扫描时如何避免“failed scanning ami”错误AWS AMI图片在Prisma Cloud？

• 什么时候Prisma Cloud控制台尝试扫描AWS AMI图像，它可能会在几次重试和等待时间后返回以下错误消息。

• 为避免此类错误，本文旨在完成以下工作：-
  • 概述扫描失败背后的一些最常见原因AWS AMI图片在Prisma Cloud.
  • 提供解决这些问题的解决方法或解决方案的清单。

• Prisma Cloud 计算
• AWS

确认AMI有问题的是支持

• Prisma Cloud 可以扫描 Linux Amazon 机器映像 (AMI)。
• 但是，不支持以下 AMI：

1. 不使用 cloud-init 进行引导的映像，例如 Red Hat Enterprise Linux CoreOS（OpenShift 的 CoreOS）。 RHCOS 使用点火。
2. 使用半虚拟化的图像。
3. 只支持旧的图像TLS协议（小于TLS1.1) 用于 curl 等实用程序。 例如，Ubuntu 12.10。

IAM Policy 用于扫描

• 服务帐号Prisma Cloud用于扫描 AMI 必须至少具有以下内容IAM policy:

VPC 选择

• 如果默认VPC被选在Prisma Cloud控制台但未配置AWS，可能会遇到以下错误消息。

• 要解决此错误消息，请重新创建默认值VPC在AWS:创建默认值VPC
• 同样重要的是要注意，根据AWS文档，以前删除的默认值VPC无法恢复，并且现有的非默认VPC不能标记为默认VPC.
• 展望未来，还支持自定义非默认 VPC，如果您想要自定义VPC对于扫描仪VM例如，VPC可以指定 id：配置VM图像扫描

连接到控制台

• 从默认/自定义访问VPC需要允许通过用于 Defender 到控制台通信的端口（默认 8084）到控制台，以便在控制台创建的 VM 上启用 Defender 以发送回扫描结果。
• 如果IGW(Internet Gateway) 用于上网，确保VM扫描过程中涉及的实例公开IP地址。
• 这可以通过在子网上启用“自动分配公共 IPv4 地址”来解决VM实例驻留在：启用自动分配公共 IPv4 地址
• 这样，启用此设置后启动的新 EC2 实例（新 VM）将能够建立与Prisma Cloud控制并报告扫描结果。

部署

• 确保已按照此处所述正确执行所有部署步骤：配置VM图像扫描

AMI 图片名称

• 避免空格和双“/”AMI图像名称。
• 的一些例子AMI可能会遇到扫描失败的图像名称是：

1. 测试.region.amazonaws.com//tss/test
2. 测试AMI

笔记：

• 存在支持扫描加密 AMI 的现有功能请求，没有ETA此时 ： https://prismacloud.ideas.aha.io/ideas/TP-I- 346