Prisma Cloud : Comment vérifier si EC2 Instance Connect, Session Manager et EC2 Serial Console sont bloqués via RQL.

Prisma Cloud : Comment vérifier si EC2 Instance Connect, Session Manager et EC2 Serial Console sont bloqués via RQL.

2526
Created On 09/30/22 20:05 PM - Last Modified 12/27/24 09:04 AM


Objective


Comment vérifier si votre EC2 Instance Connect, Session Manager et EC2 Serial Console sont bloqués via RQL dans Prisma Cloud.

Environment


  • Nuage de prisme
  • AWS
  • RQL

Procedure


GUI : connectez-vous à Prisma Cloud Console > Enquêter > Rechercher la requête RQL ci-dessous

Capture d'écran 2024-04-05 à 12h22.29.png

config from cloud.resource where api.name = 'aws-iam-list-users' as X; config from cloud.resource where api.name = 'aws-iam-get-policy-version' AND json.rule = document.Statement[?any( (Action contains "ec2-instance-connect:SendSSHPublicKey" or Action contains "contains iam:GetAccountPasswordPolicy" or Action contains "contains ec2-instance-connect:SendSerialConsoleSSHPublicKey") and Effect equals "Allow" )] exists as Y; filter '$.X.groups[*].attachedManagedPolicies[*] contains $.Y.policyName'; show X;
  1. Remarque : si votre requête RQL produit des résultats, cela signifie que ces ressources sont bloquées.
  1. Pour confirmer le blocage de la console dans AWS : Console AWS > IAM > Utilisateur > Nom d'utilisateur > Stratégies d'autorisations > cliquez sur Stratégies de blocage pour EC2 Instance Connect, Session Manager, EC2 Serial Console > vérifiez le contenu JSON pour les autorisations.

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sZKiCAM&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language