Warnrichtlinie: Rollen mit hohen Berechtigungen können von einem Dienst in einem externen Konto übernommen werden.

Die Richtlinie „Rollen mit hohen Berechtigungen können von einem Dienst in einem externen Konto übernommen werden“ generiert Warnungen. Die Warnungen beziehen sich jedoch auf interne Konten, während die Richtlinie für die Abfrage externer Konten vorgesehen ist.

Ein externes Konto ist gemäß unserer Definition ein Konto, das der Prisma-Cloud überhaupt nicht bekannt ist.
die einzige Möglichkeit, diese Informationen zu erhalten, besteht darin, in der „Standardkontogruppe“ zu suchen und zu prüfen, ob sich das Quellkonto in dieser Gruppe befindet.

Durchgeführte Änderungen:
1. Wir haben dem RQL eine Prüfung hinzugefügt, ob es sich bei dem Quellkonto um einen bekannten Drittanbieter handelt.
2. Wir haben der Beschreibung einen Abschnitt „So untersuchen Sie den Fall“ hinzugefügt. So kann der Kunde jetzt solche Fälle identifizieren. Wenn die Benachrichtigung nur für ein Quellkonto geöffnet war, weil es sich nicht in der „Standardkontogruppe“ befindet, wird empfohlen, es dieser Gruppe hinzuzufügen.

Wie untersuchen?
1. Wählen Sie in der Prisma Cloud Console „Untersuchen“ aus.
2. Fügen Sie die folgende Abfrage in die Untersuchungsaufforderung ein und ersetzen Sie den Platzhalter durch die Konto-ID, die Sie überprüfen möchten: config from iam where dest.cloud.type = 'AWS' AND source.cloud.account=' ' und dest.cloud.account=' '
3a. Wenn Ergebnisse zurückgegeben werden, ist dies ein Hinweis darauf, dass Prisma das Konto scannt und sich dessen bewusst ist
Wenn dies der Fall ist, wählen Sie „Einstellungen“ und dann „Kontogruppen“.
Suchen Sie nach der Standard(-) und wählen Sie unter „Aktionen“ „Bearbeiten“ aus. Suchen Sie nach dem betreffenden Konto und fügen Sie es hinzu
3b. Wenn keine Ergebnisse zurückgegeben werden, bedeutet dies, dass Prisma keine Kenntnis von dem betreffenden Konto hat (d. h. es ist nicht an Bord und in den Augen von Prisma extern).
Um die Untersuchung fortsetzen , führen Sie mithilfe der AWS CLI„aws organizations list-accounts“ aus. Sie erhalten dann eine Liste aller Konten innerhalb der AWS-Organisation.
Wiederholen Sie diesen Vorgang für jede AWS-Organisation, die Sie besitzen. Wenn das betreffende Konto nicht angezeigt wird, kann es als extern eingestuft werden.

Um den Zugriff zu entfernen, verwenden Sie die folgenden Abhilfeschritte:
1. Melden Sie sich bei Ihrem AWS-Konto an
2. Navigieren Sie zu der betroffenen Rolle und wählen Sie die Registerkarte „Vertrauenswürdige Entitäten“ aus.
3. Wählen Sie „ Richtlinie bearbeiten“ und entfernen Sie die Einträge, die Annahmen aus externen Quellen zulassen.
4. Stellen Sie sicher, dass die restlichen Einträge erforderlich sind, und speichern Sie Ihre Änderungen.