Prisma Cloud: So überprüfen Sie, ob EC2 Instance Connect, Session Manager und EC2 Serial Console über RQL blockiert sind.
3079
Created On 09/30/22 20:05 PM - Last Modified 12/27/24 09:05 AM
Objective
So überprüfen Sie, ob EC2 Instance Connect, Session Manager und EC2 Serial Console über RQL in Prisma Cloud blockiert sind.
Environment
- Prisma Cloud
- AWS
- RQL
Procedure
GUI: Melden Sie sich bei der Prisma Cloud-Konsole an > Untersuchen > Suchen Sie unten nach der RQL- Abfrage
config from cloud.resource where api.name = 'aws-iam-list-users' as X; config from cloud.resource where api.name = 'aws-iam-get-policy-version' AND json.rule = document.Statement[?any( (Action contains "ec2-instance-connect:SendSSHPublicKey" or Action contains "contains iam:GetAccountPasswordPolicy" or Action contains "contains ec2-instance-connect:SendSerialConsoleSSHPublicKey") and Effect equals "Allow" )] exists as Y; filter '$.X.groups[*].attachedManagedPolicies[*] contains $.Y.policyName'; show X;
- Hinweis: Wenn Ihre RQL-Abfrage Ergebnisse liefert, bedeutet dies, dass diese Ressourcen blockiert sind.
- So bestätigen Sie die sperren in AWS: AWS-Konsole > IAM > Benutzer > Benutzername > Berechtigungsrichtlinien > klicken Sie auf sperren für EC2 Instance Connect, Session Manager, EC2 Serial Console > überprüfen Sie den JSON-Inhalt auf Berechtigungen.