Asignación de acceso a los propietarios de cargas de trabajo

Al incorporar los entornos de AWS o GCP, Defender for Cloud crea automáticamente un conector de seguridad como un recurso de Azure dentro de la suscripción conectada y el grupo de recursos. Defender for Cloud también crea el proveedor de identidades como rol de IAM que requiere durante el proceso de incorporación.

¿Asignar permiso a los usuarios, en conectores de seguridad específicos, debajo del conector primario? Sí, puede hacerlo. Debe determinar a qué cuentas de AWS o proyectos de GCP desea que los usuarios tengan acceso. Es decir, debe identificar los conectores de seguridad que corresponden a la cuenta de AWS o al proyecto de GCP al que desea asignar acceso a los usuarios.

Requisitos previos

• Una cuenta de Azure. Si aún no tiene una cuenta de Azure, puede crear su cuenta gratuita de Azure hoy mismo.

• Al menos un conector de seguridad para Azure, AWS o GCP.

Configuración de permisos en el conector de seguridad

Los permisos de los conectores de seguridad se administran mediante el control de acceso basado en rol (RBAC) de Azure. Puede asignar roles a usuarios, grupos y aplicaciones en un nivel de suscripción, grupo de recursos o recurso.

1. Inicie sesión en Azure Portal.

2. Vaya a Microsoft Defender for Cloud>Configuración del entorno.

3. Busque el conector de AWS o GCP correspondiente.

4. Asigne permisos a los propietarios de cargas de trabajo con todos los recursos o con la opción Azure Resource Graph en Azure Portal.

   Todos los recursos

   1. Busque y seleccione Todos los recursos.

      

   2. Seleccione Administrar vista>Mostrar tipos ocultos.

      

   3. Seleccione el filtro Tipos igual a todos.

   4. Escriba securityconnector en el campo de valor y agregue una comprobación a microsoft.security/securityconnectors.

      

   5. Seleccione Aplicar.

   6. Seleccione el conector de recursos correspondiente.

   Azure Resource Graph

   1. Busque y seleccione Resource Graph Explorer.

      

   2. Copie y pegue la consulta siguiente para buscar el conector de seguridad:

      AWS

      resources 
      | where type == "microsoft.security/securityconnectors" 
      | extend source = tostring(properties.environmentName)  
      | where source == "AWS" 
      | project name, subscriptionId, resourceGroup, accountId = properties.hierarchyIdentifier, cloud = properties.environmentName  
      

      GCP

      resources 
      | where type == "microsoft.security/securityconnectors" 
      | extend source = tostring(properties.environmentName)  
      | where source == "GCP" 
      | project name, subscriptionId, resourceGroup, projectId = properties.hierarchyIdentifier, cloud = properties.environmentName  
      

   3. Seleccione Ejecutar consulta.

   4. Cambie los resultados con formato a Activado.

      

   5. Seleccione la suscripción y el grupo de recursos pertinentes para buscar el conector de seguridad correspondiente.

5. Seleccione Control de acceso (IAM).

   

6. Seleccione Agregar>Agregar asignación de roles.

7. Seleccione el rol que quiera.

8. Seleccione Siguiente.

9. Seleccione + Seleccionar integrantes.

   

10. Busque y seleccione el usuario o grupo pertinentes.

11. Seleccione el botón Seleccionar.

12. Seleccione Siguiente.

13. Seleccione Revisar + asignar.

14. Revisa la información.

15. Seleccione Revisar y asignar.

Después de establecer el permiso para el conector de seguridad, los propietarios de cargas de trabajo podrán ver recomendaciones en Defender for Cloud para los recursos de AWS y GCP asociados al conector de seguridad.

Paso siguiente

Permisos de RBAC