Agents Amazon Inspector Classic - Amazon Inspector Classic

Avis de fin de support : le 20 mai 2026, le support d'Amazon Inspector Classic AWS prendra fin. Après le 20 mai 2026, vous ne pourrez plus accéder à la console Amazon Inspector Classic ni aux ressources Amazon Inspector Classic. Amazon Inspector Classic n'est plus disponible pour les nouveaux comptes et les comptes qui n'ont pas fait l'objet d'une évaluation au cours des 6 derniers mois. Pour tous les autres comptes, l'accès restera valide jusqu'au 20 mai 2026, après quoi vous ne pourrez plus accéder à la console Amazon Inspector Classic ni aux ressources Amazon Inspector Classic. Pour plus d'informations, consultez la page de fin de support d'Amazon Inspector Classic.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Agents Amazon Inspector Classic

L'agent Amazon Inspector Classic est une entité qui collecte les informations relatives au package installé et à la configuration logicielle d'une EC2 instance Amazon. Bien que cela ne soit pas obligatoire dans tous les cas, vous devez installer l'agent Amazon Inspector Classic sur chacune de vos EC2 instances Amazon cibles afin d'évaluer pleinement leur sécurité.

Pour plus d'informations sur l'installation, la désinstallation et la réinstallation de l'agent, et pour savoir comment vérifier si l'agent installé est en cours d'exécution et comment configurer la prise en charge du proxy pour l'agent, consultez Utilisation des agents Amazon Inspector Classic sur des systèmes d'exploitation basés sur Linux et Utilisation des agents Amazon Inspector Classic sur les systèmes d'exploitation Windows.

Note

Un agent Amazon Inspector Classic n'est pas nécessaire pour exécuter le package de règles d'accessibilité réseau.

Important

L'agent Amazon Inspector Classic s'appuie sur les métadonnées de l' EC2 instance Amazon pour fonctionner correctement. Il accède aux métadonnées de l'instance à l'aide de la version 1 ou de la version 2 du service de métadonnées d'instance (IMDSv1 ou IMDSv2). Consultez la section Métadonnées d'instance et données utilisateur pour en savoir plus sur les métadonnées d' EC2 instance et les méthodes d'accès.

Privilèges d'agent Amazon Inspector Classic

Vous devez disposer d'autorisations administratives ou root pour installer l'agent Amazon Inspector Classic. Sur les systèmes d'exploitation Linux pris en charge, l'agent se compose d'un exécutable en mode utilisateur qui s'exécute avec un accès racine. Sur les systèmes d'exploitation Windows pris en charge, l'agent se compose d'un service de mise à jour et d'un service d'agent, qui s'exécutent chacun en mode utilisateur avec les privilèges LocalSystem.

Sécurité du réseau et des agents Amazon Inspector Classic

L'agent Amazon Inspector Classic initie toutes les communications avec le service Amazon Inspector Classic. Cela signifie que l'agent doit avoir un chemin réseau sortant vers des points de terminaison publics afin de pouvoir envoyer des données télémétriques. Par exemple, l'agent peut se connecter àarsenal.<region>.amazonaws.com, ou le point de terminaison peut être un compartiment Amazon S3 situé surs3.dualstack.<region>.amazonaws.com. Assurez-vous de le remplacer <region> par la AWS région dans laquelle vous exécutez Amazon Inspector Classic. Pour plus d'informations, consultez Plages d'adresses IP AWS. Comme toutes les connexions provenant de l'agent sont établies en sortie, il n'est pas nécessaire d'ouvrir des ports dans vos groupes de sécurité pour autoriser les communications entrantes avec l'agent depuis Amazon Inspector Classic.

L'agent communique régulièrement avec Amazon Inspector Classic via un canal protégé par TLS, qui est authentifié en utilisant soit l' AWS identité associée au rôle de l' EC2 instance, soit, si aucun rôle n'est attribué, avec le document de métadonnées de l'instance. Une fois authentifié, l'agent envoie des messages de pulsation au service et reçoit des instructions du service en réponse. Si une évaluation a été planifiée, l'agent reçoit les instructions la concernant. Ces instructions sont des fichiers JSON structurés, qui indiquent à l'agent d'activer ou désactiver des capteurs préconfigurés spécifiques dans l'agent. Chaque action d'instruction est prédéfinie au sein de l'agent. Les instructions arbitraires ne peuvent pas être exécutées.

Au cours d'une évaluation, l'agent collecte les données de télémétrie du système pour les renvoyer à Amazon Inspector Classic via un canal protégé par TLS. L'agent n'apporte aucune modification au système à partir duquel il collecte les données. Une fois que l'agent a collecté les données de télémétrie, il les renvoie à Amazon Inspector Classic pour traitement. Au-delà des données télémétriques qu'il génère, l'agent n'est pas capable de collecter ni de transmettre d'autres données sur le système ou les objectifs d'évaluation qu'il évalue. À l'heure actuelle, il n'existe aucune méthode exposée pour intercepter et étudier les données télémétriques au niveau de l'agent.

Mises à jour des agents Amazon Inspector Classic

Dès que les mises à jour de l'agent Amazon Inspector Classic sont disponibles, elles sont automatiquement téléchargées depuis Amazon S3 et appliquées. Cela permet également de mettre à jour toutes les dépendances nécessaires. La fonctionnalité de mise à jour automatique vous évite d'avoir à suivre et à gérer manuellement le versionnement des agents que vous avez installés sur vos EC2 instances. Toutes les mises à jour sont soumises à des processus de contrôle des modifications Amazon audités afin de garantir la conformité aux normes de sécurité applicables.

Afin de garantir la sécurité de l'agent, toutes les communications entre l'agent et le site de publication des mises à jour automatiques (S3) sont effectuées via une connexion TLS, et le serveur est authentifié. Tous les fichiers binaires impliqués dans le processus de mise à jour automatique sont signés numériquement et les signatures sont vérifiées par le programme de mise à jour avant l'installation. Le processus de mise à jour automatique est exécuté uniquement en dehors des périodes d'évaluation. Si des erreurs sont détectées, le processus de mise à jour peut effectuer une restauration et retenter la mise à jour. Enfin, le processus de mise à jour de l'agent sert uniquement à mettre à niveau les fonctionnalités de l'agent. Aucune de vos informations spécifiques n'est jamais envoyée par l'agent à Amazon Inspector Classic dans le cadre du flux de mise à jour. Les seules informations communiquées dans le cadre du processus de mise à jour sont les données télémétriques de réussite ou d'échec de l'installation de base et, le cas échéant, les informations de diagnostic de l'échec de la mise à jour.

Cycle de vie des données télémétriques

Les données de télémétrie générées par l'agent Amazon Inspector Classic lors des tests d'évaluation sont formatées dans des fichiers JSON. Les fichiers sont transmis near-real-time via TLS à Amazon Inspector Classic, où ils sont chiffrés à l'aide d'une clé éphémère per-assessment-run dérivée du KMS. Les fichiers sont stockés en toute sécurité dans un compartiment Amazon S3 dédié à Amazon Inspector Classic. Le moteur de règles d'Amazon Inspector Classic accède aux données de télémétrie chiffrées du compartiment S3, les déchiffre en mémoire et traite les données en fonction des règles d'évaluation configurées pour générer des résultats. Les données télémétriques qui sont stockées dans S3 sont conservées uniquement pour permettre l'assistance en cas de demandes de support. Elles ne sont pas utilisées ni regroupées par Amazon à d'autres fins. Après 30 jours, les données de télémétrie sont définitivement supprimées conformément à une politique de cycle de vie des compartiments S3 standard pour les données Amazon Inspector Classic. À l'heure actuelle, Amazon Inspector Classic ne fournit pas d'API ni de mécanisme d'accès au compartiment S3 pour la télémétrie collectée.

Contrôle d'accès aux AWS comptes depuis Amazon Inspector Classic

En tant que service de sécurité, Amazon Inspector Classic accède à vos AWS comptes et à vos ressources uniquement lorsqu'il a besoin de trouver des EC2 instances à évaluer en demandant des balises. Pour ce faire, il utilise un accès IAM standard via le rôle créé lors de la configuration initiale du service Amazon Inspector Classic. Au cours d'une évaluation, toutes les communications avec votre environnement sont initiées par l'agent Amazon Inspector Classic installé localement sur les EC2 instances. Les objets de service Amazon Inspector Classic créés, tels que les cibles d'évaluation, les modèles d'évaluation et les résultats générés par le service, sont stockés dans une base de données gérée par Amazon Inspector Classic et accessible uniquement à celui-ci.

Limites relatives aux agents Amazon Inspector Classic

Pour plus d'informations sur les limites des agents Amazon Inspector Classic, consultezLimites de service Amazon Inspector Classic.