Prisma Cloud: Cómo resolver el error de autenticación causado por el uso de una ruta personalizada en el ARN de rol de AWS IAM para cuentas de miembros

4124

Created On 08/19/24 22:36 PM - Last Modified 01/07/25 13:02 PM

Objective

Para resolver el error de autenticación "Error de autenticación. ID externa no válida o cuenta de Prisma Cloud no encontrada en entidades confiables" causado por el uso de ARN de rol de AWS IAM con una ruta personalizada para cuentas de miembro.
Para incorporar cuentas de miembros de AWS con ARN de rol de IAM mediante rutas personalizadas.

Edición empresarial de Prisma Cloud
- Seguridad en la nube
  - Ajustes
    - Proveedores

Al incorporar una organización de AWS a Prisma Cloud, existen casos de uso como el uso de una ruta independiente para el ARN de función de IAM de Prisma Cloud. Por ejemplo:
1. La ruta ARN del rol de IAM para una cuenta como " 123456789123 " de manera valor predeterminado sería algo como " arn:aws:iam::123456789123: función/PrismaCloudRole-123456789123 ".
2. Por medidas de seguridad o debido a políticas organizacionales, un usuario administrador de Prisma Cloud o administrador de AWS tendrá el caso de uso de tener una ruta personalizada adjunta al ARN del rol de IAM, lo que significa que el ARN del rol se vería así: " arn:aws:iam::123456789123: función/security/PrismaCloudRole-123456789123 " dónde " seguridad/ " Es la ruta personalizada.

Al usar dicha ruta personalizada para el ARN del rol IAM de Prisma Cloud en las cuentas de miembro, se verá un error de autenticación "Error de autenticación. ID externo no válido o cuenta de Prisma Cloud no encontrada en entidades confiables" para las cuentas de miembro.
1. Esto se debe a que, antes, al incorporar una organización de AWS en Prisma Cloud, solo existía la opción de ingresar el ARN del rol de IAM para la cuenta principal/raíz. Los nombres de los función de las cuentas miembro debían ser similares al función de IAM de la cuenta raíz con un -member agregado al final. Por lo tanto, si el nombre del función de IAM de la cuenta raíz es " PrismaCloudRole-123456789123" , el nombre del función de la cuenta miembro sería " PrismaCloudRole-123456789123-member".
2. Por lo tanto, no fue posible tener una ruta personalizada para los roles de IAM para la cuenta miembro porque Prisma Cloud buscará el función de IAM en la ruta valor predeterminado " arn:aws:iam::123456789123: función/PrismaCloudRole-123456789123-member " en lugar de " arn:aws:iam::123456789123: función/security/PrismaCloudRole-123456789123-member ".

Si bien el punto 2.1 es actualmente el comportamiento valor predeterminado , con la versión PCS 24.3.2, se introdujo una opción de configuración avanzada en la incorporación de cuentas en la nube de AWS. Una de las características de esta opción de configuración avanzada es que los usuarios pueden habilitar " Usar un nombre de función diferente para las cuentas de miembro ". Consulte la captura de pantalla a continuación:

Al habilitar " Usar un nombre de función diferente para las cuentas de miembros" , los usuarios pueden agregar un nombre de función independiente para la cuenta de miembro. Esta opción también se puede utilizar para agregar rutas personalizadas para los roles de las cuentas de miembro.

Teniendo en cuenta el ejemplo del punto 1.2, si el caso de uso es que el ARN del función de la cuenta miembro debe tener la ruta personalizada security/ , en el cuadro Nombre del rol IAM del miembro agregue " Security/PrismaCloudMemberRoleName ".

Una vez que se actualicen las configuraciones, puede que transcurran hasta 24 horas hasta que el estado de las cuentas de los miembros se refleje correctamente en la interfaz de usuario de Prisma Cloud. Consulta este artículo de KCS para obtener más información al respecto.

Para confirmar si Prisma Cloud puede ingerir correctamente (antes de que se actualice la verificación de estado ), también se pueden verificar los eventos de AWS CloudTrail para la misma cuenta de miembro O ir a Rol de IAM de Prisma Cloud > Resumen y verificar si hay alguna actualizar en la sección Última actividad