Prisma Cloud: AWS IAM Role ARN에서 멤버 계정의 사용자 지정 경로를 사용하여 발생한 인증 오류를 해결하는 방법

Prisma Cloud: AWS IAM Role ARN에서 멤버 계정의 사용자 지정 경로를 사용하여 발생한 인증 오류를 해결하는 방법

4118
Created On 08/19/24 22:36 PM - Last Modified 01/07/25 13:07 PM


Objective


  • 멤버 계정에 대한 사용자 지정 경로를 사용하여 AWS IAM 역할 ARN을 사용하여 발생한 인증 오류 "인증에 실패했습니다. 신뢰할 수 있는 엔터티에서 잘못된 외부 ID 또는 Prisma Cloud 계정을 찾을 수 없습니다"를 해결하려면
  • 사용자 지정 경로를 사용하여 IAM 역할 ARN으로 AWS 멤버 계정을 온보딩합니다.

Environment


  • Prisma Cloud Enterprise Edition
    • 클라우드 보안
      • 설정
        • 제공자

Procedure


  1. AWS 조직을 Prisma 클라우드에 온보딩할 때 Prisma Cloud IAM 역할(role) ARN에 대해 별도의 경로를 사용하는 것과 같은 사용 사례가 있습니다. 예를 들어:
    1. " 123456789123 " 과 같은 계정에 대한 IAM 역할 ARN 경로는 디폴트 으로 " arn:aws:iam::123456789123: 역할(role)/PrismaCloudRole-123456789123 "과 같습니다.
    2. 보안 조치 또는 조직 정책으로 인해 Prisma Cloud 관리자 또는 AWS 관리자 사용자 IAM 역할 ARN에 사용자 정의 경로를 추가하는 사용 사례가 있는데, 이는 역할 ARN이 " arn:aws:iam::123456789123: 역할(role)/security/PrismaCloudRole-123456789123 "과 유사함을 의미합니다. 어디 " 보안/ " 사용자 지정 경로입니다.
  1. 멤버 계정의 Prisma Cloud IAM 역할 ARN에 대해 이러한 사용자 지정 경로를 사용하면 멤버 계정에 대해 "인증에 실패했습니다. 신뢰할 수 있는 엔터티에서 잘못된 외부 ID 또는 Prisma Cloud 계정을 찾을 수 없습니다"라는 인증 오류가 표시됩니다.
    1. 그 이유는 이전에 Prisma Cloud에서 AWS 조직을 온보딩할 때 마스터/루트 계정에 대한 IAM 역할 ARN을 입력하는 옵션만 있었기 때문입니다. 멤버 계정 역할(role) 이름은 루트 계정의 IAM 역할(role) 과 유사해야 하며 끝에 -member가 추가되어야 했습니다. 따라서 루트 계정의 IAM 역할(role) 이름이 " PrismaCloudRole-123456789123" 인 경우 멤버 계정의 역할(role) 이름은 " PrismaCloudRole-123456789123-member"가 됩니다.
    2. 따라서 멤버 계정에 대한 IAM 역할(role) 의 사용자 지정 경로를 갖는 것은 불가능했습니다. Prisma Cloud는 " arn:aws:iam::123456789123: 역할(role)/PrismaCloudRole-123456789123-member " 대신 " arn:aws:iam::123456789123: 역할(role) /security/PrismaCloudRole-123456789123-member "의 디폴트 경로에서 IAM 역할을 확인하기 때문입니다.
  1. 현재 2.1 지점이 디폴트 동작이지만, PCS 24.3.2 릴리스에서는 AWS 클라우드 계정 온보딩에 고급 설정 옵션이 도입되었습니다. 이 고급 설정 옵션의 기능 중 하나는 사용자가 " 멤버 계정에 다른 역할(role) 이름 사용 "을 활성화할 수 있다는 것입니다. 아래 스크린샷을 참조하세요. 스크린샷 2024-08-19 오후 5시 26분 3초?png
  1. " 멤버 계정에 다른 역할(role) 이름 사용"을 활성화하면 사용자는 멤버 계정에 별도의 역할(role) 이름을 추가할 수 있습니다. 이 옵션은 멤버 계정 역할에 대한 사용자 지정 경로를 추가하는 데에도 사용할 수 있습니다.
  1. 1.2항의 예를 고려할 때, 멤버 계정 역할(role) ARN에 사용자 지정 경로 security/가 있어야 하는 경우, 멤버 IAM 역할 이름 상자에 " Security/PrismaCloudMemberRoleName "을 추가합니다.
  1. 설정이 업데이트되면 Prisma Cloud UI에 멤버 계정 상태 올바르게 반영되는 데 최대 24시간이 걸릴 수 있습니다. 자세한 내용은 이 KCS 문서 를 참조하세요.
  1. 확인하려면 Prisma Cloud가 성공적으로 수집할 수 있는 경우( 상태 확인이 업데이트되기 전) 동일한 멤버 계정에 대한 AWS CloudTrail 이벤트를 확인하거나 Prisma Cloud IAM 역할 > 요약 으로 이동하여 마지막 활동 섹션에 업데이트하다 있는지 확인할 수도 있습니다. 스크린샷 2024-08-19 6.44.45?PM.png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Tp6fCAC&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language