Amazon Inspector で特定の CVE を一時的に検出対象から除外したいときに「抑制ルール」を活用できる👌
Terraform AWS Provider 以外の選択肢
しかし最近までは Terraform AWS Provider で「Amazon Inspector 抑制ルール」を設定することができず,以下の選択肢から設定することが多かった.
- マネジメントコンソール
- AWS CLI
- AWS CloudFormation
- Terraform AWS Cloud Control Provider (awscc)
AWS CLI と awscc で設定する例は過去にブログにまとめた📝
Terraform AWS Provider v5.98.0
2025年5月16日にリリースされた Terraform AWS Provider v5.98.0 で待望の aws_inspector2_filter リソースが実装された🎉
👾 inspector.tf
aws_inspector2_filter リソースを使って CVE の抑制を実装してみた❗️サンプルとして Amazon Linux 2023 Security Advisories に載っている CVE を適当にピックアップした.
resource "aws_inspector2_filter" "suppression" { name = "cve-suppression" action = "SUPPRESS" filter_criteria { vulnerability_id { comparison = "EQUALS" value = "CVE-2025-23244" } vulnerability_id { comparison = "EQUALS" value = "CVE-2022-46908" } vulnerability_id { comparison = "EQUALS" value = "CVE-2024-47554" } } }
apply 確認
期待通り👌
まとめ
今後は Terraform AWS Provider の aws_inspector2_filter リソースを積極的に使っていくぞ〜💪
