Prisma Cloud: API-Ausnahmefehler beim Ausführen der IAM-Konfigurationsabfrage
3023
Created On 04/24/24 18:53 PM - Last Modified 05/07/24 13:55 PM
Symptom
Es wird eine Fehlermeldung angezeigt, wenn versucht wird, die API zum Senden einer IAM-Konfigurationsabfrage (RQL) für die Suche zu verwenden.
Environment
- Prisma Cloud IAM-Richtlinie
- API-Endpunkt
Cause
- Prisma Cloud verwendet unterschiedliche API-Endpunkte für die Cloud-Resource-Abfrage und für die IAM-Konfigurationsabfrage.
Resolution
- Für die cloud.resource-Abfrage lautet
der API-Endpunkt,{{api-endpoint}}/search/config
- Für die IAM-Konfigurationsabfrage lautet der API-Endpunkt jedoch {
{api-endpoint}}/iam/api/v4/search/permission
Additional Information
- Der folgende Link enthält keine Details für die RQL-Abfrage der IAM-Konfiguration.
"Perform Config Search"
https://pan.dev/prisma-cloud/api/cspm/search-config/
Beispiele für API-Aufrufe mit Postman:
- Cloud.resource RQL
POST: https://{{api-endpoint}}/search/config
Body:
{
"heuristicSearch": true,
"query": "config from cloud.resource where cloud.type = 'aws' AND api.name = 'aws-s3api-get-bucket-acl' AND json.rule = "acl.grantsAsList[?(@.grantee=='AllUsers')].permission contains ReadAcp or acl.grantsAsList[?(@.grantee=='AllUsers')].permission contains FullControl",
"timeRange": {
"type": "to_now",
"value": "epoch"
},
"limit": 100,
"withResourceJson": false
}
- IAM-Konfiguration RQL
POST: https://{{api-endpoint}}/iam/api/v4/search/permission
Body:
{
"query": "config from iam where dest.cloud.type = 'AWS' and source.public = true AND dest.cloud.service.name = 's3' AND dest.cloud.resource.type = 'bucket' AND grantedby.cloud.policy.condition ( 'aws:SourceArn' ) does not exist AND grantedby.cloud.policy.condition ( 'aws:VpcSourceIp' ) does not exist AND grantedby.cloud.policy.condition ( 'aws:username' ) does not exist AND grantedby.cloud.policy.condition ( 'aws:userid' ) does not exist AND grantedby.cloud.policy.condition ( 'aws:ResourceAccount' ) does not exist"
}