] を選択します。
4. [タグの管理]、[新しいタグを追加] の順番に選択します。
5. [キー] フィールドに InspectorCodeExclusion と入力し、[値] フィールドに LambdaCodeScanning と入力した後、[保存] を選択します。

特定の Amazon ECR リポジトリをスキャンから除外する

Amazon Inspector のスキャンから ECR リポジトリを除外するには、次の手順に従って拡張スキャンを使用します。

1. Amazon ECR コンソールを開きます。
2. ナビゲーションペインで、[プライベートレジストリ] を展開し、[設定] を選択します。
3. [スキャン] で [編集]、[拡張スキャン] の順番に選択します。
4. [継続スキャンフィルター] で、[すべてのリポジトリを継続的にスキャンする] チェックボックスをオフにします。
5. [継続スキャンフィルター] または [プッシュフィルターのスキャン] にリポジトリの名前を入力し、[フィルターの追加] を選択します。
6. [拡張スキャンには追加費用が発生することを理解しています] チェックボックスをオンにしたら、[保存] を選択します。

注: Amazon Inspector はリポジトリレベルで ECR スキャンを実行します。イメージスキャンの場合は、イメージを複数のリポジトリに分割するのがベストプラクティスです。詳細については、「Amazon Inspector で Amazon ECR コンテナイメージをスキャンする」を参照してください。

関連情報

Amazon Inspector Classicを設定して、Amazon EC2 インスタンスでセキュリティ評価を実行する方法を教えてください