

 终止支持通知：2026年5月20日， AWS 将终止对Amazon Inspector Classic的支持。2026 年 5 月 20 日之后，您将无法再访问亚马逊 Inspector Classic 控制台或亚马逊 Inspector Classic 资源。Amazon Inspector Classic 不再适用于新账户和在过去 6 个月内未完成评估的账户。对于所有其他账户，访问权限将在 2026 年 5 月 20 日之前有效，之后您将无法再访问亚马逊 Inspector Classic 控制台或 Amazon Inspector Classic 资源。有关更多信息，请参阅 [Amazon Inspector Classic 终止支持](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Inspector Classic 代理
<a name="inspector_agents"></a>

Amazon Inspector Classic 代理是收集 Amazon EC2 实例的已安装软件包信息和软件配置的实体。尽管不是在所有情况下都有此要求，但您应在您的每个目标 Amazon EC2 实例上安装 Amazon Inspector Classic 代理，以便完整评估其安全性。

有关如何安装、卸载和重新安装代理，如何验证已安装代理是否正在运行以及如何为代理配置代理支持的更多信息，请参阅[在基于 Linux 的操作系统上使用 Amazon Inspector Classic 代理](inspector_agents-on-linux.md)和[在基于 Windows 的操作系统上使用 Amazon Inspector Classic 代理](inspector_agents-on-win.md)。

**注意**  
无需使用 Amazon Inspector Classic 代理即可运行[网络可到达性](inspector_network-reachability.md)规则包。

**重要**  
Amazon Inspector Classic 代理依赖 Amazon EC2 实例元数据来正常运行。它使用实例元数据服务（IMDSv1 或 IMDSv2）的版本 1 或版本 2 访问实例元数据。请参阅[实例元数据和用户数据](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html)，了解有关 EC2 实例元数据和访问方法的更多信息。

**Topics**
+ [Amazon Inspector Classic 代理权限](#agent-privileges)
+ [网络和 Amazon Inspector Classic 代理安全](#agent-security)
+ [Amazon Inspector Classic 代理更新](#agent-updates)
+ [遥测数据生命周期](#telemetry-data-lifecycle)
+ [从 Amazon Inspector Classic 访问 AWS 账户的](#access-control)
+ [Amazon Inspector Classic 代理限制](#agent-limits)
+ [安装 Amazon Inspector Classic 代理](inspector_installing-uninstalling-agents.md)
+ [在基于 Linux 的操作系统上使用 Amazon Inspector Classic 代理](inspector_agents-on-linux.md)
+ [在基于 Windows 的操作系统上使用 Amazon Inspector Classic 代理](inspector_agents-on-win.md)
+ [(可选) 在基于 Linux 的操作系统上验证 Amazon Inspector Classic 代理安装脚本的签名](inspector_verify-sig-agent-download-linux.md)
+ [(可选) 在基于 Windows 的操作系统上验证 Amazon Inspector Classic 代理安装脚本的签名](inspector_verify-sig-agent-download-win.md)

## Amazon Inspector Classic 代理权限
<a name="agent-privileges"></a>

您必须具有管理权限或根权限才能安装 Amazon Inspector Classic 代理。在受支持的基于 Linux 的操作系统上，代理包含使用根访问权限运行的用户模式可执行文件。在受支持的基于 Windows 的操作系统上，代理包含更新程序服务和代理服务，这两项服务均在用户模式下使用 `LocalSystem` 权限运行。

## 网络和 Amazon Inspector Classic 代理安全
<a name="agent-security"></a>

Amazon Inspector Classic 代理启动与 Amazon Inspector Classic 服务的所有通信。这表示代理必须具有至公共终端节点的出站网络路径，以便可以发送遥测数据。例如，代理可能连接到 `arsenal.<region>.amazonaws.com`，或终端节点可能为 处的 Amazon S3 存储桶。请务必`<region>`替换为您运行 Amazon Inspector Classic 的实际 AWS 区域。有关更多信息，请参阅 [AWS IP 地址范围](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)。由于与代理的所有连接都是为出站而建立的，因此无需在您的安全组中打开端口来允许从 Amazon Inspector Classic 到代理的入站通信。

代理通过受 TLS 保护的渠道定期与 Amazon Inspector Classic 通信，该通道使用与 EC2 实例的角色关联的 AWS 身份进行身份验证，或者如果未分配角色，则使用实例的元数据文档进行身份验证。当进行身份验证时，代理会将检测信号消息发送到服务，并接收来自服务的指令作为响应。如果已安排评估，则代理将接收该评估的指令。这些指令是结构化的 JSON 文件，并且它们将告知代理启用或禁用代理中预先配置的特定传感器。每个指令操作都在代理中进行了预定义。无法执行任意指令。

在评估期间，代理将收集系统中的遥测数据以通过受 TLS 保护的通道将这些数据发送回 Amazon Inspector Classic。代理不会更改其从中收集数据的系统。在代理收集遥测数据后，它会将数据发送回 Amazon Inspector Classic 以供处理。除了它生成的遥测数据外，代理无法收集或传输有关系统或评估目标的任何其他数据。目前，无法截取和检查代理处的遥测数据。

## Amazon Inspector Classic 代理更新
<a name="agent-updates"></a>

在 Amazon Inspector Classic 代理的更新变得可用时，将自动从 Amazon S3 下载并应用这些更新。这也会更新任何必需的依赖项。自动更新功能使您无需跟踪和手动维护已安装在 EC2 实例上的代理的版本控制。所有更新受已审核 Amazon 更改控制流程的约束，以确保符合适用的安全标准。

为了进一步确保代理的安全，代理与自动更新发布站点 (S3) 之间的所有通信都是通过 TLS 连接进行的，并且将对服务器进行身份验证。自动更新过程中涉及的所有二进制文件都将进行数字签名，并且更新程序会在安装前对签名进行验证。自动更新过程仅在非评估期执行。如果检测到任何错误，则更新过程将回滚并重试更新。最后，代理更新过程仅支持升级代理功能。在更新工作流中，不会将代理中的您的任何特定信息发送到 Amazon Inspector Classic。在更新过程中，传送的唯一信息是基本安装成功或失败遥测（如果适用）以及任何更新失败诊断信息。

## 遥测数据生命周期
<a name="telemetry-data-lifecycle"></a>

Amazon Inspector Classic 代理在评估运行期间生成的遥测数据的格式将设置为 JSON 文件。这些文件 near-real-time通过 TLS 传输到 Amazon Inspector Classic，在那里使用源自 K per-assessment-run MS 的临时密钥进行加密。这些文件将安全存储在 Amazon Inspector Classic 专用的 Amazon S3 存储桶中。Amazon Inspector Classic 的规则引擎将访问 S3 存储桶中的加密遥测数据，在内存中解密这些数据，并针对配置的评估规则处理数据以生成结果。S3 中存储的遥测数据仅保留以供支持请求之用。Amazon 不会针对任何其他用途使用或收集该数据。30 天后，依据 Amazon Inspector Classic 数据的标准 S3 存储桶生命周期策略，将永久删除遥测数据。目前，Amazon Inspector Classic 不提供针对收集的遥测数据的 API 或 S3 存储桶访问机制。

## 从 Amazon Inspector Classic 访问 AWS 账户的
<a name="access-control"></a>

作为一项安全服务，Amazon Inspector Classic 只有在需要通过查询标签来查找要评估的 EC2 实例时才会访问您的 AWS 账户和资源。它通过初始设置 Amazon Inspector Classic 服务时创建的角色进行的标准 IAM 访问来实现这一点。在评估期间，与您的环境进行的所有通信都是由 EC2 实例上本地安装的 Amazon Inspector Classic 代理启动的。创建的 Amazon Inspector Classic 服务对象 (例如，评估目标、评估模板和服务生成的结果) 将存储在由 Amazon Inspector Classic 管理且仅可由其访问的数据库中。

## Amazon Inspector Classic 代理限制
<a name="agent-limits"></a>

有关 Amazon Inspector Classic 代理限制的信息，请参阅 [Amazon Inspector Classic 服务限制](inspector_limits.md)。