支援結束通知：2026 年 5 月 20 日， AWS 將結束對 Amazon Inspector Classic 的支援。2026 年 5 月 20 日之後，您將無法再存取 Amazon Inspector Classic 主控台或 Amazon Inspector Classic 資源。Amazon Inspector Classic 不再提供給過去 6 個月內未完成評估的新帳戶和帳戶。對於所有其他帳戶，存取將持續有效至 2026 年 5 月 20 日，之後您將無法再存取 Amazon Inspector Classic 主控台或 Amazon Inspector Classic 資源。如需詳細資訊，請參閱 [Amazon Inspector Classic 終止支援](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Inspector Classic 評估範本和評估執行
<a name="inspector_assessments"></a>

Amazon Inspector Classic 透過使用安全規則分析 AWS 資源，協助您發現潛在的安全問題。Amazon Inspector Classic 會監控和收集資源的行為資料 （遙測）。資料包含使用安全頻道、執行中程序之間的網路流量，以及 AWS 與服務通訊的詳細資訊。接著，Amazon Inspector Classic 會分析資料並與一組安全規則套件進行比較。最後，Amazon Inspector Classic 會產生*問題*清單，以識別各種嚴重性等級的潛在安全問題。

若要開始使用，您可以建立*評估目標* （您希望 Amazon Inspector Classic 分析 AWS 的資源集合）。接著，請建立*評估範本* (用來設定評估的藍圖)。您可使用範本來啟動*評估執行*，這項監控與分析程序會產生一組調查結果。

**Topics**
+ [

## Amazon Inspector Classic 評估範本
](#inspector-assessment-templates)
+ [

## Amazon Inspector Classic 評估範本限制
](#inspector-assessment-limits)
+ [

## 建立評估範本
](#create_assessment_via_console)
+ [

## 刪除評估範本
](#delete_assessment_via_console)
+ [

## 評估執行
](#assessment_runs)
+ [

## Amazon Inspector Classic 評估執行限制
](#assessment_runs-limits)
+ [

## 設定自動評估會透過 Lambda 函數執行
](#assessment_runs-schedule)
+ [

## 設定 Amazon Inspector Classic 通知的 SNS 主題
](#sns-topic)

## Amazon Inspector Classic 評估範本
<a name="inspector-assessment-templates"></a>

評估範本可讓您為評估執行指定組態，包括下列項目：
+ Amazon Inspector Classic 用來評估評估評估目標的規則套件
+ 評估執行的持續時間 – 您可以將評估執行的持續時間設定為 3 分鐘到 24 小時。我們建議將評估執行的持續時間設定為 1 小時。
+ Amazon Inspector Classic 傳送評估執行狀態和調查結果通知給 的 Amazon Amazon SNS 主題
+ Amazon Inspector Classic 屬性 （鍵/值對），您可以指派給使用此評估範本的評估執行所產生的問題清單

Amazon Inspector Classic 建立評估範本後，您可以像任何其他 AWS 資源一樣標記評估範本。如需詳細資訊，請參閱[標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。為評估範本加上標籤可讓您組織他們並能更佳地監管您的安全策略。例如，Amazon Inspector Classic 提供許多您可以評估評估目標的規則。您可能需要將各種可用規則子集納入評估範本中，將目標鎖定在特定的關注領域，或找出特定的安全問題。為評估範本加上標籤可讓您隨時根據您的安全策略與目標來快速尋找和執行它們。

**重要**  
在您建立評估範本後，即無法進行修改。

## Amazon Inspector Classic 評估範本限制
<a name="inspector-assessment-limits"></a>

您可以為每個 AWS 帳戶建立最多 500 個評估範本。

如需詳細資訊，請參閱[Amazon Inspector Classic 服務限制](inspector_limits.md)。

## 建立評估範本
<a name="create_assessment_via_console"></a>

**建立評估範本**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/inspector/](https://console.aws.amazon.com/inspector/) 的 Amazon Inspector Classic 主控台。

1. 在導覽窗格中，選擇 **Assessment Templates (評估範本)**，然後選擇 **Create (建立)**。

1. 在 **Name (名稱)** 中，輸入評估範本的名稱。

1. 對於 **Target name** (目標名稱)，選擇要分析的評估目標。
**注意**  
當您建立評估範本時，您可以使用**評估範本**頁面上的**預覽目標**按鈕來檢閱評估目標中包含的所有 EC2 執行個體。對於每個 EC2 執行個體，您可以檢閱主機名稱、執行個體 ID、IP 地址，以及適用的代理程式狀態。代理程式狀態可以有下列值：**HEALTHY**、**UNHEALTHY** 和 **UNKNOWN**。當 Amazon Inspector Classic 無法判斷 EC2 執行個體上是否有執行中的代理程式時，會顯示 **UNKNOWN** 狀態。  
您也可以使用 **Assessment Templates** (評估範本) 頁面上的 **Preview Target** (預覽目標) 按鈕，以檢閱您在之前建立範本中包含之評估目標的組成 EC2 執行個體。

1. 對於 **Rules packages** (規則套件)，請選擇要包含在評估範本的一或多個規則套件。

1. 在 **Duration (持續時間)**，指定評估範本的持續時間。

1. （選用） 對於 **SNS 主題**，指定您希望 Amazon Inspector Classic 傳送評估執行狀態和調查結果通知的 SNS 主題。Amazon Inspector Classic 可以傳送下列事件的 SNS 通知：
   + 評估執行已開始
   + 評估執行已結束
   + 評估執行狀態已變更
   + 發現項目已產生

   如需設定 SNS 主題的詳細資訊，請參閱[設定 Amazon Inspector Classic 通知的 SNS 主題](#sns-topic)。

1. (選用) 在 **Tag (標記)** 中，輸入 **Key (金鑰)** 和 **Value (值)** 的值。您可以將多個標籤新增到評估範本。

1. （選用） 針對**新增至問題清單的屬性**，輸入**索引鍵**和**值**的值。Amazon Inspector Classic 會將屬性套用至評估範本產生的所有問題清單。您可以將多個屬性新增到評估範本。如需發現項目和標記發現項目的詳細資訊，請參閱 [Amazon Inspector Classic 調查結果](inspector_findings.md)。

1. (選用) 如果要使用此範本設定執行評估的排程，請選取 **Set up recurring assessment runs once every <number\$1of\$1days>, starting now (設定從現在開始，每 <number\$1of\$1days> 天執行一次重複評估)** 核取方塊，並使用上下箭頭指定週期模式 (天數)。
**注意**  
當您使用此核取方塊時，Amazon Inspector Classic 會自動為您設定的評估執行排程建立 Amazon CloudWatch Events 規則。然後，Amazon Inspector Classic 也會自動建立名為 的 IAM 角色`AWS_InspectorEvents_Invoke_Assessment_Template`。此角色可讓 CloudWatch Events 對 Amazon Inspector Classic 資源進行 API 呼叫。如需更多資訊，請參閱[什麼是 Amazon CloudWatch Events？](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html)以及[CloudWatch 事件的以資源為基礎的政策](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/resource-based-policies-cwe.html)。
**注意**  
您也可以透過 AWS Lambda 函數設定自動評估執行。如需詳細資訊，請參閱[設定自動評估會透過 Lambda 函數執行](#assessment_runs-schedule)。

1. 選擇 **Create and run** (建立和執行) 或 **Create** (建立)。

## 刪除評估範本
<a name="delete_assessment_via_console"></a>

若要刪除評估範本，請執行以下程序。

**刪除評估範本**
+ 在 **Assessment Templates (評估範本)** 頁面，選擇您要刪除的範本，然後選擇 **Delete (刪除)**。出現確認提示時，請選擇 **Yes** (是)。
**重要**  
當您刪除評估範本時，與此範本相關的所有評估執行、發現項目與報告版本也會刪除。

您也可以使用 [https://docs.aws.amazon.com/inspector/latest/APIReference/API_DeleteAssessmentTemplate.html](https://docs.aws.amazon.com/inspector/latest/APIReference/API_DeleteAssessmentTemplate.html) API 來刪除評估範本。

## 評估執行
<a name="assessment_runs"></a>

在建立評估範本後，您可以使用它來開始評估執行。只要您保持在每個 AWS 帳戶的執行限制內，就可以使用相同的範本啟動多個執行。如需詳細資訊，請參閱[Amazon Inspector Classic 評估執行限制](#assessment_runs-limits)。

如果您使用 Amazon Inspector Classic 主控台，則必須從評估範本頁面開始第一次執行新的**評估範本**。開始執行後，您可以使用 **Assessment runs** (評估執行) 頁面來監控執行的進度。使用 **Run** (執行)、**Cancel** (取消) 和 **Delete** (刪除) 按鈕來開始、取消或刪除執行。您也可以檢視執行的詳細資訊，包括執行的 ARN、為執行所選取的規則套件、您套用至執行的標記和屬性等等。

對於評估範本的後續執行，您可以使用 **Run** (執行)、**Cancel** (取消) 和 **Delete** (刪除) 按鈕或 **Assessment templates** (評估範本) 頁面或 **Assessment runs** (評估執行) 頁面。

### 刪除評估執行
<a name="delete_assessment_run_via_console"></a>

若要刪除評估執行，請執行以下程序。

**刪除執行**
+ 在 **Assessment runs (評估執行)** 頁面，選擇您要刪除的執行，然後選擇 **Delete (刪除)**。出現確認提示時，請選擇 **Yes** (是)。
**重要**  
刪除執行時，該執行的所有調查結果和所有報告版本也會一併刪除。

您亦可使用 [https://docs.aws.amazon.com/inspector/latest/APIReference/API_DeleteAssessmentRun.html](https://docs.aws.amazon.com/inspector/latest/APIReference/API_DeleteAssessmentRun.html) API 來刪除執行。

## Amazon Inspector Classic 評估執行限制
<a name="assessment_runs-limits"></a>

您可以為每個 AWS 帳戶建立最多 50，000 個評估執行。

只要用於執行的目標不包含重疊的 EC2 執行個體，您可以同時發生多個執行。

如需詳細資訊，請參閱[Amazon Inspector Classic 服務限制](inspector_limits.md)。

## 設定自動評估會透過 Lambda 函數執行
<a name="assessment_runs-schedule"></a>

如果您想要設定評估的週期性排程，您可以使用 AWS Lambda 主控台建立 Lambda 函數，將評估範本設定為自動執行。如需詳細資訊，請參閱 [Lambda 函數](https://docs.aws.amazon.com/lambda/latest/dg/lambda-introduction-function.html)。

若要使用 AWS Lambda 主控台設定自動評估執行，請執行下列程序。

**若要設定透過 Lambda 函數自動執行**

1. 登入 AWS 管理主控台，然後開啟 [AWS Lambda 主控台](https://us-west-2.console.aws.amazon.com/lambda/home?region=us-west-2#/home)。

1. 在導覽窗格中，選擇**儀表板**或**函數**，然後選擇**建立 Lambda 函數**。

1. 在 **Create function (建立函數)** 頁面上，選擇 **Browse serverless app repository (瀏覽無伺服器應用程式儲存庫)**，然後在搜尋欄位中輸入 **inspector**。

1. 選擇 **inspector-scheduled-run** 藍圖。

1. 在**檢閱、設定和部署**頁面上，透過指定觸發函數的 CloudWatch 事件來設定自動執行的週期性排程。方法是輸入規則名稱和描述，然後選擇排程表達式。排程表達式決定執行的發生頻率，如每 15 分鐘或每天一次。如需更多有關 CloudWatch 事件和概念的詳細資訊，請參閱[什麼是 Amazon CloudWatch Events？](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html)

   如果您選取 **Enable trigger (啟用觸發條件)** 核取方塊，則函數建立完成後，執行就會立即開始。後續自動化執行會依照您在 **Schedule expression (排程表達式)** 欄位中指定的週期模式。如果在建立函數時不選擇 **Enable trigger** (啟用觸發) 核取方塊，您可以在稍後編輯該函數以啟用此觸發。

1. 在 **Configure function** (設定函數) 頁面上，指定下列：
   + 在 **Name (名稱)** 中，輸入函數的名稱。
   + (選用) 在 **Description (描述)** 中，輸入可協助您稍後辨識函數的描述。
   + 對於**執行時間**，請保留預設值 **Node.js 8.10**。 僅 AWS Lambda 支援**Node.js 8.10**執行時間的 **inspector-scheduled-run** 藍圖。
   + 您想要使用此函數自動執行的評估範本。您需要為名為 **assessmentTemplateArn** 的環境變數提供值來執行此操作。
   + 維持處理常式的預設值 **index.handler** 設定。
   + 使用 **Role** (角色) 欄位的函數許可。如需詳細資訊，請參閱 [AWS Lambda 許可模型](https://docs.aws.amazon.com/lambda/latest/dg/intro-permission-model.html#lambda-intro-execution-role)。

     若要執行此函數，您需要一個 IAM 角色， AWS Lambda 允許 啟動執行，並將有關執行的日誌訊息，包括任何錯誤寫入 Amazon CloudWatch Logs。 會在每次週期性自動執行時 AWS Lambda 擔任此角色。例如，您可以將以下範例政策附加到這個 IAM 角色：

------
#### [ JSON ]

****  

     ```
     {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
         {
           "Effect": "Allow",
           "Action": [
             "inspector:StartAssessmentRun",
             "logs:CreateLogGroup",
             "logs:CreateLogStream",
             "logs:PutLogEvents"
           ],
           "Resource": "*"
         }
       ]
     }
     ```

------

1. 檢閱您的選項，然後選擇 **Create function** (建立函數)。

## 設定 Amazon Inspector Classic 通知的 SNS 主題
<a name="sns-topic"></a>

Amazon Simple Notification Service (Amazon SNS) 是一項 Web 服務，用於將訊息傳送到訂閱的端點或者用戶端。您可以使用 Amazon SNS 來設定 Amazon Inspector Classic 的通知。

**若要為通知設定 SNS 主題**

1. 建立 SNS 主題。請參閱 [教學課程：建立 Amazon SNS 主題](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-topic.html)。建立主題時，請展開 **Access policy - optional (存取政策 - 選用)** 區段。然後執行下列操作來允許評估，以傳送訊息至主題：

   1. 在 **Choose method (選擇方法)** 中，選擇 **Basic (基本)**。

   1. 針對**定義誰可以發佈訊息到主題**，選擇**僅限指定的 AWS 帳戶**，然後在您要建立主題的區域中輸入帳戶的 ARN：
      + `US East (Ohio)` - *arn:aws:iam::646659390643:root*
      + `US East (N. Virginia)` - *arn:aws:iam::316112463485:root*
      + `US West (N. California)` - *arn:aws:iam::166987590008:root*
      + `US West (Oregon)` - *arn:aws:iam::758058086616:root*
      + `Asia Pacific (Mumbai)` - *arn:aws:iam::162588757376:root*
      + `Asia Pacific (Seoul)` - *arn:aws:iam::526946625049:root*
      + `Asia Pacific (Sydney)` - *arn:aws:iam::454640832652:root*
      + `Asia Pacific (Tokyo)` - *arn:aws:iam::406045910587:root*
      + `Europe (Frankfurt)` - *arn:aws:iam::537503971621:root*
      + `Europe (Ireland)` - *arn:aws:iam::357557129151:root*
      + `Europe (London)` - *arn:aws:iam::146838936955:root*
      + `Europe (Stockholm)` - *arn:aws:iam::453420244670:root*
      + `AWS GovCloud (US-East)` - *arn:aws-us-gov:iam::206278770380:root*
      + `AWS GovCloud (US-West)` - *arn:aws-us-gov:iam::850862329162:root*

   1. 針對**定義誰可以訂閱此主題**，選擇**僅限指定的 AWS 帳戶**，然後在您要建立主題的區域中輸入帳戶的 ARN。

   1. 若要保護自己免於 Inspector 被用作混淆代理人，如 *IAM 使用者指南*中的[混淆代理人問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)所述，請執行下列動作：

      1. 選擇 **Advanced (進階)**。這會將您導覽至 JSON 編輯器。

      1. 新增下列條件：

         ```
              "Condition": {
                 "StringEquals": {
                   "aws:SourceAccount": <your account Id here>,
                   "aws:SourceArn": "arn:aws:inspector:*:*:*"
                 }
               }
         ```

   1. （選用） 如需 aws：SourceAccount 和 aws：SourceArn 的其他資訊，請參閱《IAM 使用者指南》中的[全域條件內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)。 **

   1. 視需要更新主題的其他設定，然後選擇 **Create topic (建立主題)**。

1. （選用） 若要建立加密的 SNS 主題，請參閱 *SNS 開發人員指南*中的[靜態加密](https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html)。

1. 若要保護自己免於 Inspector 被用作 KMS 金鑰的混淆代理人，請遵循下列其他步驟：

   1. 前往 KMS 主控台中的 CMK。

   1. 選擇**編輯**。

   1. 新增下列條件：

      ```
           "Condition": {
              "StringEquals": {
                "aws:SourceAccount": <your account Id here>,
                "aws:SourceArn": "arn:aws:sns:*:*:*"
              }
            }
      ```

1. 為您所建立的主題建立訂閱。如需詳細資訊，請參閱 [教學課程：讓端點訂閱 Amazon SNS 主題](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)。

1. 若要確認是否正確設定訂閱，請將訊息發佈到主題。如需更多資訊，請參閱 [教學課程：將訊息發佈到 Amazon SNS 主題](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-publish-message-to-topic.html)。