Prisma Cloud: So beheben Sie einen Authentifizierungsfehler, der durch die Verwendung eines benutzerdefinierten Pfads in der AWS IAM-Rollen-ARN für Mitgliedskonten verursacht wird
4120
Created On 08/19/24 22:36 PM - Last Modified 01/07/25 13:01 PM
Objective
- So beheben Sie den Authentifizierungsfehler „Authentifizierung fehlgeschlagen. Ungültige externe ID oder Prisma Cloud-Konto nicht in vertrauenswürdigen Entitäten gefunden“, der durch die Verwendung der AWS IAM-Rollen-ARN unter Verwendung eines benutzerdefinierten Pfads für Mitgliedskonten verursacht wird.
- So integrieren Sie AWS-Mitgliedskonten mit IAM-Rollen-ARN unter Verwendung benutzerdefinierter Pfade.
Environment
- Prisma Cloud Enterprise Edition
- Cloud-Sicherheit
- Einstellungen
- Anbieter
- Einstellungen
- Cloud-Sicherheit
Procedure
- Beim Onboarding einer AWS-Organisation in die Prisma-Cloud gibt es Anwendungsfälle wie die Verwendung eines separaten Pfads für die Prisma Cloud IAM- Rolle -ARN. Beispiel:
- Der IAM-Rollen-ARN-Pfad für ein Konto wie „ 123456789123 “ würde Standard(-) etwa so lauten: „ arn:aws:iam::123456789123: Rolle/PrismaCloudRole-123456789123 “.
- Aus Sicherheitsgründen oder aufgrund organisatorischer Richtlinien kann ein Prisma Cloud-Administrator oder AWS-Admin- Benutzer einen benutzerdefinierten Pfad an die IAM-Rollen-ARN anhängen. Dies bedeutet, dass die Rollen-ARN etwa wie folgt aussieht: „ arn:aws:iam::123456789123: Rolle/security/PrismaCloudRole-123456789123 “ Wo " Sicherheit/ " ist der benutzerdefinierte Pfad.
- Bei Verwendung eines solchen benutzerdefinierten Pfads für die Prisma Cloud IAM-Rollen-ARN in Mitgliedskonten wird für die Mitgliedskonten der Authentifizierungsfehler „Authentifizierung fehlgeschlagen. Ungültige externe ID oder Prisma Cloud-Konto nicht in vertrauenswürdigen Entitäten gefunden“ angezeigt .
- Dies liegt daran, dass früher beim Onboarding einer AWS-Organisation in Prisma Cloud nur die Möglichkeit bestand, die IAM-Rollen-ARN für das Master-/Root-Konto einzugeben. Die Rolle der Mitgliedskonten mussten der IAM- Rolle des Root-Kontos ähneln, wobei am Ende ein -member angehängt wurde. Wenn also der IAM- Rolle des Root-Kontos „ PrismaCloudRole-123456789123“ lautet, wäre der Rolle des Mitgliedskontos „ PrismaCloudRole-123456789123-member“.
- Daher war es nicht möglich, einen benutzerdefinierten Pfad für IAM- Rolle für das Mitgliedskonto zu haben, da Prisma Cloud im Standard(-) „ arn:aws:iam::123456789123: Rolle/PrismaCloudRole-123456789123-member “ statt in „ arn:aws:iam::123456789123: Rolle/security/PrismaCloudRole-123456789123-member “ nach der IAM-Rolle sucht.
- Während Punkt 2.1 derzeit das Standard(-) ist, wurde mit der Veröffentlichung von PCS 24.3.2 eine Option für erweiterte Einstellungen in AWS Cloud Account Onboarding eingeführt. Eine der Funktionen dieser Option für erweiterte Einstellungen ist, dass Benutzer „ Einen anderen Rolle für Mitgliedskonten verwenden “ aktivieren können. Siehe Screenshot unten:
- Durch Aktivieren von „ Anderen Rolle für Mitgliedskonten verwenden“ können Benutzer einen separaten Rolle für Mitgliedskonten hinzufügen. Diese Option kann auch verwendet werden, um benutzerdefinierte Pfade für Mitgliedskontorollen hinzuzufügen.
- Wenn im Anwendungsfall gemäß dem Beispiel in Punkt 1.2 die ARN der Rolle den benutzerdefinierten Pfad „security/“ haben soll, fügen Sie im Feld „Name der Mitglieds-IAM-Rolle“ „ Security/PrismaCloudMemberRoleName “ hinzu.
- Sobald die Einstellungen aktualisiert wurden, kann es bis zu 24 Stunden dauern, bis der Status der Mitgliedskonten in der Prisma Cloud-Benutzeroberfläche korrekt angezeigt wird. Weitere Informationen hierzu finden Sie in diesem KCS-Artikel .
- Um zu bestätigen, dass Prisma Cloud erfolgreich aufnehmen kann (bevor die Status aktualisiert wird), können Sie auch AWS CloudTrail-Ereignisse für dasselbe Mitgliedskonto überprüfen ODER zu Prisma Cloud IAM-Rolle > Zusammenfassung gehen und prüfen, ob im Abschnitt Letzte Aktivität ein aktualisieren vorliegt