Escaneo sin agente que identifica una imagen privada (AMI) como imagen de mercado que requiere EULA junto con otras imágenes de mercado.

• Escaneo sin agentes que identifica algunas AMI como imagen de mercado que requiere suscripción.

• Esto no permite que el escáner se implemente y la consola registre el siguiente mensaje:

ERRO 2024-06-16T20:50:17.260 types.go:590 (agentless/orchestrator.go:2211) Failed to deploy scanner: failed to deploy scanner ---snip
: subscription required
OptInRequired: In order to use this AWS Marketplace product you need to accept terms and subscribe. To do so please visit https://aws.amazon.com/marketplace/pp?sku=1o0kp4lye72fbgbb39noij1xu
status code: 401, request id: e19ff056-c8f1-2d12-9217-772eb47eb293. Skipping instances: [<instance-ids> <instance-ids> <instance-ids>] target="<target-account-id>" hub="<hub-account-id>" region="ap-southeast-2" availabilityDomain="" job="Scan" workerID="z5fd2351-6123-4424-9127-cd12345d12d6"

• Prisma Cloud
  • AWS (Estados Unidos)
  • Escaneo sin agentes

• No se puede implementar Prisma Cloud Scanner cuando una de las AMI de la lista de análisis requiere una suscripción. Esto hace que también se produzca un error en el análisis de otras AMI que no requieren una suscripción, ya que el propio análisis no se pudo iniciar.
• Si una AMI requiere una suscripción (de pago o de aceptación de EULA), la cuenta debe completar el proceso de suscripción de Marketplace antes de lanzar instancias desde esa AMI. Sin la suscripción necesaria, se bloqueará la ejecución de la instancia.
• Con la arquitectura actual, estos problemas de AWS Marketplace solo se detectan cuando se inicia Prisma Cloud Scanner en la cuenta en la nube. Se analizan varias instancias en una sola instancia de escáner, y el error de la implementación del escáner debido a un problema de suscripción afecta a todas las instancias de la lista de análisis, incluidas las que no requieren una suscripción.
• El problema se nota comúnmente con el escaneo de la cuenta de Hub. El análisis sin agente se realiza a través de una cuenta de Hub, donde el EULA/suscripción para la AMI de Marketplace (para las AMI de las otras cuentas) no se ha aceptado en la cuenta de Hub. Cuando el analizador intenta examinar varias instancias, se produce un error si alguno de los hosts (mediante una AMI de Marketplace) de la lista de analizadores requiere una suscripción. Esto hace que todos los hosts, incluidos los que no requieren una suscripción, se informen como que requieren EULA.

• Para solucionar este problema, el enfoque recomendado es asegurarse de que la cuenta de hub utilizada para el análisis sin agente tenga el EULA/suscripción necesarios aceptados para cualquier AMI de mercado que forme parte de la lista de análisis. Esto permitirá que el escáner se implemente correctamente y analice todas las instancias, incluidas las que utilizan AMI privadas.
• El enlace de suscripción se imprime en los registros de la consola:

ERRO 2024-06-16T20:50:17.260 types.go:590 (agentless/orchestrator.go:2211) Failed to deploy scanner: failed to deploy scanner 
---snip
: subscription required
OptInRequired: In order to use this AWS Marketplace product you need to accept terms and subscribe. To do so please visit >>>>>>https://aws.amazon.com/marketplace/pp?sku=1o0kp4lye72fbgbb39noij1xu. <<<<<<<<<<<
status code: 401, request id: e19ff056-c8f1-2d12-9217-772eb47eb293. Skipping instances: [<instance-ids> <instance-ids> <instance-ids>] target="<target-account-id>" hub="<hub-account-id>" region="ap-southeast-2" availabilityDomain="" job="Scan" workerID="z5fd2351-6123-4424-9127-cd12345d12d6"

• Si no se acepta el EULA, se produce un error en el escáner. Esto hace que todos los hosts, incluidos los que no requieren una suscripción, se informen como que requieren EULA.

Solución alternativa:

• Los pasos para manejar esto serían:
  1. Identifique las AMI que tienen requisitos de EULA que no se pueden aceptar.
  2. Agregue una etiqueta a esas AMI específicas.
  3. Configure el análisis sin agente para excluir las AMI con la etiqueta de exclusión específica.
• De este modo, el análisis sin agente no intentará recoger y analizar las AMI del mercado que tengan dichas restricciones de suscripción y, por lo tanto, evitará fallos o errores durante el proceso de análisis.

¿Cuándo AWS AMI (Amazon Machine Image) requiere una suscripción al mercado?
 

• La AWS AMI requiere una suscripción a Marketplace si:
  • AMI preconfiguradas de AWS Marketplace: para utilizar una AMI preconfigurada y disponible a través de AWS Marketplace, la cuenta debe suscribirse a la lista de mercado de esa AMI. Esto otorga a la cuenta el derecho a utilizar el software o los servicios incluidos en la AMI.
  • AMI privadas compartidas desde otras cuentas de AWS: si otro propietario de una cuenta de AWS ha compartido una AMI privada con usted y esa AMI contiene software o servicios que requieren una suscripción al mercado, deberá suscribirse a la lista del mercado correspondiente antes de poder lanzar instancias desde esa AMI.
  • AMI de la comunidad con software de pago: algunas AMI de la comunidad disponibles en AWS Marketplace contienen software que requiere una suscripción de pago. En este caso, deberá suscribirse a la lista de Marketplace antes de lanzar instancias desde esa AMI.
• En general, si una AMI que desea utilizar contiene software o servicios que requieren una suscripción, deberá completar el proceso de suscripción de Marketplace antes de poder lanzar instancias desde esa AMI. La suscripción al mercado le otorga los derechos y permisos de uso necesarios.
• Si la AMI que desea utilizar no contiene ningún software o servicio que requiera una suscripción a Marketplace, no es necesario que se suscriba a ninguna lista de Marketplace para utilizar esa AMI.
   

¿Por qué esto es común con el escaneo de cuentas de Hub?

• En un escenario de análisis sin agentes, los análisis se realizan en las instancias en ejecución y sus imágenes de máquina de Amazon (AMI) asociadas. Si la instancia ya se está ejecutando, implica que la cuenta utilizada para lanzar la instancia tenía la suscripción de marketplace necesaria para usar esa AMI.
• Por lo tanto, al analizar instancias dentro de la misma cuenta propietaria de la AMI, el análisis sin agente debe realizarse correctamente, ya que ya se cumplen los requisitos de suscripción y la AMI ya se está ejecutando
• Sin embargo, en un escenario en el que el análisis se realiza a través de una cuenta de concentrador, el análisis se implementará ejecutando la AMI de destino en la cuenta de concentrador. Dado que la suscripción de Marketplace para esa AMI está asociada a una cuenta diferente y no a la cuenta del concentrador, se producirá un error al intentar ejecutar la AMI en la cuenta del concentrador y el análisis devolverá un mensaje de error que indica la suscripción que falta.