アラート ポリシー: 高い権限を持つロールは、外部アカウントのサービスによって引き継がれる可能性があります。

「高い権限を持つロールは外部アカウントのサービスによって引き継がれる可能性があります」というポリシーによってアラートが生成されています。ただし、アラートは内部アカウントを参照していますが、ポリシーは外部アカウントを照会することを目的としています。

外部アカウントとは、当社の定義によれば、Prisma Cloud にまったく認識されていないアカウントです。
この情報を取得する唯一の方法は、「デフォルトのアカウント グループ」で検索し、ソース アカウントがこのグループ内にあるかどうかを確認することです。

変更内容:
1. ソース アカウントが既知のサードパーティ ベンダーであるかどうかを確認する機能を RQL に追加しました。
2. 説明に「調査方法」セクションを追加しました。これにより、顧客はこのようなケースを識別できるようになりました。また、ソース アカウントが「既定のアカウント グループ」に含まれていないためにアラートが開かれている場合は、このグループに追加することをお勧めします。

どうやって調査するの？
1. Prisma Cloudコンソールで「調査」を選択します。
2. 調査プロンプトに次のクエリを貼り付け、プレースホルダーを検証するアカウント ID に置き換えます: config from iam where dest.cloud.type = 'AWS' AND source.cloud.account=' ' および dest.cloud.account=' '
3a. 結果が返された場合、これはPrismaがアカウントをスキャンしていることを示しており、Prismaはそれを認識しています。
この場合は、「設定」を選択し、「アカウントグループ」を選択してください。
デフォルトのアカウントグループを検索し、「アクション」で「編集」を選択します。問題のアカウントを検索して追加します。
3b. 結果が返されない場合、Prisma は問題のアカウントを認識していないことを意味します (つまり、オンボードされておらず、Prisma の視点では外部です)
調査をコンティニューには、AWS CLIを使用して「aws organizations list-accounts」を実行すると、AWS組織内のすべてのアカウントのリストが表示されます。
所有するAWS組織ごとにこのプロセスを繰り返します。問題のアカウントが表示されない場合は、外部アカウントである可能性があります。

アクセスを削除するには、次の修復手順を使用します。
1. AWSアカウントにログインする
2. 影響を受けるロールに移動し、「信頼されたエンティティ」タブを選択します。
3. 「信頼ポリシーの編集」を選択し、外部ソースからの推定を許可するエントリを削除します。
4. 残りのエントリが必須であることを確認し、変更を保存します。