背景
SecurityHubからの通知が多いので、本格的に対応することを考えました。
Amazon Inspector Lambda code scanning should be enabled This control checks whether Amazon Inspector Lambda code scanning is enabled. For a standalone account, the control fails if Amazon Inspector Lambda code scanning is disabled in the account. In a multi-account environment, the control fails if the delegated Inspector administrator account and all member accounts don’t have Lambda code scanning enabled.
翻訳は以下。
Amazon Inspector Lambda code scanning AWS のセキュリティサービスである Amazon Inspector は、EC2 やコンテナ、さらには AWS Lambda 関数のコードについても脆弱性やセキュリティ上のリスクを検出する機能を持っています。 この中で「Lambda code scanning」は、Lambda 関数のソースコードを解析し、脆弱性や不適切なコードパターンを検知する機能です。
スタンドアロンアカウントの場合 単一のアカウントで運用している場合、Lambda コードスキャンが無効になっているとこのコントロールは「失敗」し、Security Hub に警告が表示されます。
実装できた
以下のコードでInspectorを有効化。
resource "aws_inspector2_enabler" "this" {
account_ids = [data.aws_caller_identity.current.account_id]
resource_types = ["LAMBDA_CODE", "LAMBDA", "ECR", "EC2"]
}
