Política de alerta: Los roles con altos privilegios pueden ser asumidos por un servicio en una cuenta externa.

La política "Los roles con privilegios elevados pueden ser asumidos por un servicio en una cuenta externa" genera alertas. Sin embargo, las alertas hacen referencia a cuentas internas, mientras que la política está destinada a consultar cuentas externas.

La cuenta externa, según nuestra definición, es una cuenta que Prisma Cloud no conoce en absoluto.
La única forma de obtener esta información es buscar en el "Grupo de cuentas predeterminado" y verificar si la cuenta de origen está en este grupo.

Cambios realizados:
1. Hemos agregado al RQL una verificación si la cuenta de origen es un proveedor externo conocido.
2. Hemos agregado una sección llamada "Cómo investigar" en la descripción, de modo que ahora el cliente puede identificar dichos casos y, si la alerta se abrió para una cuenta de origen solo porque no está en el "Grupo de cuentas predeterminado", se recomienda agregarla a este grupo.

¿Cómo investigar?
1. En la consola Prisma Cloud, seleccione "Investigar"
2. Pegue la siguiente consulta en el mensaje de investigación y reemplace el marcador con el ID de cuenta que desea verificar: config from iam where dest.cloud.type = 'AWS' AND source.cloud.account=' ' y dest.cloud.account=' '
3a. Si se obtienen resultados, esto es un indicador de que Prisma está escaneando la cuenta y, como tal, está al tanto de ello.
Si este es el caso, seleccione “configuración” y luego “Grupos de cuentas”.
Busque el grupo de cuentas valor predeterminado y, en "Acciones", seleccione "Editar". Busque la cuenta en cuestión y agréguela.
3b. Si no se obtienen resultados, significa que Prisma no tiene conocimiento de la cuenta en cuestión (es decir, no está incorporada y, a los ojos de Prisma, es externa).
Para continuar con la investigación, utilice la CLI de AWS y ejecute 'aws organisations list-accounts' y recibirá una lista de todas las cuentas dentro de la organización de AWS.
Repita este proceso para cada organización de AWS que posea. Si la cuenta en cuestión no aparece, se puede concluir que es externa.

Para eliminar su acceso, utilice los siguientes pasos de reparación:
1. Inicie sesión en su cuenta de AWS
2. Navegue hasta el función afectado y seleccione la pestaña "Entidades confiables".
3. Seleccione “Editar política de confianza” y elimine las entradas que permiten la suposición de fuentes externas.
4. Asegúrese de que las entradas restantes sean obligatorias y guarde los cambios.