Por que o Amazon Inspector não está escaneando minhas instâncias do Amazon EC2?

5 minuto de leitura

Eu ativei o Amazon Inspector, mas ele não escaneia minha instância do Amazon Elastic Compute Cloud (Amazon EC2). O status no painel do Amazon Inspector mostra “EC2 instance stopped”, “Unmanaged EC2 instance”, “Unsupported OS”, “Internal error”, “Pending initial scan” ou “No inventory”.

Breve descrição

O Amazon Inspector pode não escanear suas instâncias do EC2 pelos seguintes motivos:

O AWS Systems Manager Agent (SSM Agent) não está atualizado.
A instância do EC2 não está no estado de execução.
O sistema operacional (SO) não é compatível.
Sua instância não está conectada ao AWS Systems Manager.
O Amazon Inspector não está associado ao Systems Manager.

É possível usar o painel do Amazon Inspector para monitorar o status de suas instâncias. Para obter mais informações, consulte Como escanear instâncias do Amazon EC2 com o Amazon Inspector.

Resolução

Atualize a versão do SSM Agent

Para verificar instâncias, o SSM Agent deve estar em execução no Amazon Inspector. Se você tiver uma versão anterior do SSM Agent, é uma prática recomendada atualizá-la. Também é uma prática recomendada configurar o Systems Manager para atualizar automaticamente o SSM Agent.

Para atualizar manualmente o SSM Agent, assine as notificações do SSM Agent. Em seguida, use o comando Executar para atualizar o SSM Agent. Também é possível assinar as notas de lançamento do SSM Agent no site do GitHub.

Reinicie a instância

Você obtém o status de instância do EC2 interrompida porque a instância está parada, então o Amazon Inspector pausou a verificação. O Amazon Inspector mantém os resultados da verificação anterior quando a instância do EC2 é interrompida. Para iniciar a verificação novamente, reinicie a instância do EC2.

O Amazon Inspector verifica com base nos intervalos que você define nas associações do Systems Manager. É possível modificar os intervalos de verificação para instâncias do Linux e Windows.

Verifique se o Amazon Inspector é compatível com o SO

Você obtém o status de sistema operacional não suportado quando a instância usa um sistema operacional (SO) ou arquitetura que o Amazon Inspector não suporta.

Para verificar sua versão do Linux, execute o seguinte comando:

cat /etc/os-releaselsb_release -a
hostnamectl

No Windows, pesquise as Informações do Sistema e abra-as.

Para determinar se o Amazon Inspector oferece suporte ao seu SO, verifique a lista de sistemas operacionais compatíveis para verificar instâncias.

Confirme se sua instância está conectada ao Systems Manager

Se sua instância não aparecer no console do Systems Manager, execute o runbook AWSSupport-TroubleshootManagedInstance para identificar problemas de configuração do Systems Manager. Para obter mais informações, consulte Por que o Systems Manager não está mostrando minha instância do Amazon EC2 como uma instância gerenciada?

Para verificar a conexão da sua instância com o Systems Manager, conclua as seguintes etapas:

Abra o console do Systems Manager na mesma região da AWS que o Amazon Inspector e sua instância.
Escolha Fleet Manager.
Nos nós gerenciados, verifique o status do ping do SSM Agent. Se o status for On-line, sua instância estará conectada ao SSM Agent.

Se o status de ping do SSM Agent for Conexão perdida, certifique-se de que sua instância atenda aos pré-requisitos do Systems Manager. Se você usa o SSM Agent versão 3.1.501.0 ou posterior, é possível executar a linha de comando ssm-cli para determinar o problema e solucioná-lo.

Verifique se o Amazon Inspector está associado ao Systems Manager

Para coletar inventário de aplicações de software, o Amazon Inspector exige uma associação com o Gerenciador de Estados, um recurso do Systems Manager, em sua conta da AWS. Você obtém o status Sem inventário quando o Amazon Inspector não encontra o inventário de aplicações de software para escanear sua instância.

Para verificar se o Amazon Inspector e o Gerenciador de Estados estão associados, conclua as seguintes etapas:

Abra o console do Systems Manager na mesma região do Amazon Inspector e da sua instância.
Escolha Gerenciador de Estados.
Em Associações, verifique se a associação InspectorInventoryCollection-do-not-delete existe e se o Status é Sucesso.
Se a associação InspectorInventoryCollection-do-not-delete não existir, execute o documento SSM AWS-GatherSoftwareInventory em todas as instâncias. Escolha o ID da associação para a instância que não foi verificada e, em seguida, escolha a guia Histórico de execução para obter mais detalhes.
Se o status da associação InspectorInventoryCollection-do-not-delete for Falha, escolha o ID da associação. Em seguida, escolha Aplicar associação agora.
Verifique novamente o status da associação InspectorInventoryCollection-do-not-delete para confirmar que ela mudou de Falha para Sucesso.

O plug-in Amazon Inspector SSM para Windows é instalado automaticamente em suas instâncias do Windows. Quando você ativa a verificação do EC2, o Amazon Inspector cria novas associações de SSM para seus recursos do Windows. As associações SSM incluem InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-delete e InvokeInspectorSsmPlugin-do-not-delete. Se o status das associações for Falha, aplique a associação novamente. Se o arquivo InspectorSsmPlugin.exe não existir, a associação SSM InspectorDistributor-do-not-delete reinstalará automaticamente o plug-in durante a próxima verificação do Windows. Para obter mais informações, consulte Como escanear instâncias do Amazon EC2 com o Amazon Inspector.

Verifique se o nó existe na aplicação de software

Conclua as seguintes etapas:

Abra o console do Systems Manager na mesma região do Amazon Inspector e da sua instância.
Escolha Fleet Manager.
Em nós gerenciados, escolha seu ID de nó. Em seguida, escolha a guia Inventário para verificar se há aplicações de software no inventário da sua instância.

É uma prática recomendada definir a taxa de coleta de inventário para ser executada a cada 30 minutos. Para otimizar a coleta de inventário, edite a associação InspectorInventoryCollection-do-not-delete e defina a taxa de expressão cron por 30 minutos.

Informações relacionadas

Avaliação da cobertura do Amazon Inspector em seu ambiente da AWS

Como configurar o Amazon Inspector Classic para executar avaliações de segurança em minhas instâncias do Amazon EC2?

Tópicos: Security, Identity, & Compliance
Tags: Amazon Inspector
Idioma: Português

AWS OFICIALAtualizada há 6 meses

Sem comentários

Conteúdo relevante

minha instancia ec2 na amazon aws sumiu o que fazer
Marcio
feita há 6 meses
Erro ao conectar remotamente a Instância EC2 após problemas na licença do Acesso Remoto do Windows Server
PauloS
feita há 7 meses
Minha instância não aparece no Painel.
Carlos Augusto
feita há 7 meses
Cancelamento de instância reservada equivocadamente.
Paulo Achilles
feita há 7 meses
Acesso a instância EC2 via HTTP e HTTPS lentos para IPs específicos
Luciano
feita há 4 meses
Como configurar o Amazon Inspector Classic para executar avaliações de segurança em minhas instâncias do Amazon EC2?
AWS OFICIALAtualizada há 4 anos
Como excluo recursos específicos da AWS das leituras do Amazon Inspector?
AWS OFICIALAtualizada há um ano
Como protejo minha instância do EC2 para atender aos programas de conformidade?
AWS OFICIALAtualizada há 5 meses
Por que minha instância Windows do EC2 está inativa com uma falha na verificação do status da instância?
AWS OFICIALAtualizada há 6 meses
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 3 meses