Aviso de fim do suporte: Em 20 de maio de 2026, o suporte para o Amazon Inspector Classic AWS será encerrado. Depois de 20 de maio de 2026, você não poderá mais acessar o console do Amazon Inspector Classic ou os recursos do Amazon Inspector Classic. O Amazon Inspector Classic não está mais disponível para novas contas e contas que não concluíram uma avaliação nos últimos 6 meses. Para todas as outras contas, o acesso permanecerá válido até 20 de maio de 2026, após o qual você não poderá mais acessar o console do Amazon Inspector Classic ou os recursos do Amazon Inspector Classic. Para obter mais informações, consulte Fim do suporte do Amazon Inspector Classic.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Agentes do Amazon Inspector Classic

O agente do Amazon Inspector Classic é uma entidade que coleta informações de pacotes instalados e configuração de software para uma instância da Amazon. EC2 Embora não seja obrigatório em todos os casos, você deve instalar o agente Amazon Inspector Classic em cada uma de suas EC2 instâncias alvo da Amazon para avaliar totalmente sua segurança.

Para obter mais informações sobre como instalar, desinstalar e reinstalar o agente, como verificar se o agente instalado está em execução e como configurar o suporte de proxy do agente, consulte Trabalhar com agentes do Amazon Inspector Classic em sistemas operacionais baseados em Linux e Trabalhar com agentes do Amazon Inspector Classic em sistemas operacionais baseados em Windows.

Privilégios do agente do Amazon Inspector Classic

Você deve ter permissões administrativas ou de raiz para instalar o agente do Amazon Inspector Classic. Em sistemas operacionais baseados em Linux compatíveis, o agente consiste em um executável de modo de usuário que é executado com acesso raiz. Em sistemas operacionais compatíveis baseados em Windows, o agente consiste em um serviço atualizador e um serviço de agente, cada um em execução no modo de usuário com privilégios LocalSystem.

Segurança da rede e do agente do Amazon Inspector Classic

O agente do Amazon Inspector Classic inicia toda a comunicação com o serviço Amazon Inspector Classic. Isso significa que o agente deve ter um caminho de rede de saída para endpoints públicos, para que possa enviar dados de telemetria. Por exemplo, o agente pode se conectar a arsenal.<region>.amazonaws.com e o endpoint pode ser um bucket do Amazon S3 na s3.dualstack.<region>.amazonaws.com. Certifique-se de <region> substituir pela AWS região real em que você está executando o Amazon Inspector Classic. Para obter mais informações, consulte Intervalos de endereço IP da AWS. Como todas as conexões do agente são chamadas de saída estabelecidas, não é necessário abrir portas em seus grupos de segurança para permitir comunicações de entrada para o agente do Amazon Inspector Classic.

O agente se comunica periodicamente com o Amazon Inspector Classic por meio de um canal protegido por TLS, que é autenticado usando AWS a identidade associada à função da instância ou, se nenhuma função for atribuída, com EC2 o documento de metadados da instância. Uma vez autenticado, o agente envia mensagens de pulsação para o serviço e recebe instruções do serviço como resposta. Se uma avaliação tiver sido programada, o agente receberá as instruções para essa avaliação. Essas instruções são arquivos JSON estruturados, e informam o agente para habilitar ou desabilitar sensores específicos pré-configurados no agente. Cada ação da instrução é predefinida no agente. Instruções arbitrárias não podem ser executadas.

Durante uma avaliação, o agente reúne os dados de telemetria do sistema para enviá-los de volta ao Amazon Inspector Classic por meio de um canal protegido por TLS. O agente não faz alterações no sistema do qual ele coleta dados. Após coletar dados de telemetria, o agente envia os dados de volta ao Amazon Inspector Classic para processamento. Além dos dados de telemetria que ele gera, o agente não é capaz de coletar ou transmitir qualquer outro dado sobre o sistema ou os destinos de avaliação. No momento, não há nenhum método exposto para interceptar e examinar os dados de telemetria no agente.

Atualizações do agente do Amazon Inspector Classic

À medida que as atualizações do agente do Amazon Inspector Classic são disponibilizadas, elas são automaticamente obtidas por download do Amazon S3 e aplicadas. Isso também atualiza qualquer dependência necessária. O recurso de atualização automática elimina a necessidade de rastrear e manter manualmente o controle de versão dos agentes que você instalou em suas instâncias. EC2 Todas as atualizações estão sujeitas aos processos auditados de controle de alterações da Amazon para garantir a conformidade com as normas de segurança aplicáveis.

Para garantir ainda mais a segurança do agente, todas as comunicações entre o agente e o site de liberação de atualizações automáticas (S3) são realizadas por meio de uma conexão TLS e o servidor é autenticado. Todos os binários envolvidos no processo de atualização automática são assinados digitalmente e as assinaturas são verificadas pelo atualizador antes da instalação. O processo de atualização automática é executado somente durante os períodos sem avaliação. Se algum erro for detectado, o processo de atualização poderá ser revertido e tentará fazer a atualização novamente. Por fim, o processo de atualização do agente serve para atualizar somente os recursos do agente. Nenhuma de suas informações específicas é enviada do agente para o Amazon Inspector Classic como parte do fluxo de trabalho de atualização. A única informação comunicada como parte do processo de atualização é a telemetria básica de sucesso ou falha da instalação e, se aplicável, informações de diagnóstico de falha da atualização.

Ciclo de vida dos dados de telemetria

Os dados de telemetria que são gerados pelo agente do Amazon Inspector Classic durante execuções de avaliação são formatados em arquivos JSON. Os arquivos são entregues via TLS para near-real-time o Amazon Inspector Classic, onde são criptografados com per-assessment-run uma chave efêmera derivada do KMS. Os arquivos são armazenados com segurança em um bucket do Amazon S3 dedicado ao Amazon Inspector Classic. O mecanismo de regras do Amazon Inspector Classic acessa os dados de telemetria criptografados no bucket do S3, descriptografa os dados na memória e os processa com base nas regras de avaliação configuradas para gerar descobertas. Os dados de telemetria que são armazenados no S3 são retidos somente para permitir a assistência a solicitações de suporte. Eles não são usados ou agregados pela Amazon para qualquer outra finalidade. Após 30 dias, os dados de telemetria são excluídos permanentemente de acordo com a política de ciclo de vida padrão de um bucket do S3 para dados do Amazon Inspector Classic. No momento, o Amazon Inspector Classic não fornece uma API ou um mecanismo de acesso ao bucket do S3 para a telemetria coletada.

Controle de acesso do Amazon Inspector Classic em contas AWS

Como um serviço de segurança, o Amazon Inspector Classic acessa suas AWS contas e recursos somente quando precisa encontrar EC2 instâncias para avaliar, consultando tags. Isso é feito por meio do acesso padrão do IAM pela função criada durante a configuração inicial do serviço Amazon Inspector Classic. Durante uma avaliação, todas as comunicações com seu ambiente são iniciadas pelo agente Amazon Inspector Classic que é instalado localmente nas EC2 instâncias. Os objetos do serviço Amazon Inspector Classic que são criados, como os destinos de avaliação, os modelos de avaliação e as descobertas geradas pelo serviço, são armazenados em um banco de dados gerenciado pelo Amazon Inspector Classic e acessível somente por ele.

Limites do agente do Amazon Inspector Classic

Para obter mais informações sobre os limites do agente do Amazon Inspector Classic, consulte Limites do serviço do Amazon Inspector Classic.