Por que o Amazon Inspector não está verificando minhas instâncias do Amazon EC2?
Eu ativei o Amazon Inspector, mas ele não está verificando minha instância do Elastic Compute Cloud (Amazon EC2). O status do painel do Amazon Inspector é “Instância do EC2 não gerenciada”, “Sistema operacional sem suporte”, “Erro interno”, “Verificação inicial pendente” ou “Sem inventário”.
Breve descrição
O Amazon Inspector usa o AWS Systems Manager e o AWS Systems Manager Agent (SSM Agent) para escanear aplicações de software instaladas em suas instâncias do Amazon EC2. Os dados de telemetria coletados pelo SSM Agent são então escaneados pelo Amazon Inspector em busca de vulnerabilidades de software. Você pode usar o painel do Amazon Inspector para monitorar o status das suas instâncias do Amazon EC2. Para obter mais informações, consulte Verificar instâncias do Amazon EC2 com o Amazon Inspector.
Se o Amazon Inspector não estiver escaneando suas instâncias do Amazon EC2, certifique-se de que:
- O SSM Agent esteja atualizado.
- A instância do Amazon EC2 esteja em execução.
- O sistema operacional seja compatível.
- A conectividade com o Systems Manager esteja configurada.
- Associações do Systems Manager e a aplicação de software estejam configuradas.
Resolução
Verificar a versão do SSM Agent
O Amazon Inspector deve ter o SSM Agent em execução para verificar instâncias do Amazon EC2. Se você estiver usando uma versão mais antiga do SSM Agent, talvez seja necessário atualizá-la para verificar com êxito as instâncias do Amazon EC2. É uma boa prática automatizar o processo de atualização do SSM Agent. Para obter instruções, consulte Atualizar automaticamente o SSM Agent.
Para atualizar o SSM Agent manualmente, assine as notificações do SSM Agent. Em seguida, atualize o SSM Agent usando o Run Command. Você também pode assinar notas de lançamento do SSM Agent no site do GitHub.
Verificar se a instância do Amazon EC2 está em execução
O status “Instância do EC2 interrompida” significa que o Amazon Inspector pausou a verificação da instância porque a instância está em um estado interrompido. Todas as descobertas existentes persistirão até que a instância seja encerrada. Se a instância for reiniciada, o Amazon Inspector retomará automaticamente a verificação da instância. Para reiniciar uma instância do Amazon EC2, consulte Interromper e iniciar suas instâncias.
Verificar se o sistema operacional é compatível
O status “Unsupported OS” (Sistema operacional incompatível) significa que a instância do Amazon EC2 usa um sistema operacional ou uma arquitetura que o Amazon Inspector não aceita. Para ver uma tabela que lista os sistemas operacionais compatíveis para verificar instâncias do EC2, consulte Supported operating systems: Amazon EC2 scanning (Sistemas operacionais compatíveis: verificação do Amazon EC2).
Para verificar a versão do seu sistema operacional, siga estas etapas para Linux ou Windows:
Sistema operacional Linux
Execute o seguinte comando:
cat /etc/os-release lsb_release -a hostnamectl
SO Windows
Escolha a tecla do logotipo do Windows + R, insira msinfo32 na caixa Open (Abrir) e escolha OK.
Verificar a conectividade com o Systems Manager
Observação: se a sua instância do Amazon EC2 não aparecer no console do Systems Manager, talvez seja necessário fazer uma configuração adicional. Para saber mais, consulte Por que minha instância do EC2 não está aparecendo na seção de instâncias gerenciadas do console do Systems Manager?
1. Abra o console do Systems Manager na mesma região que o Amazon Inspector e sua instância do Amazon EC2.
2. No painel de navegação, escolha Fleet Manager.
3. Em Managed nodes (Nós gerenciados), verifique SSM Agent ping status (Status do ping do SSM Agent). Se o status for Online, significa que sua instância do Amazon EC2 está conectada ao SSM Agent.
Se o SSM Agent ping status (Status do ping do SSM Agent) for Connection Lost (Conexão perdida), certifique-se de que sua instância do Amazon EC2 atende aos pré-requisitos do Systems Manager. Se você estiver usando o SSM Agent versão 3.1.501.0 ou superior, poderá usar a ferramenta de linha de comando ssm-cli para diagnóstico e solução de problemas adicionais. Para obter instruções, consulte Solucionar problemas de disponibilidade da instância gerenciada do Amazon EC2 usando o ssm-cli.
Você também pode executar o documento AWSSupport-TroubleshootManagedInstance do Systems Manager Automation para confirmar se a instância atende aos pré-requisitos para ser listada como uma instância gerenciada. Para obter mais informações, consulte AWSSupport-TroubleshootManagedInstance.
Verificar as associações e a aplicação de software do Systems Manager
O Amazon Inspector exige uma associação com o Systems Manager State Manager na sua conta para coletar o inventário de aplicações de software. O Amazon Inspector cria automaticamente uma associação chamada InspectorInventoryCollection-do-not-delete. O status “Sem inventário” significa que o Amazon Inspector não conseguiu encontrar o inventário de aplicações de software para verificar sua instância do Amazon EC2.
Verificar o status das associações
1. Abra o console do Systems Manager na mesma região que o Amazon Inspector e sua instância do Amazon EC2.
2. No painel de navegação, escolha State Manager (Gerenciador de estados).
3. Em Associations (Associações), verifique se a associação InspectorInventoryCollection-do-not-delete existe e se o Status é Success (Êxito).
4. Se a associação InspectorInventoryCollection-do-not-delete não existir, execute o documento AWS-GatherSoftwareInventory em todas as instâncias do Amazon EC2. Escolha o Association id (ID de associação) para a instância do Amazon EC2 que não foi verificada e, em seguida, escolha a guia Execution history (Histórico de execução) para obter mais detalhes.
5. Se o Status da associação InspectorInventoryCollection-do-not-delete for Failed (Falha), escolha o Association id (ID da associação) e depois Apply association now (Aplicar associação agora).
6. Verifique novamente o Status da associação InspectorInventoryCollection-do-not-delete para confirmar se ele mudou de Failed (Falha) para Success (Êxito).
Observação: para Windows, o plug-in do SSM do Amazon Inspector é necessário para verificar instâncias do Windows EC2. Quando o escaneamento do EC2 é ativado, o Amazon Inspector cria as novas associações de SSM InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-delete e InvokeInspectorSSMPlugin-do-not-delete para os recursos do Windows. Se o Status de alguma dessas associações for Failed (Falha), tente reaplicar a associação. Se o arquivo InspectorSsmPlugin.exe for excluído, a associação SSM InspectorDistributor-do-not-delete reinstalará o plug-in na próxima verificação do Windows. Para obter mais informações, consulte Scanning Windows EC2 instances with Amazon Inspector (Verificar instâncias do Windows EC2 com o Amazon Inspector).
Verifique se a aplicação de software existe no nó
Certifique-se de que haja pacotes de software no inventário da sua instância do Amazon EC2.
1. Abra o console do Systems Manager na mesma região que o Amazon Inspector e sua instância do Amazon EC2.
2. No painel de navegação, escolha Fleet Manager.
3. Em Managed nodes (Nós gerenciados), escolha sua Node ID (ID do nó) e, em seguida, escolha a guia Inventory (Inventário) para verificar se há aplicações de software.
Verificar a taxa de inventário da aplicação de software
É uma boa prática definir a taxa de coleta de inventário para ser executada a cada 30 minutos. Edite a associação InspectorInventoryCollection-do-not-delete e defina a taxa de expressão cron para 30 minutos.
Informações relacionadas
Avaliar a cobertura do Amazon Inspector sobre seu ambiente da AWS
Conteúdo relevante
- AWS OFICIALAtualizada há 3 anos
- AWS OFICIALAtualizada há 3 anos
- AWS OFICIALAtualizada há 3 anos