Amazon Inspector가 내 Amazon EC2 인스턴스를 스캔하지 않는 이유는 무엇입니까?
Amazon Inspector를 활성화했지만 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 스캔하지 않습니다. Amazon Inspector 대시보드의 상태는 ‘EC2 인스턴스 중지됨’, ‘관리되지 않는 EC2 인스턴스’, ‘지원되지 않는 OS’, ‘내부 오류’, ‘초기 스캔 보류 중’ 또는 ‘인벤토리 없음’으로 표시됩니다.
간략한 설명
Amazon Inspector는 다음과 같은 이유로 EC2 인스턴스를 스캔하지 못할 수 있습니다.
- AWS Systems Manager Agent(SSM Agent)가 최신 버전이 아닙니다.
- EC2 인스턴스가 실행 중 상태가 아닙니다.
- 운영 체제(OS)가 호환되지 않습니다.
- 인스턴스가 AWS Systems Manager에 연결되어 있지 않습니다.
- Amazon Inspector가 Systems Manager와 연결되어 있지 않습니다.
Amazon Inspector 대시보드를 사용하여 인스턴스의 상태를 모니터링할 수 있습니다. 자세한 내용은 Amazon Inspector로 Amazon EC2 인스턴스 스캔을 참조하십시오.
해결 방법
SSM Agent 버전 업데이트
인스턴스를 스캔하려면 Amazon Inspector에서 SSM Agent를 실행해야 합니다. 이전 버전의 SSM Agent를 사용하는 경우 업데이트하는 것이 가장 좋습니다. SSM Agent를 자동으로 업데이트하도록 Systems Manager를 구성하는 것도 모범 사례입니다.
SSM Agent를 수동으로 업데이트하려면 SSM Agent 알림을 구독하십시오. 그런 다음, Run 명령을 사용하여 SSM Agent를 업데이트합니다. GitHub 웹 사이트에서 SSM Agent 릴리스 노트를 구독할 수도 있습니다.
인스턴스 재시작
인스턴스가 중지되어 Amazon Inspector에서 스캔을 일시 중지했기 때문에 EC2 인스턴스 중지됨 상태가 됩니다. Amazon Inspector는 EC2 인스턴스가 중지되면 이전 스캔 결과를 보관합니다. 스캔을 다시 시작하려면 EC2 인스턴스를 다시 시작합니다.
Amazon Inspector는 Systems Manager 연결에서 설정한 간격을 기준으로 스캔합니다. Linux 인스턴스 및 Windows 인스턴스의 스캔 간격을 수정할 수 있습니다.
Amazon Inspector가 OS를 지원하는지 확인
인스턴스가 Amazon Inspector에서 지원하지 않는 운영 체제(OS) 또는 아키텍처를 사용하는 경우 지원되지 않는 OS 상태가 표시됩니다.
Linux 버전을 확인하려면 다음 명령을 실행합니다.
cat /etc/os-releaselsb_release -a hostnamectl
Windows의 경우 시스템 정보를 검색한 후 엽니다.
Amazon Inspector가 OS를 지원하는지 확인하려면 인스턴스를 스캔할 수 있는 지원되는 운영 체제 목록을 확인하십시오.
인스턴스가 Systems Manager에 연결되었는지 확인
인스턴스가 Systems Manager 콘솔에 나타나지 않는 경우 AWSSupport-TroubleshootManagedInstance 런북을 실행하여 Systems Manager 구성 문제를 식별하십시오. 자세한 내용은 Systems Manager에서 Amazon EC2 인스턴스를 관리형 인스턴스로 표시하지 않는 이유는 무엇입니까?를 참조하십시오.
인스턴스와 Systems Manager의 연결을 확인하려면 다음 단계를 완료하십시오.
- Amazon Inspector 및 인스턴스와 동일한 AWS 리전에서 Systems Manager 콘솔을 엽니다.
- Fleet Manager를 선택합니다.
- 관리형 노드에서 **SSM Agent Ping 상태 **를 확인합니다. 상태가 온라인이면 인스턴스가 SSM Agent에 연결된 것입니다.
SSM Agent Ping 상태가 연결 끊김이면 인스턴스가 Systems Manager 사전 요구 사항을 충족하는지 확인하십시오. SSM Agent 버전 3.1.501.0 이상을 사용하는 경우 ssm-cli 명령줄을 실행하여 문제를 확인하고 해결할 수 있습니다.
Amazon Inspector가 Systems Manager와 연결되어 있는지 확인
소프트웨어 애플리케이션 인벤토리를 수집하려면 Amazon Inspector가 AWS 계정에서 Systems Manager의 기능인 상태 관리자와 연결되어 있어야 합니다. Amazon Inspector가 인스턴스를 스캔할 소프트웨어 애플리케이션 인벤토리를 찾지 못하면 인벤토리 없음 상태가 표시됩니다.
Amazon Inspector와 상태 관리자가 연결되어 있는지 확인하려면 다음 단계를 완료하십시오.
- Amazon Inspector 및 인스턴스와 동일한 리전에서 Systems Manager 콘솔을 엽니다.
- 상태 관리자를 선택합니다.
- 연결에서 InspectorInventoryCollection-do-not-delete 연결이 존재하고 상태가 성공인지 확인합니다.
- InspectorInventoryCollection-do-not-delete 연결이 존재하지 않는 경우 모든 인스턴스에서 AWS-GatherSoftwareInventory SSM 문서를 실행합니다. 스캔하지 않은 인스턴스에 대한 연결 ID를 선택한 다음, 실행 내역 탭을 선택하여 자세한 내용을 확인합니다.
- InspectorInventoryCollection-do-not-delete 연결 상태가 실패인 경우 연결 ID를 선택합니다. 그런 다음, 지금 연결 적용을 선택합니다.
- InspectorInventoryCollection-do-not-delete 연결 상태를 다시 확인하여 실패에서 성공으로 변경되었는지 확인합니다.
Windows용 Amazon Inspector SSM 플러그인은 Windows 인스턴스에 자동으로 설치됩니다. EC2 스캐닝을 활성화하면 Amazon Inspector가 Windows 리소스에 대한 새로운 SSM 연결을 생성합니다. SSM 연결에는 InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-delete, InvokeInspectorSsmPlugin-do-not-delete가 포함됩니다. 연결 상태가 실패인 경우 연결을 다시 적용하십시오. InspectorSsmPlugin.exe 파일이 없는 경우 InspectorDistributor-do-not-delete SSM 연결이 다음 Windows 스캔 중에 플러그인을 자동으로 다시 설치합니다. 자세한 내용은 Amazon Inspector로 Amazon EC2 인스턴스 스캔을 참조하십시오.
노드가 소프트웨어 애플리케이션에 있는지 확인
다음 단계를 완료하십시오.
- Amazon Inspector 및 인스턴스와 동일한 리전에서 Systems Manager 콘솔을 엽니다.
- Fleet Manager를 선택합니다.
- 관리형 노드에서 노드 ID를 선택합니다. 그런 다음, 인벤토리 탭을 선택하여 인스턴스 인벤토리에 소프트웨어 애플리케이션이 있는지 확인합니다.
인벤토리 수집 속도를 30분마다 실행하도록 설정하는 것이 가장 좋습니다. 인벤토리 수집을 최적화하려면 InspectorInventoryCollection-do-not-delete 연결을 편집한 다음, cron 표현식 속도를 30분으로 설정합니다.
관련 정보
AWS 환경의 Amazon Inspector 적용 범위 평가
Amazon EC2 인스턴스에서 보안 평가를 실행하도록 Amazon Inspector Classic을 설정하려면 어떻게 해야 합니까?
- 언어
- 한국어
