Analyse sans agent identifiant une image privée (AMI) en tant qu’image de marché nécessitant un CLUF ainsi que d’autres images de marché.

• Analyse sans agent identifiant quelques AMI en tant qu ' image de marché nécessitant un abonnement.

• Le déploiement du scanner échoue et la console consigne le message ci-dessous :

ERRO 2024-06-16T20:50:17.260 types.go:590 (agentless/orchestrator.go:2211) Failed to deploy scanner: failed to deploy scanner ---snip
: subscription required
OptInRequired: In order to use this AWS Marketplace product you need to accept terms and subscribe. To do so please visit https://aws.amazon.com/marketplace/pp?sku=1o0kp4lye72fbgbb39noij1xu
status code: 401, request id: e19ff056-c8f1-2d12-9217-772eb47eb293. Skipping instances: [<instance-ids> <instance-ids> <instance-ids>] target="<target-account-id>" hub="<hub-account-id>" region="ap-southeast-2" availabilityDomain="" job="Scan" workerID="z5fd2351-6123-4424-9127-cd12345d12d6"

• Prisma Cloud
  • Malaisie
  • Analyse sans agent

• Le déploiement de Prisma Cloud Scanner échoue lorsque l’une des AMI de la liste d’analyse nécessite un abonnement. Cela entraîne également l'échec de l'analyse d'autres AMI qui ne nécessitent pas d'abonnement, car le moteur d'analyse lui-même n'a pas pu se lancer.
• Si une AMI nécessite un abonnement (payant ou acceptant le CLUF), le compte doit terminer le processus d’abonnement à la Place de marché avant de lancer des instances à partir de cette AMI. Sans l’abonnement nécessaire, l’exécution de l’instance sera bloquée.
• Avec l’architecture actuelle, ces problèmes AWS Marketplace ne sont détectés que lorsque le scanner Prisma Cloud est lancé dans le compte cloud. Plusieurs instances sont analysées dans une seule instance d’analyseur, et l’échec du déploiement de l’analyseur en raison d’un problème d’abonnement affecte toutes les instances de la liste d’analyse, y compris celles qui ne nécessitent pas d’abonnement.
• Le problème est fréquemment remarqué lors de l’analyse du compte Hub. L'analyse sans agent est effectuée par le biais d'un compte Hub, où le CLUF/l'abonnement à l'AMI de la place de marché (pour les AMI des autres comptes) n'a pas été accepté dans le compte Hub. Lorsque l’analyseur tente d’analyser plusieurs instances, il échoue si l’un des hôtes (à l’aide d’une AMI de la place de marché) de la liste de l’analyseur nécessite un abonnement. Cela fait en sorte que tous les hôtes, y compris ceux qui ne nécessitent pas d'abonnement, sont signalés comme nécessitant un CLUF.

• Pour résoudre ce problème, l’approche recommandée consiste à s’assurer que le compte hub utilisé pour l’analyse sans agent dispose du CLUF/abonnement requis accepté pour toutes les AMI de la place de marché qui font partie de la liste d’analyse. Cela permettra au scanner d’être déployé avec succès et d’analyser toutes les instances, y compris celles utilisant des AMI privées.
• Le lien d’abonnement est imprimé dans les journaux de la console :

ERRO 2024-06-16T20:50:17.260 types.go:590 (agentless/orchestrator.go:2211) Failed to deploy scanner: failed to deploy scanner 
---snip
: subscription required
OptInRequired: In order to use this AWS Marketplace product you need to accept terms and subscribe. To do so please visit >>>>>>https://aws.amazon.com/marketplace/pp?sku=1o0kp4lye72fbgbb39noij1xu. <<<<<<<<<<<
status code: 401, request id: e19ff056-c8f1-2d12-9217-772eb47eb293. Skipping instances: [<instance-ids> <instance-ids> <instance-ids>] target="<target-account-id>" hub="<hub-account-id>" region="ap-southeast-2" availabilityDomain="" job="Scan" workerID="z5fd2351-6123-4424-9127-cd12345d12d6"

• Le non-respect du CLUF entraîne l’échec du scanner. Cela fait en sorte que tous les hôtes, y compris ceux qui ne nécessitent pas d'abonnement, sont signalés comme nécessitant un CLUF.

Solution de contournement :

• Les étapes pour gérer cela seraient les suivantes :
  1. Identifiez les AMI dont les exigences du CLUF ne peuvent pas être acceptées.
  2. Ajoutez une balise à ces AMI spécifiques.
  3. Configurez l’analyse sans agent pour exclure les AMI avec la balise d’exclusion spécifique.
• De cette façon, l’analyse sans agent ne tentera pas de récupérer et d’analyser les AMI de la place de marché qui ont de telles restrictions d’abonnement, évitant ainsi toute défaillance ou erreur pendant le processus d’analyse.

Quand AWS AMI (Amazon Machine Image) nécessite-t-il un abonnement à la place de marché ?
 

• L’AMI AWS nécessite un abonnement à la place de marché si :
  • AMI préconfigurées à partir d'AWS Marketplace : pour utiliser une AMI qui a été préconfigurée et mise à disposition via AWS Marketplace, le compte doit s'abonner à la liste de cette AMI sur la place de marché. Cela donne au compte, le droit d’utiliser le logiciel ou les services inclus dans l’AMI.
  • AMI privées partagées à partir d’autres comptes AWS : si un autre propriétaire de compte AWS a partagé une AMI privée avec vous et que cette AMI contient des logiciels ou des services qui nécessitent un abonnement à la place de marché, vous devrez vous abonner à la liste de la place de marché appropriée avant de pouvoir lancer des instances à partir de cette AMI.
  • AMI communautaires avec logiciel payant : certaines AMI communautaires disponibles sur AWS Marketplace contiennent des logiciels qui nécessitent un abonnement payant. Dans ce cas, vous devrez vous abonner à la liste de la place de marché avant de lancer des instances à partir de cette AMI.
• En général, si une AMI que vous souhaitez utiliser contient des logiciels ou des services qui nécessitent un abonnement, vous devrez terminer le processus d’abonnement à la Place de marché avant de pouvoir lancer des instances à partir de cette AMI. L’abonnement à la place de marché vous accorde les droits et autorisations d’utilisation nécessaires.
• Si l’AMI que vous souhaitez utiliser ne contient aucun logiciel ou service nécessitant un abonnement à la place de marché, vous n’avez pas besoin de vous abonner à une liste de la place de marché pour utiliser cette AMI.
   

Pourquoi est-ce courant avec l’analyse des comptes Hub ?

• Dans un scénario d’analyse sans agent, les analyses sont effectuées sur les instances en cours d’exécution et leurs Amazon Machine Images (AMI) associées. Si l’instance est déjà en cours d’exécution, cela signifie que le compte utilisé pour lancer l’instance disposait de l’abonnement à la Place de marché nécessaire pour utiliser cette AMI.
• Par conséquent, lors de l’analyse d’instances au sein du même compte que celui qui possède l’AMI, l’analyse sans agent doit réussir, car les conditions d’abonnement sont déjà remplies et l’AMI est déjà en cours d’exécution
• Toutefois, dans un scénario où l’analyse est effectuée par le biais d’un compte hub, le scanner sera déployé en exécutant l’AMI cible sur le compte hub. Étant donné que l’abonnement de la Place de marché pour cette AMI est associé à un compte différent et non au compte Hub, la tentative d’exécution de l’AMI sur le compte Hub échoue et l’analyse renvoie un message d’erreur indiquant l’abonnement manquant.