エージェントレス スキャンで、プライベート イメージ (AMI) を EULA を必要とするマーケットプレイス イメージとして識別し、他のマーケットプレイス イメージと共にスキャンします。

• エージェントレス スキャンにより、サブスクリプションが必要なマーケットプレース イメージとしていくつかの AMI が識別されます。

• これにより、スキャナーのデプロイに失敗し、コンソールに次のメッセージがログに記録されます。

ERRO 2024-06-16T20:50:17.260 types.go:590 (agentless/orchestrator.go:2211) Failed to deploy scanner: failed to deploy scanner ---snip
: subscription required
OptInRequired: In order to use this AWS Marketplace product you need to accept terms and subscribe. To do so please visit https://aws.amazon.com/marketplace/pp?sku=1o0kp4lye72fbgbb39noij1xu
status code: 401, request id: e19ff056-c8f1-2d12-9217-772eb47eb293. Skipping instances: [<instance-ids> <instance-ids> <instance-ids>] target="<target-account-id>" hub="<hub-account-id>" region="ap-southeast-2" availabilityDomain="" job="Scan" workerID="z5fd2351-6123-4424-9127-cd12345d12d6"

• プリズマクラウド
  • AWSの
  • エージェントレススキャン

• Prisma Cloud Scannerは、スキャンリスト内のAMIの1つがサブスクリプションを必要とする場合、デプロイに失敗します。 これにより、サブスクリプションを必要としない他の AMI のスキャンも、スキャナー自体の起動に失敗したため、失敗します。
• AMI にサブスクリプション (有料または EULA に同意) が必要な場合、アカウントは、その AMI からインスタンスを起動する前にマーケットプレイスのサブスクリプションプロセスを完了する必要があります。 必要なサブスクリプションがないと、インスタンスの実行がブロックされます。
• 現在のアーキテクチャでは、このようなAWS Marketplaceの問題は、Prisma Cloud Scannerがクラウドアカウントで起動されたときにのみ検出されます。 複数のインスタンスが 1 つのスキャナー・インスタンスでスキャンされ、サブスクリプションの問題によるスキャナー・デプロイメントの失敗は、サブスクリプションを必要としないインスタンスを含め、スキャン・リスト内のすべてのインスタンスに影響します。
• この問題は、Hubアカウントのスキャンでよく見られます。 エージェントレス スキャンは、マーケットプレース AMI の EULA/サブスクリプション (他のアカウントの AMI 用) がハブ アカウントで受け入れられていないハブ アカウントを介して実行されます。 スキャナーが複数のインスタンスをスキャンしようとすると、スキャナーリスト内のホストのいずれか (マーケットプレイス AMI を使用) がサブスクリプションを必要とすると失敗します。 これにより、サブスクリプションを必要としないホストを含むすべてのホストが、EULA が必要であると報告されます。

• これに対処するには、エージェントレススキャンに使用されるハブアカウントに、スキャンリストの一部であるすべてのマーケットプレイス AMI に対して必要な EULA/サブスクリプションが受け入れられていることを確認することをお勧めします。 これにより、スキャナーを正常にデプロイし、プライベート AMI を使用するインスタンスを含むすべてのインスタンスをスキャンできます。
• サブスクリプション リンクは、コンソール ログに出力されます。

ERRO 2024-06-16T20:50:17.260 types.go:590 (agentless/orchestrator.go:2211) Failed to deploy scanner: failed to deploy scanner 
---snip
: subscription required
OptInRequired: In order to use this AWS Marketplace product you need to accept terms and subscribe. To do so please visit >>>>>>https://aws.amazon.com/marketplace/pp?sku=1o0kp4lye72fbgbb39noij1xu. <<<<<<<<<<<
status code: 401, request id: e19ff056-c8f1-2d12-9217-772eb47eb293. Skipping instances: [<instance-ids> <instance-ids> <instance-ids>] target="<target-account-id>" hub="<hub-account-id>" region="ap-southeast-2" availabilityDomain="" job="Scan" workerID="z5fd2351-6123-4424-9127-cd12345d12d6"

• EULA に同意しないと、スキャナーが失敗します。 これにより、サブスクリプションを必要としないホストを含むすべてのホストが、EULA が必要であると報告されます。

回避策:

• これを処理する手順は次のとおりです。
  1. 同意できない EULA 要件がある AMI を特定します。
  2. これらの特定の AMI にタグを追加します。
  3. エージェントレス検索を設定して、特定の除外タグを持つ AMI を除外します。
• これにより、エージェントレススキャンでは、このようなサブスクリプション制限があるマーケットプレイス AMI の取得とスキャンが試みられなくなるため、スキャンプロセス中の障害やエラーを回避できます。

AWS AMI (Amazon Machine Image) にマーケットプレイスのサブスクリプションが必要になるのはいつですか?
 

• AWS AMI には、次の場合にマーケットプレイスのサブスクリプションが必要です。
  • AWS Marketplace からの事前設定された AMI: 事前設定され、AWS Marketplace を通じて利用可能になった AMI を使用するには、アカウントはその AMI のマーケットプレイスリストに登録する必要があります。 これにより、アカウントはAMIに含まれるソフトウェアまたはサービスを使用する権利を得ることができます。
  • 他の AWS アカウントから共有されたプライベート AMI: 別の AWS アカウント所有者がプライベート AMI を共有しており、その AMI にマーケットプレイスサブスクリプションが必要なソフトウェアまたはサービスが含まれている場合、その AMI からインスタンスを起動するには、関連するマーケットプレイスリストに登録する必要があります。
  • 有料ソフトウェアを使用したコミュニティ AMI: AWS Marketplace で入手できる一部のコミュニティ AMI には、有料サブスクリプションが必要なソフトウェアが含まれています。 この場合、その AMI からインスタンスを起動する前に、マーケットプレイスのリストに登録する必要があります。
• 一般に、使用する AMI にサブスクリプションが必要なソフトウェアまたはサービスが含まれている場合は、その AMI からインスタンスを起動する前に、マーケットプレイスのサブスクリプションプロセスを完了する必要があります。 マーケットプレイスのサブスクリプションは、必要な使用権と権限を付与します。
• 使用したい AMI にマーケットプレイスのサブスクリプションが必要なソフトウェアまたはサービスが含まれていない場合、その AMI を使用するためにマーケットプレイスのリストをサブスクライブする必要はありません。
   

なぜこれがHubアカウントのスキャンで一般的なのですか?

• エージェントレススキャンのシナリオでは、実行中のインスタンスとそれに関連付けられた Amazon マシンイメージ (AMI) でスキャンが実行されます。 インスタンスがすでに実行されている場合は、インスタンスの起動に使用されたアカウントに、その AMI を使用するために必要なマーケットプレイスサブスクリプションがあったことを意味します。
• したがって、AMI を所有する同じアカウント内のインスタンスをスキャンする場合、サブスクリプション要件は既に満たされており、AMI は既に実行されているため、エージェントレス スキャンは成功する必要があります
• ただし、スキャンがハブ アカウントを介して実行されるシナリオでは、スキャナーはハブ アカウントでターゲット AMI を実行してデプロイされます。 その AMI のマーケットプレース サブスクリプションはハブ アカウントではなく別のアカウントに関連付けられているため、ハブ アカウントで AMI を実行しようとすると失敗し、スキャンはサブスクリプションが見つからないことを示すエラー メッセージを返します。