亚马逊网络服务常见问题解答

是每个VPC中需要的扫描引擎，或者可以将一个VPC中的扫描引擎路由覆盖许多VPC？

只要它们之间存在连接，单个扫描引擎就可以扫描多个VPC。这通常是用VPC凝视完成的。如果VPC无法互相通信，则必须将扫描引擎部署到每个VPC。

AWS扫描引擎可以用来扫描面向外部的本地资产吗?是否可以路由出去，从外部角度扫描AWS资产的弹性IP ?

不，AWS Marketplace提供的AWS扫描引擎只能扫描与EC2实例相关的私有IP。想要从AWS的引擎扫描外部资产的用户可以将标准分布式扫描引擎部署到其AWS环境中。客户应该确保任何扫描都符合扫描AWS安全测试策略。

是否可以使用扫描引擎AMI根据IP地址对AWS主机发起临时扫描?

不，由于AWS扫描引擎只能通过动态发现导入的资产。如果在AWS环境中安装标准分布式扫描引擎，则可以通过IP地址进行扫描，但不建议使用此标准分布式扫描引擎。AWS中某些资产的IP地址通常会频繁更改，以至于通过IP地址扫描可能导致您无意中扫描组织本身不拥有的资产。

用于对Amazon API进行身份验证的方法有限吗？

安全控制台可以使用由访问密钥和秘密密钥组成的IAM用户凭证与AWS EC2 API进行认证。如果您在AWS帐户内的EC2实例上运行安全控制台，您可以使用IAM用户凭证或IAM角色进行身份验证。如果可能的话，我们建议使用IAM角色，因为密钥会自动旋转。

扫描引擎可以扫描小或微实例吗？

为避免潜在问题，AWS扫描引擎会自动避免扫描以下EC2实例类型：

• .Nano.
• .micro
• 。小的

是否有任何方法可以获得从AWS Marketplace获得的AWS扫描引擎的不同实例大小？

可以，您可以将AWS扫描引擎部署到满足扫描引擎的任何EC2实例大小系统需求。但请注意，AWS通常会释放可能不为扫描引擎的新实例类型。Rapid7通常每次向AWS Marketplace发布更新时，通常会发现新的实例类型。接触Rapid7支持请求添加新的实例大小。

发现连接是否有多少API调用？扫描引擎是否使API称为自己？

发现连接调用以下API资源：

• ec2: DescribeInstances
• ec2: DescribeImages
• ec2: DescribeAddresses
• EC2：DiscumentWorkinterfaces.
• CloudTrail：LookupEvents.
• CloudTrail：dededetrails.

根据发现的资产的数量，它可能对这些API进行多次调用。扫描引擎不会进行任何API调用。

AWS扫描引擎和标准的分布式扫描引擎有什么不同?

AWS Marketplace提供的AWS扫描引擎与标准的分布式扫描引擎有两个不同之处:

• AWS扫描引擎只能扫描由EC2 API返回的资产。这确保只扫描属于您的AWS帐户的资产。
• AWS扫描引擎不会运行任何服务以推广最小可能的攻击面。用户无法将AWS扫描引擎SSH SSH，您无法使用控制台到引擎通信方法配置AWS扫描引擎。如果您需要访问运行AWS扫描引擎的实例，您可以使用SSM代理安全地进行安全。