Prisma Cloud: EC2 インスタンス接続、セッション マネージャー、EC2 シリアル コンソールが RQL 経由でブロックされているかどうかを確認する方法。
3079
Created On 09/30/22 20:05 PM - Last Modified 12/27/24 09:08 AM
Objective
Prisma Cloud の RQL 経由で EC2 インスタンス接続、セッション マネージャー、EC2 シリアル コンソールがブロックされているかどうかを確認する方法。
Environment
- プリズマクラウド
- アマゾン
- 品質保証
Procedure
GUI: Prisma Cloud コンソールにログイン > 調査 > 以下の RQL クエリを検索
config from cloud.resource where api.name = 'aws-iam-list-users' as X; config from cloud.resource where api.name = 'aws-iam-get-policy-version' AND json.rule = document.Statement[?any( (Action contains "ec2-instance-connect:SendSSHPublicKey" or Action contains "contains iam:GetAccountPasswordPolicy" or Action contains "contains ec2-instance-connect:SendSerialConsoleSSHPublicKey") and Effect equals "Allow" )] exists as Y; filter '$.X.groups[*].attachedManagedPolicies[*] contains $.Y.policyName'; show X;
- 注: RQL クエリによって結果が生成される場合、それらのリソースはブロックされていることを意味します。
- AWS でコンソールのブロックを確認するには、 AWS コンソール > IAM > ユーザー > ユーザー名 > アクセス許可ポリシー > EC2 インスタンス接続、セッション マネージャー、EC2 シリアル コンソールのブロックポリシーをクリック > アクセス許可の JSON コンテンツを確認します。