支援結束通知：2026 年 5 月 20 日， AWS 將結束對 Amazon Inspector Classic 的支援。2026 年 5 月 20 日之後，您將無法再存取 Amazon Inspector Classic 主控台或 Amazon Inspector Classic 資源。Amazon Inspector Classic 不再提供給過去 6 個月內未完成評估的新帳戶和帳戶。對於所有其他帳戶，存取將持續有效至 2026 年 5 月 20 日，之後您將無法再存取 Amazon Inspector Classic 主控台或 Amazon Inspector Classic 資源。如需詳細資訊，請參閱 [Amazon Inspector Classic 終止支援](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Inspector Classic 代理程式
<a name="inspector_agents"></a>

Amazon Inspector Classic 代理程式是收集 Amazon EC2 執行個體已安裝套件資訊和軟體組態的實體。雖然並非所有情況都需要，但您應該在每個目標 Amazon EC2 執行個體上安裝 Amazon Inspector Classic 代理程式，以完整評估其安全性。 Amazon EC2 

如需進一步了解如何安裝、解除安裝、重新安裝代理程式、確認已安裝代理程式是否運作，以及設定代理程式的 Proxy 支援，請參閱[在 Linux 作業系統上使用 Amazon Inspector Classic 代理程式](inspector_agents-on-linux.md) 和 [在 Windows 作業系統上使用 Amazon Inspector Classic 代理程式](inspector_agents-on-win.md)。

**注意**  
執行 [Network Reachability](inspector_network-reachability.md) 規則套件不需要 Amazon Inspector Classic 代理程式。

**重要**  
Amazon Inspector Classic 代理程式依賴 Amazon EC2 執行個體中繼資料來正常運作。它使用執行個體中繼資料服務 (IMDSv1 或 IMDSv2) 的第 1 版或第 2 版存取執行個體中繼資料。請參閱[執行個體中繼資料和使用者資料](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html)，以進一步了解 EC2 執行個體中繼資料和存取方法。

**Topics**
+ [Amazon Inspector Classic 代理程式權限](#agent-privileges)
+ [網路和 Amazon Inspector Classic 代理程式安全性](#agent-security)
+ [Amazon Inspector Classic 代理程式更新](#agent-updates)
+ [遙測資料生命週期](#telemetry-data-lifecycle)
+ [從 Amazon Inspector Classic 到 AWS 帳戶的存取控制](#access-control)
+ [Amazon Inspector Classic 代理程式限制](#agent-limits)
+ [安裝 Amazon Inspector Classic 代理程式](inspector_installing-uninstalling-agents.md)
+ [在 Linux 作業系統上使用 Amazon Inspector Classic 代理程式](inspector_agents-on-linux.md)
+ [在 Windows 作業系統上使用 Amazon Inspector Classic 代理程式](inspector_agents-on-win.md)
+ [（選用） 驗證 Linux 作業系統上 Amazon Inspector Classic 代理程式安裝指令碼的簽章](inspector_verify-sig-agent-download-linux.md)
+ [（選用） 驗證 Windows 作業系統上 Amazon Inspector Classic 代理程式安裝指令碼的簽章](inspector_verify-sig-agent-download-win.md)

## Amazon Inspector Classic 代理程式權限
<a name="agent-privileges"></a>

您必須具有管理或根許可，才能安裝 Amazon Inspector Classic 代理程式。在支援的 Linux 作業系統上，代理程式是由以根存取權執行的使用者模式執行檔所組成。在支援的 Windows 作業系統上，代理程式是由更新程式服務和代理程式服務所組成，兩者都在使用者模式中以 `LocalSystem` 許可執行。

## 網路和 Amazon Inspector Classic 代理程式安全性
<a name="agent-security"></a>

Amazon Inspector Classic 代理程式會啟動與 Amazon Inspector Classic 服務的所有通訊。這表示代理程式必須有前往公有端點的對外網路路徑，才能傳送遙測資料。例如，代理程式可能會連線到 `arsenal.<region>.amazonaws.com`，或端點可能是位於 的 Amazon S3 儲存貯體`s3.dualstack.<region>.amazonaws.com`。請務必`<region>`將 取代為您執行 Amazon Inspector Classic 的實際 AWS 區域。如需更多資訊，請參閱 [AWS IP Address Ranges](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html) (AWS IP 位址範圍)。由於來自代理程式的所有連線都是對外建立的，因此不需要在安全群組中開啟連接埠，以允許來自 Amazon Inspector Classic 的代理程式傳入通訊。

代理程式會透過 TLS 保護的頻道定期與 Amazon Inspector Classic 通訊，該頻道使用與 EC2 執行個體角色相關聯的 AWS 身分進行身分驗證，如果未指派角色，則使用執行個體的中繼資料文件進行身分驗證。經過驗證後，代理程式會傳送心跳訊號訊息給服務，並接收服務回應傳回的指示。若已排程評估，代理程式會接收該評估的指示。這些指示為結構化 JSON 檔案，可告知代理程式啟用或停用代理程式中預先設定的特定感應器。代理程式內已預先定義每個指示動作。無法執行任意指示。

在評估期間，代理程式會從系統收集遙測資料，以透過 TLS 保護的頻道傳回 Amazon Inspector Classic。代理程式不會變更其從中收集資料的系統。代理程式收集遙測資料後，會將資料傳回 Amazon Inspector Classic 進行處理。除了代理程式產生的遙測資料之外，代理程式無法收集或傳輸系統或評估目標相關的其他任何資料。目前，沒有公開任何方法可攔截或檢查代理程式上的遙測資料。

## Amazon Inspector Classic 代理程式更新
<a name="agent-updates"></a>

隨著 Amazon Inspector Classic 代理程式的更新可用，它們會自動從 Amazon S3 下載並套用。這樣也會更新任何必要的相依性。自動更新功能讓您不再需要追蹤並手動維護在 EC2 執行個體上安裝的代理程式版本控制。所有更新均依循經審核的 Amazon 變更控制流程，以確保符合其適用之安全標準的規範。

為了進一步確保代理程式的安全性，代理程式與自動更新發佈網站 (S3) 之間的通訊是透過 TLS 連線執行，且伺服器會經過驗證。所有涉及自動更新流程的二進位檔案會經過數位簽署，且在安裝之前會由更新程式驗證簽章。自動更新程序只會在非評估期間執行。如果偵測到任何錯誤，更新程序可以轉返和重試更新。最後，代理程式更新程序僅支援升級代理程式功能。在更新工作流程中，您的任何特定資訊都不會從代理程式傳送至 Amazon Inspector Classic。在更新過程中傳輸的資訊只有基本安裝成功或失敗遙測資料，以及 (如適用) 任何更新失敗診斷資訊。

## 遙測資料生命週期
<a name="telemetry-data-lifecycle"></a>

Amazon Inspector Classic 代理程式在評估執行期間產生的遙測資料會以 JSON 檔案格式化。這些檔案會透過 TLS near-real-time的方式交付至 Amazon Inspector Classic，並在其中使用per-assessment-run的暫時性 KMS 衍生金鑰進行加密。檔案會安全地存放在 Amazon S3 儲存貯體中，這是 Amazon Inspector Classic 專用。Amazon Inspector Classic 的規則引擎會存取 S3 儲存貯體中的加密遙測資料、在記憶體中解密資料，並根據設定的評估規則處理資料以產生問題清單。保留 S3 中存放的遙測資料只是以防需要透過支援請求取得協助。Amazon 不會在任何其他用途上使用或彙總之。30 天後，會根據 Amazon Inspector Classic 資料的標準 S3 儲存貯體生命週期政策永久刪除遙測資料。目前，Amazon Inspector Classic 不提供 API 或 S3 儲存貯體存取機制來收集遙測。

## 從 Amazon Inspector Classic 到 AWS 帳戶的存取控制
<a name="access-control"></a>

作為安全服務，Amazon Inspector Classic 只會在需要尋找 EC2 執行個體以透過查詢標籤來評估時存取 AWS 您的帳戶和資源。它透過在 Amazon Inspector Classic 服務初始設定期間建立的角色的標準 IAM 存取來執行此操作。在評估期間，與您的環境的所有通訊都會由本機安裝在 EC2 執行個體上的 Amazon Inspector Classic 代理程式啟動。建立的 Amazon Inspector Classic 服務物件，例如評估目標、評估範本和由服務產生的調查結果，會存放在由 管理的資料庫中，且僅供 Amazon Inspector Classic 存取。

## Amazon Inspector Classic 代理程式限制
<a name="agent-limits"></a>

如需 Amazon Inspector Classic 代理程式限制的資訊，請參閱 [Amazon Inspector Classic 服務限制](inspector_limits.md)。