Agentenloser Scan, bei dem ein privates Image (AMI) als Marketplace-Image identifiziert wird, das eine EULA erfordert, zusammen mit anderen Market-Place-Bildern.

• Agentenloser Scan, der einige AMIs als Marketplace-Image identifiziert, das ein Abonnement erfordert.

• Dadurch kann der Scanner nicht bereitgestellt werden, und die Konsole protokolliert die folgende Meldung:

ERRO 2024-06-16T20:50:17.260 types.go:590 (agentless/orchestrator.go:2211) Failed to deploy scanner: failed to deploy scanner ---snip
: subscription required
OptInRequired: In order to use this AWS Marketplace product you need to accept terms and subscribe. To do so please visit https://aws.amazon.com/marketplace/pp?sku=1o0kp4lye72fbgbb39noij1xu
status code: 401, request id: e19ff056-c8f1-2d12-9217-772eb47eb293. Skipping instances: [<instance-ids> <instance-ids> <instance-ids>] target="<target-account-id>" hub="<hub-account-id>" region="ap-southeast-2" availabilityDomain="" job="Scan" workerID="z5fd2351-6123-4424-9127-cd12345d12d6"

• Prisma Cloud
  • AWS (Englisch)
  • Agentenloses Scannen

• Der Prisma Cloud Scanner kann nicht bereitgestellt werden, wenn für eines der AMIs in der Scan-Liste ein Abonnement erforderlich ist. Dies führt dazu, dass das Scannen anderer AMIs, für die kein Abonnement erforderlich ist, ebenfalls fehlschlägt, da der Scanner selbst nicht gestartet werden konnte.
• Wenn für ein AMI ein Abonnement erforderlich ist (kostenpflichtig oder EULA akzeptieren), muss das Konto den Marketplace-Abonnementprozess abschließen, bevor Instances von diesem AMI gestartet werden können. Ohne das erforderliche Abonnement wird die Ausführung der Instanz blockiert.
• Mit der aktuellen Architektur werden solche AWS Marketplace-Probleme nur erkannt, wenn der Prisma Cloud Scanner im Cloud-Konto gestartet wird. Mehrere Instanzen werden in einer einzigen Scannerinstanz gescannt, und der Fehler bei der Scannerbereitstellung aufgrund eines Abonnementproblems wirkt sich auf alle Instanzen in der Überprüfungsliste aus, einschließlich derjenigen, für die kein Abonnement erforderlich ist.
• Das Problem tritt häufig beim Scannen von Hub-Konten auf. Der agentenlose Scan wird über ein Hub-Konto durchgeführt, bei dem die EULA/das Abonnement für das Marketplace-AMI (für die AMIs der anderen Konten) im Hub-Konto nicht akzeptiert wurde. Wenn der Scanner versucht, mehrere Instanzen zu scannen, schlägt er fehl, wenn einer der Hosts (mit einem Marketplace-AMI) in der Scannerliste ein Abonnement erfordert. Dies führt dazu, dass alle Hosts, einschließlich derjenigen, die kein Abonnement erfordern, als EULA erforderlich gemeldet werden.

• Um dieses Problem zu beheben, wird empfohlen, sicherzustellen, dass das Hub-Konto, das für die agentenlose Überprüfung verwendet wird, über die erforderliche EULA/das erforderliche Abonnement verfügt, das für alle Marketplace-AMIs akzeptiert wird, die Teil der Überprüfungsliste sind. Auf diese Weise kann der Scanner erfolgreich bereitgestellt werden und alle Instanzen gescannt werden, einschließlich derjenigen, die private AMIs verwenden.
• Der Abonnement-Link wird in den Konsolenprotokollen gedruckt:

ERRO 2024-06-16T20:50:17.260 types.go:590 (agentless/orchestrator.go:2211) Failed to deploy scanner: failed to deploy scanner 
---snip
: subscription required
OptInRequired: In order to use this AWS Marketplace product you need to accept terms and subscribe. To do so please visit >>>>>>https://aws.amazon.com/marketplace/pp?sku=1o0kp4lye72fbgbb39noij1xu. <<<<<<<<<<<
status code: 401, request id: e19ff056-c8f1-2d12-9217-772eb47eb293. Skipping instances: [<instance-ids> <instance-ids> <instance-ids>] target="<target-account-id>" hub="<hub-account-id>" region="ap-southeast-2" availabilityDomain="" job="Scan" workerID="z5fd2351-6123-4424-9127-cd12345d12d6"

• Wenn die EULA nicht akzeptiert wird, führt dies dazu, dass der Scanner fehlschlägt. Dies führt dazu, dass alle Hosts, einschließlich derjenigen, die kein Abonnement erfordern, als EULA erforderlich gemeldet werden.

Problemumgehung:

• Die Schritte, um dies zu handhaben, wären:
  1. Identifizieren Sie die AMIs, für die EULA-Anforderungen gelten, die nicht akzeptiert werden können.
  2. Fügen Sie diesen spezifischen AMIs ein Tag hinzu.
  3. Konfigurieren Sie den agentenlosen Scan so, dass die AMIs mit dem spezifischen Ausschluss-Tag ausgeschlossen werden.
• Auf diese Weise versucht der agentenlose Scan nicht, die Marketplace-AMIs mit solchen Abonnementeinschränkungen aufzunehmen und zu scannen, und vermeidet so Fehler oder Fehler während des Scanvorgangs.

Wann ist für AWS AMI (Amazon Machine Image) ein Marketplace-Abonnement erforderlich?
 

• Für das AWS AMI ist ein Marketplace-Abonnement erforderlich, wenn:
  • Vorkonfigurierte AMIs aus AWS Marketplace: Um ein AMI zu verwenden, das vorkonfiguriert und über den AWS Marketplace verfügbar gemacht wurde, muss das Konto die Marketplace-Liste dieses AMI abonnieren. Dies gibt dem Konto das Recht, die im AMI enthaltene Software oder Dienste zu nutzen.
  • Private AMIs, die von anderen AWS-Konten freigegeben wurden: Wenn ein anderer AWS-Kontoinhaber ein privates AMI für Sie freigegeben hat und dieses AMI Software oder Services enthält, für die ein Marketplace-Abonnement erforderlich ist, müssen Sie die entsprechende Marketplace-Liste abonnieren, bevor Sie Instances von diesem AMI starten können.
  • Community-AMIs mit kostenpflichtiger Software: Einige Community-AMIs, die im AWS Marketplace verfügbar sind, enthalten Software, für die ein kostenpflichtiges Abonnement erforderlich ist. In diesem Fall müssen Sie die Marketplace-Liste abonnieren, bevor Sie Instances von diesem AMI starten.
• Wenn ein AMI, das Sie verwenden möchten, Software oder Services enthält, für die ein Abonnement erforderlich ist, müssen Sie im Allgemeinen den Marketplace-Abonnementprozess abschließen, bevor Sie Instances von diesem AMI starten können. Das Marktplatz-Abo gewährt Ihnen die notwendigen Nutzungsrechte und Berechtigungen.
• Wenn das AMI, das Sie verwenden möchten, keine Software oder Dienste enthält, für die ein Marketplace-Abonnement erforderlich ist, müssen Sie kein Marketplace-Angebot abonnieren, um dieses AMI zu verwenden.
   

Warum ist dies bei der Überprüfung von Hub-Konten üblich?

• In einem agentenlosen Scan-Szenario werden die Scans auf den ausgeführten Instances und den zugehörigen Amazon Machine Images (AMIs) durchgeführt. Wenn die Instance bereits ausgeführt wird, bedeutet dies, dass das Konto, das zum Starten der Instance verwendet wurde, über das erforderliche Marketplace-Abonnement verfügte, um dieses AMI zu verwenden.
• Daher sollte bei der Überprüfung von Instances innerhalb desselben Kontos, das das AMI besitzt, der agentenlose Scan erfolgreich sein, da die Abonnementanforderungen bereits erfüllt sind und das AMI bereits ausgeführt wird
• In einem Szenario, in dem der Scanvorgang jedoch über ein Hub-Konto ausgeführt wird, wird der Scanner bereitgestellt, indem das Ziel-AMI auf dem Hub-Konto ausgeführt wird. Da das Marketplace-Abonnement für dieses AMI mit einem anderen Konto und nicht mit dem Hub-Konto verknüpft ist, schlägt der Versuch, das AMI auf dem Hub-Konto auszuführen, fehl, und der Scan gibt eine Fehlermeldung zurück, die auf das fehlende Abonnement hinweist.