Prisma Cloud: RQL을 통해 EC2 Instance Connect, Session Manager 및 EC2 Serial Console이 차단되었는지 확인하는 방법.

Prisma Cloud: RQL을 통해 EC2 Instance Connect, Session Manager 및 EC2 Serial Console이 차단되었는지 확인하는 방법.

3079
Created On 09/30/22 20:05 PM - Last Modified 12/27/24 09:09 AM


Objective


Prisma Cloud에서 RQL을 통해 EC2 Instance Connect, Session Manager 및 EC2 Serial Console이 차단되었는지 확인하는 방법입니다.

Environment


  • 프리즈마 클라우드
  • 한국어: AWS
  • 영어:

Procedure


GUI: Prisma Cloud Console에 로그인 > 조사 > 아래 RQL 쿼리 검색

스크린샷 2024-04-05 오후 12시 22분 29초.png

config from cloud.resource where api.name = 'aws-iam-list-users' as X; config from cloud.resource where api.name = 'aws-iam-get-policy-version' AND json.rule = document.Statement[?any( (Action contains "ec2-instance-connect:SendSSHPublicKey" or Action contains "contains iam:GetAccountPasswordPolicy" or Action contains "contains ec2-instance-connect:SendSerialConsoleSSHPublicKey") and Effect equals "Allow" )] exists as Y; filter '$.X.groups[*].attachedManagedPolicies[*] contains $.Y.policyName'; show X;
  1. 참고: RQL 쿼리에서 결과가 생성되면 해당 리소스가 차단되었다는 의미입니다.
  1. AWS에서 콘솔 차단 확인하려면: AWS 콘솔 > IAM > 사용자 > 사용자 이름 > 권한 정책 > EC2 Instance Connect, Session Manager, EC2 Serial Console에 대한 차단 정책을 클릭 > 권한에 대한 JSON 내용을 확인합니다.

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sZKiCAM&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language