Prisma Cloud：如何解决因在 AWS IAM 角色 ARN 中使用自定义路径为成员帐户导致的身份验证错误

4132

Created On 08/19/24 22:36 PM - Last Modified 01/07/25 13:05 PM

Objective

解决因使用 AWS IAM 角色 ARN 对成员账户使用自定义路径而导致的身份验证错误“身份验证失败。在受信任实体中未找到无效的外部 ID 或 Prisma Cloud 账户” 。
使用自定义路径通过 IAM 角色 ARN 加入 AWS 成员账户。

将 AWS 组织加入 Prisma 云时，有一些用例，例如为 Prisma Cloud IAM角色ARN 使用单独的路径。例如：
1. 默认下， “ 123456789123 ”等账户的 IAM 角色 ARN 路径将类似于“ arn:aws:iam::123456789123: 角色/PrismaCloudRole-123456789123 ”。
2. 出于安全措施或组织政策的原因，Prisma Cloud 管理员或 AWS 管理员用户会将自定义路径附加到 IAM 角色 ARN，这意味着角色 ARN 类似于“ arn:aws:iam::123456789123: 角色/security/PrismaCloudRole-123456789123 ” 在哪里 “安全/ ” 是自定义路径。

在成员账户中对 Prisma Cloud IAM 角色 ARN 使用此类自定义路径，将会看到成员账户的身份验证错误“身份验证失败。在受信任的实体中未找到无效的外部 ID 或 Prisma Cloud 帐户” 。
1. 这是因为，之前在 Prisma Cloud 中引入 AWS 组织时，只有输入主/根帐户的 IAM 角色 ARN 的选项。成员帐户角色名称必须与根帐户的 IAM角色相似，并在末尾附加 -member。因此，如果根帐户的 IAM角色名称为“ PrismaCloudRole-123456789123” ，则成员帐户的角色名称将为“ PrismaCloudRole-123456789123-member”。
2. 因此，为成员账户提供 IAM角色的自定义路径是不可能的，因为 Prisma Cloud 将在默认路径“ arn:aws:iam::123456789123: 角色/PrismaCloudRole-123456789123-member ”而不是“ arn:aws: iam::123456789123: 角色 /security/PrismaCloudRole-123456789123-member ”中默认角色。

虽然第 2.1 点目前是默认行为，但随着 PCS 24.3.2 版本的发布，AWS 云帐户入职培训中引入了一个高级设置选项。此高级设置选项的功能之一是用户可以启用“为成员帐户使用不同的角色名称”。请参阅以下屏幕截图：

考虑第 1.2 点中的示例，如果用例是成员帐户角色ARN 应该具有自定义路径security/ ，则在成员 IAM 角色名称框中添加“ Security/PrismaCloudMemberRoleName ”。

要确认 Prisma Cloud 是否能够成功提取（在状态检查更新之前），还可以检查同一成员帐户的 AWS CloudTrail 事件，或者转到Prisma Cloud IAM 角色 > 摘要并检查上次活动部分中是否有任何更新