경고 정책: 외부 계정의 서비스는 높은 권한이 있는 역할을 맡을 수 있습니다.

정책 ?높은 권한이 있는 역할은 외부 계정의 서비스에서 가정할 수 있음? 은 알림을 생성합니다. 그러나 알림은 내부 계정을 참조하는 반면 정책 외부 계정을 쿼리하도록 의도되었습니다.

외부 계정은 정의에 따르면 Prisma 클라우드에 전혀 알려지지 않은 계정을 말합니다.
이 정보를 얻을 수 있는 유일한 방법은 ?기본 계정 그룹?에서 검색하여 소스 계정이 이 그룹에 있는지 확인하는 것입니다.

변경 사항:
1. 소스 계정이 알려진 제3자 공급업체인지 확인하는 기능을 RQL에 추가했습니다.
2. 설명에 ?조사 방법? 섹션을 추가했습니다. 이제 고객이 이러한 사례를 식별할 수 있으며, 알림 ?기본 계정 그룹?에 없기 때문에 소스 계정에 대해서만 열려 있는 경우 이 그룹에 추가하는 것이 좋습니다.

어떻게 조사하나요?
1. Prisma Cloud Console에서 '조사'를 선택하세요.
2. 다음 쿼리를 조사 프롬프트에 붙여넣고, 플레이스홀더를 확인하려는 계정 ID로 바꿉니다: config from iam where dest.cloud.type = 'AWS' AND source.cloud.account=' ' 및 dest.cloud.account=' '
3a. 결과가 반환되면 이는 Prisma가 계정을 스캔하고 있다는 표시이며, 따라서 이를 알고 있습니다.
이 경우 '설정'을 선택한 다음 '계정 그룹'을 선택하세요.
디폴트 계정 그룹을 검색하고 '작업'에서 '편집'을 선택합니다. 문제의 계정을 검색하여 추가합니다.
3b. 결과가 반환되지 않으면 Prisma가 해당 계정을 알지 못한다는 의미입니다(즉, 온보딩되지 않았으며 Prisma의 관점에서는 외부 계정임)
조사를 continue 하려면 AWS CLI 사용하여 'aws organizations list-accounts'를 실행하면 AWS 조직 내의 모든 계정 목록이 표시됩니다.
소유한 모든 AWS 조직에 대해 이 프로세스를 반복합니다. 해당 계정이 나타나지 않으면 외부로 결론 내릴 수 있습니다.

접근 권한을 제거하려면 다음 해결 단계를 따르세요.
1. AWS 계정에 로그인하세요
2. 영향을 받는 역할(role) 로 이동한 후 '신뢰할 수 있는 엔터티' 탭을 선택합니다.
3. '신뢰 정책 편집'을 선택하고 외부 소스에서 가정을 허용하는 항목을 제거합니다.
4. 나머지 항목이 필수인지 확인하고 변경 사항을 저장합니다.