Get Hands-on with Amazon EKS - Workshop Event Series

Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!

Perché Amazon Inspector non esegue la scansione delle mie istanze Amazon EC2?

5 minuti di lettura

Ho attivato Amazon Inspector, ma non esegue la scansione della mia istanza Amazon Elastic Compute Cloud (Amazon EC2). Lo stato nella dashboard Amazon Inspector mostra "Istanza EC2 arrestata", "Istanza EC2 non gestita", "Sistema operativo non supportato", "Errore interno", "Scansione iniziale in sospeso" o "Nessun inventario".

Breve descrizione

Amazon Inspector potrebbe non eseguire la scansione di un'istanza EC2 per i seguenti motivi:

L'Agente AWS Systems Manager (Agente SSM) non è aggiornato.
L'istanza EC2 non è nello stato In esecuzione.
Il sistema operativo non è compatibile.
L'istanza non è connessa ad AWS Systems Manager.
Amazon Inspector non è associato a Systems Manager.

Puoi utilizzare la dashboard Amazon Inspector per monitorare lo stato delle istanze. Per ulteriori informazioni, consulta Scansione delle istanze Amazon EC2 con Amazon Inspector.

Risoluzione

Aggiorna la versione dell'Agente SSM

Per scansionare istanze, l'Agente SSM deve essere in esecuzione su Amazon Inspector. Se disponi di una versione precedente dell'Agente SSM, è consigliabile aggiornarla. È inoltre consigliabile configurare Systems Manager per aggiornare automaticamente l'Agente SSM.

Per aggiornare manualmente l'Agente SSM, abbonati alle notifiche dell'Agente SSM. Quindi utilizza il comando Esegui per aggiornare l'Agente SSM. Puoi anche abbonarti alle note di rilascio dell'Agente SSM sul sito web di GitHub.

Riavvia l'istanza

Ricevi lo stato Istanza EC2 arrestata perché l'istanza è stata arrestata, quindi Amazon Inspector ha sospeso la scansione. Amazon Inspector conserva i risultati delle scansioni precedenti quando l'istanza EC2 viene arrestata. Per riprendere la scansione, riavvia l'istanza EC2.

Amazon Inspector esegue la scansione in base agli intervalli impostati nelle associazioni di Systems Manager. Puoi modificare gli intervalli di scansione per le istanze Linux e le istanze Windows.

Verifica che Amazon Inspector supporti il sistema operativo

Ricevi lo stato Sistema operativo non supportato quando l'istanza utilizza un sistema operativo o un'architettura che Amazon Inspector non supporta.

Per verificare la versione di Linux, esegui questo comando:

cat /etc/os-releaselsb_release -a
hostnamectl

Per Windows, cerca Informazioni di sistema e aprile.

Per determinare se Amazon Inspector supporta il sistema operativo, controlla l'elenco dei sistemi operativi supportati per scansionare istanze.

Verifica che l'istanza sia connessa a Systems Manager

Se l'istanza non è visualizzata nella console Systems Manager, esegui il runbook AWSSupport-TroubleshootManagedInstance per identificare i problemi di configurazione di Systems Manager. Per ulteriori informazioni, consulta Perché Systems Manager non mostra la mia istanza Amazon EC2 come istanza gestita?

Per verificare la connessione dell'istanza a Systems Manager, completa i seguenti passaggi:

Apri la console Systems Manager nella stessa Regione AWS di Amazon Inspector e dell'istanza.
Scegli Fleet Manager.
In Nodi gestiti, controlla lo stato del ping dell'Agente SSM. Se lo stato è Online, l'istanza è connessa all'Agente SSM.

Se lo stato del ping dell'Agente SSM è Connessione persa, assicurati che l'istanza soddisfi i prerequisiti di Systems Manager. Se utilizzi l'Agente SSM versione 3.1.501.0 o successiva, puoi eseguire la riga di comando ssm-cli per determinare il problema e risolverlo.

Verifica se Amazon Inspector è associato a Systems Manager

Per raccogliere l'inventario delle applicazioni software, Amazon Inspector richiede un'associazione con Gestione Stato, una funzionalità di Systems Manager, nell'account AWS. Ricevi lo stato Nessun inventario quando Amazon Inspector non trova l'inventario delle applicazioni software per scansionare l'istanza.

Per verificare se Amazon Inspector e Gestione stato sono associati, completa i seguenti passaggi:

Apri la console Systems Manager nella stessa Regione di Amazon Inspector e dell'istanza.
Scegli Gestione stato.
In Associazioni, verifica che l'associazione InspectorInventoryCollection-do-not-delete esista e che Stato sia Operazione riuscita.
Se l'associazione InspectorInventoryCollection-do-not-delete non esiste, esegui il documento SSM AWS-GatherSoftwareInventory su tutte le istanze. Scegli l'ID associazione per l'istanza che non è stata scansionata, quindi scegli la scheda Cronologia di esecuzione per ulteriori dettagli.
Se lo Stato dell'associazione InspectorInventoryCollection-do-not-delete è Operazione non riuscita, scegli l'ID associazione. Quindi scegli Applica l'associazione ora.
Controlla nuovamente lo Stato dell'associazione InspectorInventoryCollection-do-not-delete per verificare che sia passato da Operazione non riuscita a Operazione riuscita.

Il plugin Amazon Inspector SSM per Windows viene installato automaticamente nelle istanze Windows. Quando attivi la scansione EC2, Amazon Inspector crea nuove associazioni SSM per le risorse Windows. Le associazioni SSM sono InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-delete e InvokeInspectorSsmPlugin-do-not-delete. Se lo stato delle associazioni è Operazione non riuscita, applica nuovamente l'associazione. Se il file InspectorSsmPlugin.exe non esiste, l'associazione SSM InspectorDistributor-do-not-delete reinstalla automaticamente il plugin durante la successiva scansione di Windows. Per ulteriori informazioni, consulta Scansione delle istanze Amazon EC2 con Amazon Inspector.

Verifica che il nodo esista nell'applicazione software

Completa i seguenti passaggi:

Apri la console Systems Manager nella stessa Regione di Amazon Inspector e dell'istanza.
Scegli Fleet Manager.
In Nodi gestiti, scegli l'ID nodo. Quindi scegli la scheda Inventario per verificare le applicazioni software nell'inventario dell'istanza.

È consigliabile impostare la frequenza di raccolta dell'inventario in modo che l'esecuzione avvenga ogni 30 minuti. Per ottimizzare la raccolta dell'inventario, modifica l'associazione InspectorInventoryCollection-do-not-delete, quindi imposta la frequenza dell'espressione Cron su 30 minuti.

Informazioni correlate

Valutazione della copertura Amazon Inspector del tuo ambiente AWS

Come faccio a configurare Amazon Inspector Classic per eseguire valutazioni di sicurezza sulle mie istanze Amazon EC2?

Argomenti: Security, Identity, & Compliance
Tag: Amazon Inspector
Lingua: Italiano

AWS UFFICIALEAggiornata 9 mesi fa

Contenuto pertinente

Come posso escludere risorse AWS specifiche dalle scansioni di Amazon Inspector?
AWS UFFICIALEAggiornata 2 anni fa
Come faccio a configurare Amazon Inspector Classic per eseguire valutazioni di sicurezza sulle mie istanze Amazon EC2?
AWS UFFICIALEAggiornata 4 anni fa
Perché AWS Glue non aggiunge partizioni a una tabella durante una scansione incrementale?
AWS UFFICIALEAggiornata un anno fa
Come posso proteggere la mia istanza EC2 per soddisfare programmi di conformità?
AWS UFFICIALEAggiornata 8 mesi fa