Prisma Cloud: Cómo verificar si EC2 Instance Connect, Session Manager y EC2 Serial Console están bloqueados a través de RQL.

Prisma Cloud: Cómo verificar si EC2 Instance Connect, Session Manager y EC2 Serial Console están bloqueados a través de RQL.

3079
Created On 09/30/22 20:05 PM - Last Modified 12/27/24 09:06 AM


Objective


Cómo verificar si su instancia EC2 Connect, Session Manager y EC2 Serial Console están bloqueados a través de RQL en Prisma Cloud.

Environment


  • Nube Prisma
  • AWS
  • LCR

Procedure


GUI: Inicie sesión en Prisma Cloud Console > Investigar > Busque la consulta RQL a continuación

Captura de pantalla del 5 de abril de 2024 a las 12.22.29 h.png

config from cloud.resource where api.name = 'aws-iam-list-users' as X; config from cloud.resource where api.name = 'aws-iam-get-policy-version' AND json.rule = document.Statement[?any( (Action contains "ec2-instance-connect:SendSSHPublicKey" or Action contains "contains iam:GetAccountPasswordPolicy" or Action contains "contains ec2-instance-connect:SendSerialConsoleSSHPublicKey") and Effect equals "Allow" )] exists as Y; filter '$.X.groups[*].attachedManagedPolicies[*] contains $.Y.policyName'; show X;
  1. Nota: Si su consulta RQL produce resultados, eso significa que esos recursos están bloqueados.
  1. Para confirmar el bloquear de la consola en AWS: Consola de AWS > IAM > Usuario > Nombre de usuario > Políticas de permisos > haga clic en políticas de bloquear para EC2 Instance Connect, Session Manager, EC2 Serial Console > verifique el contenido JSON para ver los permisos.

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sZKiCAM&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language