Prisma Cloud: メンバーアカウントの AWS IAM ロール ARN でカスタムパスを使用することによって発生する認証エラーを解決する方法

Prisma Cloud: メンバーアカウントの AWS IAM ロール ARN でカスタムパスを使用することによって発生する認証エラーを解決する方法

4128
Created On 08/19/24 22:36 PM - Last Modified 01/07/25 13:04 PM


Objective


  • メンバーアカウントのカスタムパスを使用して AWS IAM ロール ARN を使用することで発生する認証エラー「認証に失敗しました。信頼されたエンティティに無効な外部 ID または Prisma Cloud アカウントが見つかりません」を解決します。
  • カスタムパスを使用して、IAM ロール ARN を持つ AWS メンバーアカウントをオンボードします。

Environment


  • Prisma Cloud エンタープライズエディション
    • クラウドセキュリティ
      • 設定
        • プロバイダー

Procedure


  1. AWS 組織を Prisma クラウドにオンボーディングする場合、Prisma Cloud IAMロールARN に別のパスを使用するなどのユースケースがあります。例:
    1. 123456789123 のようなアカウントの IAM ロール ARN パスは、デフォルトでは「 arn:aws:iam::123456789123: ロール/PrismaCloudRole-123456789123 」のようになります。
    2. セキュリティ対策または組織のポリシーにより、Prisma Cloud 管理者または AWS 管理者ユーザーには、IAM ロール ARN にカスタム パスを追加するユースケースがあります。つまり、ロール ARN は「 arn:aws:iam::123456789123: ロール/security/PrismaCloudRole-123456789123 」のようになります。 どこ "安全/ " カスタムパスです。
  1. メンバー アカウントの Prisma Cloud IAM ロール ARN にこのようなカスタム パスを使用すると、メンバー アカウントに対して「認証に失敗しました。信頼されたエンティティに無効な外部 ID または Prisma Cloud アカウントが見つかりません」という認証エラーが表示されます。
    1. これは、以前 Prisma Cloud で AWS 組織をオンボーディングするときに、マスター/ルートアカウントの IAM ロール ARN を入力するオプションしかなかったためです。メンバーアカウントのロール名は、ルートアカウントの IAMロールに類似し、末尾に -member が付加されている必要がありました。したがって、ルートアカウントの IAMロール名が「 PrismaCloudRole-123456789123 」の場合、メンバーアカウントのロール名は「 PrismaCloudRole-123456789123-member 」になります。
    2. したがって、Prisma Cloud は、" arn:aws:iam::123456789123: ロール /security/PrismaCloudRole-123456789123-member " ではなく、デフォルトのパス "arn:aws:iam::123456789123: role /PrismaCloudRole-123456789123-member" で IAMロールをチェックするため、メンバー アカウントの IAM ロールにロールパスを設定することはできませんでした。
  1. ポイント 2.1 は現在デフォルトの動作ですが、PCS 24.3.2 リリースでは、AWS クラウド アカウント オンボーディングに詳細設定オプションが導入されました。この詳細設定オプションの機能の 1 つは、ユーザーが「メンバー アカウントに別のロール名を使用する」を有効にできることです。以下のスクリーンショットを参照してください。 スクリーンショット 2024-08-19 5.26.03?PM.png
  1. メンバー アカウントに別のロール名を使用する」を有効にすると、ユーザーはメンバー アカウントに別のロール名を追加できます。このオプションは、メンバー アカウント ロールのカスタム パスを追加するためにも使用できます。
  1. ポイント 1.2 の例を考慮すると、メンバー アカウントロールARN にカスタム パスsecurity/ を設定する必要があるユースケースの場合は、メンバー IAM ロール名ボックスに「 Security/PrismaCloudMemberRoleName 」を追加します。
  1. 設定が更新されると、メンバー アカウントのステータスが Prisma Cloud UI に正しく反映されるまでに最大 24 時間かかる場合があります。詳細については、このKCS の記事を参照してください。
  1. 確認するには、Prisma Cloud が正常に取り込めるかどうか (ステータスチェックが更新される前)、同じメンバー アカウントの AWS CloudTrail イベントを確認するか、 Prisma Cloud IAM ロール > 概要に移動して、最終アクティビティセクションに更新するがあるかどうかを確認します。 スクリーンショット 2024-08-19 6.44.45?PM.png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Tp6fCAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language