警报策略：具有高权限的角色可以由外部账户中的服务承担。

策略“具有高权限的角色可由外部账户中的服务承担”正在生成警报。但是，警报引用的是内部账户，而策略旨在查询外部账户。

根据我们的定义，外部账户是 Prisma 云完全不知道的账户。
获取此信息的唯一方法是在“默认帐户组”中搜索并检查源帐户是否位于该组中。

所做的更改：
1. 如果源帐户是已知的第三方供应商，我们会在 RQL 中添加检查。
2. 我们在描述中添加了“如何调查”部分。因此，现在客户可以识别此类情况，并且如果仅因为源帐户不在“默认帐户组”中而对其发出警报，则建议将其添加到此组。

如何调查？
1. 在 Prisma Cloud 控制台中，选择“调查”
2. 将以下查询粘贴到调查提示中，将占位符替换为您要验证的账户 ID：config from iam where dest.cloud.type = 'AWS' AND source.cloud.account=' ' 和 dest.cloud.account=' ‘
3a. 如果返回结果，则表明 Prisma 正在扫描该帐户，并且知道这一点
如果是这种情况，请选择“设置”，然后选择“帐户组”
搜索默认帐户组，在“操作”下选择“编辑”。搜索相关帐户并添加
3b. 如果没有返回任何结果，则表示 Prisma 不了解相关帐户（即，该帐户尚未加入，并且在 Prisma 眼中是外部帐户）
为了继续调查，使用 AWS CLI运行“aws organizations list-accounts”，您将收到 AWS 组织内所有账户的列表
对您拥有的每个 AWS 组织重复此过程。如果未出现相关帐户，则可以断定它是外部帐户

为了删除其访问权限，请采取以下补救步骤：
1.登录您的 AWS 账户
2. 导航到受影响的角色，然后选择“受信任的实体”选项卡。
3. 选择“编辑信任策略”并删除允许从外部来源进行假设的条目。
4. 确保其余条目都是必填的，然后保存更改。