Comment éviter les erreurs « échec de la numérisation ami » lors de la numérisation AWS AMI des images dans Prisma Cloud?

• Lorsque Prisma Cloud la console tente de numériser AWS AMI des images, elle peut renvoyer le message d’erreur suivant après quelques nouvelles tentatives et temps d’attente.

• Pour éviter de telles erreurs, cet article vise à accomplir ce qui suit: -
  • Décrire quelques-unes des raisons les plus courantes des échecs lors de la numérisation AWS AMI d’images dans Prisma Cloud.
  • Fournissez une liste de contrôle des solutions de contournement ou des solutions pour y remédier.

• Prisma Cloud Calculer
• AWS

Confirmez que le AMI en question est pris en charge

• Prisma Cloud peut analyser les Amazon Machine Images (AMI) Linux.
• Toutefois, les AMI suivantes ne sont pas prises en charge :

1. Images qui n’utilisent pas cloud-init pour l’amorçage, telles que Red Hat Enterprise Linux CoreOS (CoreOS pour OpenShift). RHCOS utilise Ignition.
2. Images qui utilisent la paravirtualisation.
3. Images qui ne prennent en charge que les anciens TLS protocoles (moins de TLS 1.1) pour les utilitaires tels que curl. Par exemple, Ubuntu 12.10.

IAM Policy pour l’analyse

• Le compte Prisma Cloud de service utilisé pour analyser les AMI doit avoir au moins les éléments suivants IAM policy:

VPC Sélection

• Si la valeur par défaut VPC est sélectionnée dans la console mais n’est pas configurée dans Prisma Cloud AWS, le message d’erreur suivant peut s’afficher.

• Pour résoudre ce message d’erreur, recréez la valeur par défaut dans AWS : Créer une valeur par défaut VPC VPC 
• Il est également important de noter que, selon AWS la documentation, la valeur par défaut supprimée précédente ne peut pas être restaurée et qu’une valeur par défaut existante ne peut pas être marquée comme valeur par VPC défaut VPC VPC.
• À l’avenir, les VPC personnalisés autres que ceux par défaut sont également pris en charge et Si vous souhaitez une personnalisation VPC pour l’instance du scannerVM, l’ID peut être spécifié : Configurer VM l’analyse d’image VPC

Connectivité à la console

• L’accès de la console par défaut/personnalisé VPC via le port utilisé pour la communication entre Defender et la console (8084 par défaut) doit être autorisé pour permettre aux défenseurs sur les machines virtuelles créées par la console de renvoyer les résultats de l’analyse.
• Si IGW (Passerelle Internet) est utilisé pour l’accès à Internet, assurez-vous que les VM instances impliquées dans le processus d’analyse ont des adresses publiques IP .
• Cela peut être résolu en activant « l’attribution automatique d’une adresse IPv4 publique » sur les sous-réseaux dans lesquels les instances résident : Activer l’attribution automatique d’une VM adresse IPv4 publique
• Grâce à cela, les nouvelles instances EC2 (nouvelles machines virtuelles) lancées après l’activation de ce paramètre pourront établir une connectivité à la Prisma Cloud console et rapporter les résultats de l’analyse.

Déploiement

• Assurez-vous que toutes les étapes de déploiement ont été correctement suivies comme décrit ici : Configurer VM l’analyse d’image

AMI Nom de l’image

• Évitez les espaces vides et le double « / » dans Nom de l’image AMI .
• Voici quelques exemples de noms d’images qui peuvent échouer à l’analyse AMI :

1. Test.region.amazonaws.com//tss/test
2. TestAMI 

Remarque :

• Il existe une demande de fonctionnalité pour prendre en charge l’analyse des AMI chiffrées, sans pour ETA le moment : https://prismacloud.ideas.aha.io/ideas/TP-I- 346