Prisma Cloud : comment résoudre l'erreur d'authentification causée par l'utilisation d'un chemin personnalisé dans l'ARN du rôle AWS IAM pour les comptes membres

4120

Created On 08/19/24 22:36 PM - Last Modified 01/07/25 12:59 PM

Objective

Pour résoudre l'erreur d'authentification « Échec de l'authentification. ID externe non valide ou compte Prisma Cloud introuvable dans les entités approuvées » causée par l'utilisation de l'ARN du rôle AWS IAM à l'aide d'un chemin personnalisé pour les comptes membres.
Pour intégrer des comptes membres AWS avec le rôle IAM ARN à l'aide de chemins personnalisés.

Prisma Cloud Édition Entreprise
- Sécurité du Cloud
  - Paramètres
    - Fournisseurs

Lors de l'intégration d'une organisation AWS dans le cloud Prisma, il existe des cas d'utilisation tels que l'utilisation d'un chemin distinct pour l'ARN du rôle IAM de Prisma Cloud. Par exemple :
1. Le chemin ARN du rôle IAM pour un compte comme « 123456789123 » par par défaut serait quelque chose comme « arn:aws:iam::123456789123: rôle/PrismaCloudRole-123456789123 ».
2. Pour des raisons de sécurité ou en raison de politiques organisationnelles, un administrateur Prisma Cloud ou un utilisateur administrateur AWS aura le cas d'utilisation consistant à ajouter un chemin personnalisé à l'ARN du rôle IAM, ce qui signifie que l'ARN du rôle ressemblerait à quelque chose comme « arn:aws:iam::123456789123: rôle/security/PrismaCloudRole-123456789123 » où " sécurité/ " est le chemin personnalisé.

En utilisant un tel chemin personnalisé pour l'ARN du rôle IAM de Prisma Cloud dans les comptes membres, une erreur d'authentification « Échec de l'authentification. ID externe non valide ou compte Prisma Cloud introuvable dans les entités approuvées » s'affichera pour les comptes membres.
1. Cela est dû au fait que, auparavant, lors de l'intégration d'une organisation AWS dans Prisma Cloud, il n'existait que l'option permettant de saisir l'ARN du rôle IAM pour le compte maître/racine. Les noms de rôle des comptes membres devaient être similaires au rôle IAM du compte racine avec un -member ajouté à la fin. Ainsi, si le nom du rôle IAM du compte racine est " PrismaCloudRole-123456789123 " , le nom du rôle du compte membre serait " PrismaCloudRole-123456789123-member ".
2. Ainsi, avoir un chemin personnalisé pour les rôles IAM pour le compte membre n'était pas possible car Prisma Cloud vérifiera le rôle IAM dans le chemin par défaut « arn:aws:iam::123456789123: rôle/PrismaCloudRole-123456789123-member » au lieu de « arn:aws:iam::123456789123: rôle/security/PrismaCloudRole-123456789123-member ».

Bien que le point 2.1 soit actuellement le comportement par défaut , avec la version PCS 24.3.2, une option de paramètres avancés a été introduite dans AWS Cloud Account Onboarding. L'une des fonctionnalités de cette option de paramètres avancés est que les utilisateurs peuvent activer « Utiliser un nom de rôle différent pour les comptes membres ». Veuillez vous référer à la capture d'écran ci-dessous :

En activant l'option « Utiliser un nom de rôle différent pour les comptes membres » , les utilisateurs peuvent ajouter un nom de rôle distinct pour le compte membre. Cette option peut également être utilisée pour ajouter des chemins personnalisés pour les rôles des comptes membres.

Considérant l'exemple du point 1.2, si le cas d'utilisation est que le rôle ARN du compte membre doit avoir le chemin personnalisé security/ , dans la zone Nom du rôle IAM du membre, ajoutez « Security/PrismaCloudMemberRoleName ».

Une fois les paramètres mis à jour, il faudra peut-être jusqu'à 24 heures pour que le état des comptes membres s'affiche correctement dans l'interface utilisateur de Prisma Cloud. Veuillez vous référer à cet article KCS pour en savoir plus.

Pour confirmer, si Prisma Cloud est en mesure d'ingérer avec succès (avant que la vérification du état ne soit mise à jour), on peut également vérifier les événements AWS CloudTrail pour le même compte membre OU accéder à Prisma Cloud IAM Role > Summary et vérifier s'il y a une mettre à jour dans la section Dernière activité