Sdílet prostřednictvím


Role uživatele a oprávnění

Microsoft Defender pro cloud používá řízení přístupu na základě role v Azure (řízení přístupu na základě role Azure) k poskytování předdefinovaných rolí. Tyto role můžete přiřadit uživatelům, skupinám a službám v Azure, abyste uživatelům poskytli přístup k prostředkům podle přístupu definovaného v této roli.

Defender for Cloud vyhodnocuje konfiguraci vašich prostředků a identifikuje problémy se zabezpečením a ohrožení zabezpečení. V programu Defender for Cloud můžete zobrazit informace související s prostředkem, pokud máte některou z těchto rolí přiřazenou k předplatnému nebo skupině prostředků, do které prostředek patří: Vlastník, Přispěvatel nebo Čtenář.

Kromě předdefinovanýchrolích

  • Čtenář zabezpečení: Uživatel, který patří do této role, má k Defenderu pro cloud přístup jen pro čtení. Uživatel může zobrazit doporučení, výstrahy, zásady zabezpečení a stavy zabezpečení, ale nemůže provádět změny.
  • Správce zabezpečení: Uživatel, který patří do této role, má stejný přístup jako čtenář zabezpečení a může také aktualizovat zásady zabezpečení a zavřít výstrahy a doporučení.

Doporučujeme, abyste uživatelům přiřadili nejnižší roli potřebnou k dokončení svých úkolů.

Roli Čtenář můžete například přiřadit uživatelům, kteří potřebují jenom zobrazit informace o stavu zabezpečení prostředku bez provedení jakékoli akce. Uživatelé s rolí Čtenář můžou používat doporučení nebo upravovat zásady.

Role a povolené akce

Následující tabulka zobrazuje role a povolené akce v defenderu pro cloud.

Akce Čtenář zabezpečení /
Čtenář
Správce zabezpečení Vlastník přispěvatele / Přispěvatel Vlastník
(Úroveň skupiny prostředků) (Úroveň předplatného) (Úroveň předplatného)
Přidávání a přiřazování iniciativ (včetně standardů dodržování právních předpisů) - - -
Úprava zásad zabezpečení - - -
Povolení nebo zakázání plánů Microsoft Defenderu - -
Zavření výstrah - -
Použití doporučení zabezpečení pro prostředek
(použití opravy)
- -
Zobrazení upozornění a doporučení
Doporučení k vyloučení zabezpečení - - -
Konfigurace e-mailových oznámení -

Poznámka:

I když jsou uvedené tři role dostatečné pro povolení a zakázání plánů Defenderu, aby bylo možné povolit všechny možnosti plánu, které role vlastníka vyžaduje.

Konkrétní role potřebná k nasazení komponent monitorování závisí na rozšíření, které nasazujete. Přečtěte si další informace o komponentách monitorování.

Role používané k automatickému zřizování agentů a rozšíření

Aby mohla role správce zabezpečení automaticky zřizovat agenty a rozšíření používaná v programu Defender for Cloud, používá Defender for Cloud nápravu zásad podobným způsobem jako Azure Policy. Aby bylo možné použít nápravu, potřebuje Defender for Cloud vytvářet instanční objekty, označované také jako spravované identity, které přiřazují role na úrovni předplatného. Například instanční objekty pro plán Defender for Containers jsou:

Instanční objekt Role
Profil zabezpečení služby Azure Kubernetes Service (AKS) pro zřizování služby Defender for Containers * Přispěvatel rozšíření Kubernetes
*Přispěvatel
* Přispěvatel služby Azure Kubernetes Service
* Přispěvatel Log Analytics
Defender for Containers zřizování Kubernetes s podporou arc * Přispěvatel služby Azure Kubernetes Service
* Přispěvatel rozšíření Kubernetes
*Přispěvatel
* Přispěvatel Log Analytics
Zřizování Služby Azure Policy pro Kubernetes v Defenderu pro kontejnery * Přispěvatel rozšíření Kubernetes
*Přispěvatel
* Přispěvatel služby Azure Kubernetes Service
Rozšíření zásad zřizování Defenderu pro kontejnery pro Kubernetes s podporou Arc * Přispěvatel služby Azure Kubernetes Service
* Přispěvatel rozšíření Kubernetes
*Přispěvatel

Oprávnění v AWS

Když nasadíte konektor Amazon Web Services (AWS), Defender for Cloud vytvoří role a přiřadí oprávnění k vašemu účtu AWS. Následující tabulka uvádí role a oprávnění přiřazená jednotlivými plány vašeho účtu AWS.

Plán Defenderu pro cloud Vytvořená role Oprávnění přiřazená k účtu AWS
Správa stavu zabezpečení cloudu v programu Defender (CSPM) CspmMonitorAws Pokud chcete zjistit oprávnění k prostředkům AWS, přečtěte si všechny prostředky s výjimkou:
konsolidovaná fakturace:*
freetier:*
fakturace:*
platby:*
fakturování:*
daň:*
zbabělec:*
Defender CSPM

Defender for Servers
DefenderForCloud-AgentlessScanner Pokud chcete vytvořit a vyčistit snímky disků (vymezené značkou), "CreatedBy": "Microsoft Defender for Cloud" Permissions:
ec2:DeleteSnapshot ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshot
ec2:CreateSnapshot
ec2:DescribeSnapshots
ec2:DescribeInstanceStatus
Oprávnění k EncryptionKeyCreation kms:CreateKey
kms:ListKeys
Oprávnění pro EncryptionKeyManagement kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:TagResource
kms:ListResourceTags
kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
Kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFrom
Defender CSPM

Defender for Storage
SensitiveDataDiscovery Oprávnění ke zjišťování kbelíků S3 v účtu AWS, oprávnění ke skeneru Defenderu pro cloud pro přístup k datům v kontejnerech S3
Jen pro čtení S3

Dešifrování Služby správy klíčů
Kms:Dešifrování
CIEM DefenderForCloud-Ciem
DefenderForCloud-OidcCiem
Oprávnění ke zjišťování Ciem
sts:AssumeRole
sts:AssumeRoleWithSAML
sts:GetAccessKeyInfo
sts:GetCallerIdentity
sts:GetFederationToken
sts:GetServiceBearerToken
sts:GetSessionToken
sts:TagSession
Defender for Servers DefenderForCloud-DefenderForServers Oprávnění ke konfiguraci síťového přístupu JIT:
ec2:RevokeSecurityGroupIngress
ec2:AuthorizeSecurityGroupIngress
ec2:DescribeInstances
ec2:DescribeSecurityGroupRules
ec2:DescribeVpcs
ec2:CreateSecurityGroup
ec2:DeleteSecurityGroup
ec2:ModifyNetworkInterfaceAttribute
ec2:ModifySecurityGroupRules
ec2:ModifyInstanceAttribute
ec2:DescribeSubnets
ec2:DescribeSecurityGroups
Defender pro kontejnery DefenderForCloud-Containers-K8s Oprávnění k výpisu clusterů EKS a shromažďování dat z clusterů EKS
eks:UpdateClusterConfig
eks:DescribeCluster
Defender pro kontejnery DefenderForCloud-DataCollection Oprávnění ke skupině protokolů CloudWatch, kterou vytvořil Defender for Cloud
logs:PutSubscriptionFilter
logs:DescribeSubscriptionFilters
logs:DescribeLogGroups
logs:PutRetentionPolicy

Oprávnění k používání fronty SQS vytvořené defenderem pro cloud
sqs:ReceiveMessage
sqs:DeleteMessage
Defender pro kontejnery DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis Oprávnění pro přístup k streamu pro doručování dat Kinesis Data Firehose, který vytvořil Defender for Cloud
firehose:*
Defender pro kontejnery DefenderForCloud-Containers-K8s-kinesis-to-s3 Oprávnění pro přístup k kbelíku S3 vytvořenému defenderem pro cloud
s3:GetObject
s3:GetBucketLocation
s3:AbortMultipartUpload
s3:GetBucketLocation
s3:GetObject
s3:ListBucket
s3:ListBucketMultipartUploads
s3:PutObject
Defender for Containers

Defender CSPM
MDCContainersAgentlessDiscoveryK8sRole Oprávnění ke shromažďování dat z clusterů EKS Aktualizace clusterů EKS pro podporu omezení IP adres a vytvoření aplikace iamidentitymapping pro clustery EKS
"eks:DescribeCluster"
"eks:UpdateClusterConfig*"
Defender for Containers

Defender CSPM
MDCContainersImageAssessmentRole Oprávnění ke skenování obrázků z ECR a ECR Public.
AmazonEC2ContainerRegistryReadOnly
AmazonElasticContainerRegistryPublicReadOnly
AmazonEC2ContainerRegistryPowerUser
AmazonElasticContainerRegistryPublicPowerUser
Defender for Servers DefenderForCloud-ArcAutoProvisioning Oprávnění k instalaci Služby Arc ve všech instancích EC2 pomocí SSM
ssm:CancelCommand
ssm:DescribeInstanceInformation
ssm:GetCommandInvocation
ssm:UpdateServiceSetting
ssm:GetServiceSetting
ssm:GetAutomationExecution
ec2:DescribeIamInstanceProfileAssociations
ec2:DisassociateIamInstanceProfile
ec2:DescribeInstances
ssm:StartAutomationExecution
iam:GetInstanceProfile
iam:ListInstanceProfilesForRole
ssm:GetAutomationExecution
ec2:DescribeIamInstanceProfileAssociations
ec2:DisassociateIamInstanceProfile
ec2:DescribeInstances
ssm:StartAutomationExecution
iam:GetInstanceProfile
iam:ListInstanceProfilesForRole
Defender CSPM DefenderForCloud-DataSecurityPostureDB Oprávnění ke zjišťování instancí RDS v účtu AWS, vytvoření snímku instance RDS
– Výpis všech databází a clusterů RDS
– Výpis všech snímků databáze nebo clusteru
– Kopírování všech snímků databáze nebo clusteru
– Odstranění, aktualizace snímku databáze nebo clusteru s předponou defenderfordatabases
- Výpis všech klíčů Služby správy klíčů
– Všechny klíče Služby správy klíčů používejte jenom pro RDS ve zdrojovém účtu.
– Výpis klíčů Služby správy klíčů s předponou značky DefenderForDatabases
– Vytvoření aliasu pro klíče Služby správy klíčů

Oprávnění potřebná ke zjišťování instancí vzdálené plochy
rds:DescribeDBInstances
rds:DescribeDBClusters
rds:DescribeDBClusterSnapshots
rds:DescribeDBSnapshots
rds:CopyDBSnapshot
rds:CopyDBClusterSnapshot
rds:DeleteDBSnapshot
rds:DeleteDBClusterSnapshot
rds:ModifyDBSnapshotAttribute
rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters
rds:DescribeDBParameters
rds:DescribeOptionGroups
kms:CreateGrant
kms:ListAliases
kms:CreateKey
kms:TagResource
Kms:ListGrants
kms:DescribeKey
kms:PutKeyPolicy
Kms:Encrypt
kms:CreateGrant
Kms:EnableKey
Kms:CancelKeyDeletion
kms:DisableKey
kms:ScheduleKeyDeletion
kms:UpdateAlias
Kms:UpdateKeyDescription

Oprávnění pro GCP

Když připojíte konektor GCP (Google Cloud Platforms), Defender for Cloud vytvoří role a přiřadí oprávnění k projektu GCP. Následující tabulka ukazuje role a oprávnění přiřazená jednotlivými plány projektu GCP.

Plán Defenderu pro cloud Vytvořená role Oprávnění přiřazená k účtu AWS
Defender CSPM MDCCspmCustomRole Tato oprávnění umožňují roli CSPM zjišťovat a kontrolovat prostředky v organizaci:

Umožňuje roli zobrazovat a zobrazovat organizace, projekty a složky:
resourcemanager.folders.get
resourcemanager.folders.list resourcemanager.folders.getIamPolicy
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy

Umožňuje proces automatického zřizování nových projektů a odebrání odstraněných projektů:
resourcemanager.projects.get
resourcemanager.projects.list

Umožňuje roli povolit služby Google Cloud používané ke zjišťování prostředků:
serviceusage.services.enable

Používá se k vytváření a výpisu rolí IAM:
iam.roles.create
iam.roles.list

Umožňuje, aby role fungovala jako účet služby a získala oprávnění k prostředkům:
iam.serviceAccounts.actAs

Umožňuje roli zobrazit podrobnosti projektu a nastavit běžná metadata instance:
compute.projects.get
compute.projects.setCommonInstanceMetadata
Defender for Servers microsoft-defender-for-servers
azure-arc-for-servers-onboard
Přístup jen pro čtení pro získání a výpis prostředků výpočetního stroje:
compute.viewer
iam.serviceAccountTokenCreator
osconfig.osPolicyAssignmentAdmin
osconfig.osPolicyAssignmentReportViewer
Defender for Database defender-for-databases-arc-ap Oprávnění k automatickému zřizování služby Defender pro databáze ARC
compute.viewer
iam.workloadIdentityUser
iam.serviceAccountTokenCreator
osconfig.osPolicyAssignmentAdmin
osconfig.osPolicyAssignmentReportViewer
Defender CSPM

Defender for Storage
data- security-posture-storage Oprávnění pro cloudový skener Defenderu pro zjišťování kontejnerů úložiště GCP pro přístup k datům v kontejnerech úložiště GCP
storage.objects.list
storage.objects.get
storage.buckets.get
Defender CSPM

Defender for Storage
data- security-posture-storage Oprávnění pro cloudový skener Defenderu pro zjišťování kontejnerů úložiště GCP pro přístup k datům v kontejnerech úložiště GCP
storage.objects.list
storage.objects.get
storage.buckets.get
Defender CSPM microsoft-defender-ciem Oprávnění k získání podrobností o prostředku organizace
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy
Defender CSPM

Defender for Servers
MDCAgentlessScanningRole Oprávnění ke kontrole disků bez agentů:
compute.disks.createSnapshot
compute.instances.get
Defender CSPM

Defender pro servery
cloudkms.cryptoKeyEncrypterDecrypter Oprávnění k existující roli GCP KMS jsou udělena pro podporu skenování disků, které jsou šifrované pomocí CMEK.
Defender CSPM

Defender pro kontejnery
mdc-containers-artifact-assess Oprávnění ke skenování obrázků z GAR a GCR
artifactregistry.reader
storage.objectViewer
Defender pro kontejnery mdc-containers-k8s-operator Oprávnění ke shromažďování dat z clusterů GKE Aktualizujte clustery GKE tak, aby podporovaly omezení IP adres.

container.viewer

MDCGkeClusterWriteRole:
container.clusters.update*

MDCGkeContainerResponseActionsRole:
container.pods.update
container.pods.delete
container.networkPolicies.create
container.networkPolicies.update
container.networkPolicies.delete
Defender pro kontejnery microsoft-defender-containers Oprávnění k vytvoření a správě jímky protokolu pro směrování protokolů do tématu Cloud Pub/Sub
logging.sinks.list
logging.sinks.get
logging.sinks.create
logging.sinks.update
logging.sinks.delete
resourcemanager.projects.getIamPolicy
resourcemanager.organizations.getIamPolicy
iam.serviceAccounts.get
iam.workloadIdentityPoolProviders.get
Defender pro kontejnery ms-defender-containers-stream Oprávnění k povolení protokolování odesílání protokolů do podsítě pub:
pubsub.subscriptions.consume
pubsub.subscriptions.get

Další kroky

Tento článek vysvětluje, jak Defender pro cloud používá řízení přístupu na základě role Azure k přiřazení oprávnění uživatelům a identifikaci povolených akcí pro každou roli. Teď, když jste obeznámeni s přiřazeními rolí potřebnými k monitorování stavu zabezpečení předplatného, úpravě zásad zabezpečení a použití doporučení, zjistěte, jak: