支援結束通知:2026 年 5 月 20 日, AWS 將結束對 Amazon Inspector Classic 的支援。2026 年 5 月 20 日之後,您將無法再存取 Amazon Inspector Classic 主控台或 Amazon Inspector Classic 資源。Amazon Inspector Classic 不再提供給過去 6 個月內未完成評估的新帳戶和帳戶。對於所有其他帳戶,存取將持續有效至 2026 年 5 月 20 日,之後您將無法再存取 Amazon Inspector Classic 主控台或 Amazon Inspector Classic 資源。如需詳細資訊,請參閱 Amazon Inspector Classic 終止支援。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Inspector Classic 代理程式
Amazon Inspector Classic 代理程式是收集 Amazon EC2 執行個體已安裝套件資訊和軟體組態的實體。雖然並非所有情況都需要,但您應該在每個目標 Amazon EC2 執行個體上安裝 Amazon Inspector Classic 代理程式,以便完整評估其安全性。 Amazon EC2
如需進一步了解如何安裝、解除安裝、重新安裝代理程式、確認已安裝代理程式是否運作,以及設定代理程式的 Proxy 支援,請參閱在 Linux 作業系統上使用 Amazon Inspector Classic 代理程式 和 在 Windows 作業系統上使用 Amazon Inspector Classic 代理程式。
注意
執行 Network Reachability 規則套件不需要 Amazon Inspector Classic 代理程式。
重要
Amazon Inspector Classic 代理程式依賴 Amazon EC2 執行個體中繼資料來正確運作。它使用執行個體中繼資料服務 (IMDSv1 或 IMDSv2) 的第 1 版或第 2 版存取執行個體中繼資料。請參閱執行個體中繼資料和使用者資料,以進一步了解 EC2 執行個體中繼資料和存取方法。
主題
Amazon Inspector Classic 代理程式權限
您必須具有管理或根許可,才能安裝 Amazon Inspector Classic 代理程式。在支援的 Linux 作業系統上,代理程式是由以根存取權執行的使用者模式執行檔所組成。在支援的 Windows 作業系統上,代理程式是由更新程式服務和代理程式服務所組成,兩者都在使用者模式中以 LocalSystem 許可執行。
網路和 Amazon Inspector Classic 代理程式安全性
Amazon Inspector Classic 代理程式會啟動與 Amazon Inspector Classic 服務的所有通訊。這表示代理程式必須有前往公有端點的對外網路路徑,才能傳送遙測資料。例如,代理程式可能會連線到 arsenal.<region>.amazonaws.com,或端點可能是位於 的 Amazon S3 儲存貯體s3.dualstack.<region>.amazonaws.com。請務必<region>將 取代為您執行 Amazon Inspector Classic 的實際 AWS 區域。如需更多資訊,請參閱 AWS IP Address Ranges (AWS IP 位址範圍)。由於來自代理程式的所有連線都是建立對外連線,因此不需要在安全群組中開啟連接埠,以允許從 Amazon Inspector Classic 傳入通訊給代理程式。
代理程式會透過 TLS 保護的頻道定期與 Amazon Inspector Classic 通訊,該頻道使用與 EC2 執行個體角色相關聯的 AWS 身分進行身分驗證,如果未指派角色,則使用執行個體的中繼資料文件進行身分驗證。經過驗證後,代理程式會傳送心跳訊號訊息給服務,並接收服務回應傳回的指示。若已排程評估,代理程式會接收該評估的指示。這些指示為結構化 JSON 檔案,可告知代理程式啟用或停用代理程式中預先設定的特定感應器。代理程式內已預先定義每個指示動作。無法執行任意指示。
在評估期間,代理程式會從系統收集遙測資料,以透過 TLS 保護的頻道傳回 Amazon Inspector Classic。代理程式不會變更其從中收集資料的系統。代理程式收集遙測資料後,會將資料傳回 Amazon Inspector Classic 進行處理。除了代理程式產生的遙測資料之外,代理程式無法收集或傳輸系統或評估目標相關的其他任何資料。目前,沒有公開任何方法可攔截或檢查代理程式上的遙測資料。
Amazon Inspector Classic 代理程式更新
隨著 Amazon Inspector Classic 代理程式的更新可用,它們會自動從 Amazon S3 下載並套用。這樣也會更新任何必要的相依性。自動更新功能讓您不再需要追蹤和手動維護您在 EC2 執行個體上安裝的代理程式版本控制。所有更新均依循經審核的 Amazon 變更控制流程,以確保符合其適用之安全標準的規範。
為了進一步確保代理程式的安全性,代理程式與自動更新發佈網站 (S3) 之間的通訊是透過 TLS 連線執行,且伺服器會經過驗證。所有涉及自動更新流程的二進位檔案會經過數位簽署,且在安裝之前會由更新程式驗證簽章。自動更新程序只會在非評估期間執行。如果偵測到任何錯誤,更新程序可以轉返和重試更新。最後,代理程式更新程序僅支援升級代理程式功能。在更新工作流程中,您的任何特定資訊都不會從代理程式傳送至 Amazon Inspector Classic。在更新過程中傳輸的資訊只有基本安裝成功或失敗遙測資料,以及 (如適用) 任何更新失敗診斷資訊。
遙測資料生命週期
Amazon Inspector Classic 代理程式在評估執行期間產生的遙測資料會以 JSON 檔案格式化。這些檔案會透過 TLS near-real-time的方式交付至 Amazon Inspector Classic,並在其中使用per-assessment-run的暫時性 KMS 衍生金鑰加密。檔案會安全地存放在 Amazon S3 儲存貯體中,這是 Amazon Inspector Classic 專用。Amazon Inspector Classic 的規則引擎會存取 S3 儲存貯體中的加密遙測資料、在記憶體中解密資料,並根據設定的評估規則處理資料以產生問題清單。保留 S3 中存放的遙測資料只是以防需要透過支援請求取得協助。Amazon 不會在任何其他用途上使用或彙總之。30 天後,根據 Amazon Inspector Classic 資料的標準 S3 儲存貯體生命週期政策,遙測資料會永久刪除。目前,Amazon Inspector Classic 不提供 API 或 S3 儲存貯體存取機制來收集遙測。
從 Amazon Inspector Classic 到 AWS 帳戶的存取控制
作為安全服務,Amazon Inspector Classic 只有在需要尋找 EC2 執行個體以透過查詢標籤來評估時,才會存取 AWS 您的帳戶和資源。它透過 Amazon Inspector Classic 服務初始設定期間所建立的角色,透過標準 IAM 存取來執行此操作。在評估期間,與您的環境的所有通訊都是由本機安裝在 EC2 執行個體上的 Amazon Inspector Classic 代理程式啟動。建立的 Amazon Inspector Classic 服務物件,例如評估目標、評估範本和由服務產生的調查結果,會存放在由 管理的資料庫中,且僅供 Amazon Inspector Classic 存取。
Amazon Inspector Classic 代理程式限制
如需 Amazon Inspector Classic 代理程式限制的相關資訊,請參閱Amazon Inspector Classic 服務限制。
