Pourquoi Amazon Inspector n’analyse-t-il pas mes instances Amazon EC2 ?

Lecture de 5 minute(s)

J'ai activé Amazon Inspector, mais il n'analyse pas mon instance Amazon Elastic Compute Cloud (Amazon EC2). L'état du tableau de bord Amazon Inspector indique « Instance EC2 arrêtée », « Instance EC2 non gérée », « Système d'exploitation non pris en charge », « Erreur interne », « Analyse initiale en attente » ou « Aucun inventaire ».

Brève description

Amazon Inspector peut ne pas analyser vos instances EC2 pour les raisons suivantes :

AWS Systems Manager Agent (SSM Agent) n'est pas à jour.
L'instance EC2 n'est pas à l’état En cours d'exécution.
Le système d'exploitation (OS) n'est pas compatible.
Votre instance n'est pas connectée à AWS Systems Manager.
Amazon Inspector n'est pas associé à Systems Manager.

Vous pouvez utiliser le tableau de bord Amazon Inspector pour surveiller l’état de vos instances. Pour plus d’informations, consultez la section Analyse d’instances Amazon EC2 avec Amazon Inspector.

Résolution

Mettre à jour la version de SSM Agent

Pour analyser les instances, SSM Agent doit être exécuté sur Amazon Inspector. Si vous disposez d’une version antérieure de SSM Agent, il est recommandé de la mettre à jour. Il est également recommandé de configurer Systems Manager pour mettre à jour automatiquement SSM Agent.

Pour mettre à jour manuellement SSM Agent, abonnez-vous aux notifications de SSM Agent. Puis, utilisez la commande Exécuter pour mettre à jour SSM Agent. Vous pouvez également vous abonner aux notes de mise à jour du SSM Agent sur le site Web de GitHub.

Redémarrer l'instance

L'état Instance EC2 arrêté est obtenu parce que l'instance est arrêtée. Amazon Inspector a donc suspendu l'analyse. Amazon Inspector conserve les résultats des analyses précédents lorsque l'instance EC2 est arrêtée. Pour recommencer l'analyse, redémarrez l'instance EC2.

Amazon Inspector analyse sur la base des intervalles que vous définissez dans les associations de Systems Manager. Vous pouvez modifier les intervalles d’analyse pour les instances Linux et les instances Windows.

Vérifier qu'Amazon Inspector est compatible avec le système d'exploitation

L’état Système d’exploitation non pris en charge signifie que l’instance Amazon EC2 utilise un système d’exploitation ou une architecture non pris en charge par Amazon Inspector.

Pour vérifier votre version Linux, exécutez la commande suivante :

cat /etc/os-releaselsb_release -a
hostnamectl

Pour Windows, recherchez les informations système, puis ouvrez-les.

Pour déterminer si Amazon Inspector est compatible avec votre système d'exploitation, consultez la liste des systèmes d'exploitation pris en charge pour analyser les instances.

Vérifier que votre instance est connectée à Systems Manager

Si votre instance n'apparaît pas sur la console Systems Manager, exécutez le dossier d’exploitation AWSSupport-TroubleshootManagedInstance pour identifier les problèmes de configuration de Systems Manager. Pour plus d’informations, consultez la section Pourquoi Systems Manager n'affiche-t-il pas mon instance Amazon EC2 en tant qu'instance gérée ?

Pour vérifier la connexion de votre instance à Systems Manager, procédez comme suit :

Ouvrez la console Systems Manager dans la même région AWS qu’Amazon Inspector et votre instance.
Choisissez Fleet Manager.
Dans Nœuds gérés, vérifiez le statut ping de SSM Agent. Si l’état est En ligne, votre instance est connectée à SSM Agent.

Si l’état ping de SSM Agent est Perte de connexion, assurez-vous que votre instance répond aux prérequis de Systems Manager. Si vous utilisez la version 3.1.501.0 ou ultérieure de SSM Agent, vous pouvez exécuter la ligne de commande ssm-cli pour déterminer le problème et le résoudre.

Vérifier si Amazon Inspector est associé à Systems Manager

Pour collecter l'inventaire des applications logicielles, Amazon Inspector nécessite une association avec State Manager, une fonctionnalité de Systems Manager, sur votre compte AWS. Le statut Aucun inventaire s'affiche lorsqu'Amazon Inspector n'a pas trouvé l'inventaire des applications logicielles permettant d'analyser votre instance.

Pour vérifier si Amazon Inspector et State Manager sont associés, procédez comme suit :

Ouvrez la console Systems Manager dans la même région qu’Amazon Inspector et votre instance.
Choisissez State Manager.
Dans Associations, vérifiez que l’association InspectorInventoryCollection-do-not-delete existe et que l’État est Succès.
Si l’association InspectorInventoryCollection-do-not-delete n’existe pas, exécutez le document SSM AWS-GatherSoftwareInventory. Choisissez l’ID de l’association pour l’instance qui n’a pas été analysée, puis choisissez l’onglet Historique des exécutions pour plus de détails.
Si l’État de l’association InspectorInventoryCollection-do-not-delete est Échec, choisissez ID d’association. Ensuite, choisissez Appliquer l'association maintenant.
Vérifiez à nouveau l’État de l’association InspectorInventoryCollection-do-not-delete pour confirmer qu’elle est passée de Échec à Succès.

Le plug-in Amazon Inspector SSM pour Windows est automatiquement installé sur vos instances Windows. Lorsque vous activez l'analyse EC2, Amazon Inspector crée de nouvelles associations SSM pour vos ressources Windows. Les associations SSM incluent InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-delete et InvokeInspectorSsmPlugin-do-not-delete. Si l’état des associations est Échec, appliquez de nouveau l'association. Si le fichier InspectorSsmPlugin.exe n'existe pas, l'association SSM InspectorDistributor-do-not-delete réinstalle automatiquement le plug-in lors de la prochaine analyse Windows. Pour plus d’informations, consultez la section Analyse d’instances Amazon EC2 avec Amazon Inspector.

Vérifier que le nœud existe dans l’application logicielle

Procédez comme suit :

Ouvrez la console Systems Manager dans la même région qu’Amazon Inspector et votre instance.
Choisissez Fleet Manager.
Dans Nœuds gérés, choisissez votre ID de nœud. Choisissez ensuite l'onglet Inventaire pour vérifier la présence d'applications logicielles dans l'inventaire de votre instance.

Il est recommandé de définir le taux de collecte d’inventaire pour qu’il s’exécute toutes les 30 minutes. Pour optimiser la collecte d'inventaire, modifiez l'association InspectorInventoryCollection-do-not-delete, puis définissez le taux d'expression cron pendant 30 minutes.

Informations connexes

Évaluation de la couverture de votre environnement AWS par Amazon Inspector

Comment configurer Amazon Inspector Classic pour exécuter des évaluations de sécurité sur mes instances Amazon EC2 ?

Sujets: Security, Identity, & Compliance
Balises: Amazon Inspector
Langue: Français

AWS OFFICIELA mis à jour il y a 10 mois

Aucun commentaire

Contenus pertinents

Problème avec mon instance Wordpress EC2 (crash)
rePost-User-5774152
demandé il y a 3 ans
Problème d'ajout d'IP V4 Publique secondaire sur une instance
Stephan
demandé il y a 2 ans
Problème de facturation au niveau des instances réservée
Kevin
demandé il y a 2 ans
AWS Bare Metal Instances
stellabitchebe
demandé il y a 2 ans
Mon instance EC2 c'est remise a zéro hier soir.
Patrice Simard
demandé il y a un mois
Comment configurer Amazon Inspector Classic afin d'exécuter des évaluations de sécurité sur mes instances Amazon EC2 ?
AWS OFFICIELA mis à jour il y a 4 ans
Comment puis-je exclure des ressources AWS spécifiques des analyses Amazon Inspector ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment sécuriser mon instance EC2 afin qu'elle respecte les programmes de conformité ?
AWS OFFICIELA mis à jour il y a 9 mois
Pourquoi ne puis-je pas utiliser une adresse IP secondaire pour me connecter à mon instance Amazon EC2 Linux ?
AWS OFFICIELA mis à jour il y a 3 ans