Roles y permisos de usuario
Microsoft Defender for Cloud usa el control de acceso basado en roles de Azure para proporcionar roles integrados. Puede asignar estos roles a usuarios, grupos y servicios en Azure para conceder a los usuarios acceso a los recursos según el acceso definido en el rol.
Defender for Cloud evalúa la configuración de los recursos e identifica problemas de seguridad y vulnerabilidades. En Defender for Cloud, puede ver información relacionada con un recurso cuando tiene asignado uno de estos roles para la suscripción o el grupo de recursos al que pertenece el recurso: Propietario, Colaborador o Lector.
Además de los roles integrados, hay dos roles específicos de Defender for Cloud:
- Lector de seguridad: un usuario que pertenece a este rol tiene acceso de solo lectura en Defender for Cloud. El usuario puede ver las recomendaciones, las alertas, una directiva de seguridad y los estados de seguridad, pero no puede realizar cambios.
- Administrador de seguridad: un usuario que pertenece a este rol tiene el mismo acceso que el lector de seguridad, y puede actualizar la directiva de seguridad y descartar las alertas y las recomendaciones.
Es recomendable asignar el rol de menos permisos que los usuarios necesiten para realizar sus tareas.
Por ejemplo, puede asignar el rol de Lector a los usuarios que solo necesitan ver la información de estado de seguridad de un recurso sin realizar ninguna acción. Los usuarios con un rol de Lector pueden aplicar recomendaciones o directivas de edición.
Roles y acciones permitidas
En la siguiente tabla se muestran los roles y las acciones permitidas en Defender for Cloud.
| Acción | Lector de seguridad / Lector |
Administrador de seguridad | Colaborador / Propietario | Colaborador | Propietario |
|---|---|---|---|---|---|
| (Nivel de grupo de recursos) | (Nivel de suscripción) | (Nivel de suscripción) | |||
| Agregar o asignar iniciativas (incluidas las normas de cumplimiento normativo) | - | ✔ | - | - | ✔ |
| Editar directivas de seguridad | - | ✔ | - | - | ✔ |
| Habilitar o deshabilitar planes de Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Descartar alertas | - | ✔ | - | ✔ | ✔ |
| Aplicar recomendaciones de seguridad para un recurso (Usar Corrección) |
- | - | ✔ | ✔ | ✔ |
| Ver alertas y recomendaciones | ✔ | ✔ | ✔ | ✔ | ✔ |
| Recomendaciones de seguridad exentas | - | ✔ | - | - | ✔ |
| Configurar notificaciones por correo electrónico | - | ✔ | ✔ | ✔ | ✔ |
Nota:
Aunque los tres roles mencionados son suficientes para habilitar y deshabilitar los planes de Defender, para habilitar todas las funcionalidades de un plan, se requiere el rol Propietario.
El rol específico necesario para implementar componentes de supervisión depende de la extensión que se va a implementar. Obtenga más información sobre la supervisión de componentes.
Roles usados para aprovisionar automáticamente agentes y extensiones
Para permitir que el rol de Administrador de seguridad aprovisione automáticamente agentes y extensiones usados en los planes de Defender for Cloud, Defender for Cloud usa la corrección de directivas de forma similar a Azure Policy. Para usar la corrección, Defender for Cloud debe crear entidades de servicio, también denominadas identidades administradas, que asignan roles en el nivel de suscripción. Por ejemplo, las entidades de servicio del plan de Defender para contenedores son:
| Entidad de servicio | Roles |
|---|---|
| Perfil de seguridad de aprovisionamiento de Azure Kubernetes Service (AKS) de Defender para contenedores | • Colaborador de la extensión de Kubernetes • Colaborador • Colaborador de Azure Kubernetes Service • Colaborador de Log Analytics |
| Defender para contenedores que aprovisionan Kubernetes habilitados para Arc | • Colaborador de Azure Kubernetes Service • Colaborador de la extensión de Kubernetes • Colaborador • Colaborador de Log Analytics |
| Defender para contenedores que aprovisionan Azure Policy para Kubernetes | • Colaborador de la extensión de Kubernetes • Colaborador • Colaborador de Azure Kubernetes Service |
| Extensión de directiva de aprovisionamiento de Defender para contenedores para Kubernetes habilitado para Arc | • Colaborador de Azure Kubernetes Service • Colaborador de la extensión de Kubernetes • Colaborador |
Permisos en AWS
Al incorporar un conector de Amazon Web Services (AWS), Defender for Cloud crea roles y asigna permisos en su cuenta de AWS. En la tabla siguiente, se muestran los roles y el permiso asignados por cada plan en la cuenta de AWS.
| Plan de Defender for Cloud | Rol creado | Permiso asignado en la cuenta de AWS |
|---|---|---|
| Administración de la posición de seguridad en la nube (CSPM) de Defender | CspmMonitorAws | Para identificar los permisos de los recursos de AWS, lea todos los recursos excepto: consolidatedbilling: freetier: facturación: pagos: facturación: impuesto: cur:* |
| Administración de la posición de seguridad en la nube de Defender Defender para servidores |
DefenderForCloud-AgentlessScanner | Para crear y limpiar instantáneas de disco (con ámbito según la etiqueta) “CreatedBy”: Permisos para "Microsoft Defender for Cloud": ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Permiso para EncryptionKeyCreation kms:CreateKey kms:ListKeys Permisos para EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Administración de la posición de seguridad en la nube de Defender Defender para Storage |
SensitiveDataDiscovery | Permisos para detectar buckets de S3 en la cuenta de AWS, permiso para que el detector de Defender for Cloud acceda a los datos de los buckets de S3. S3 solo lectura; KMS descifrado kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Permisos para Ciem Discovery sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender para servidores | DefenderForCloud-DefenderForServers | Permisos para la configuración de acceso de red JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender para contenedores | DefenderForCloud-Containers-K8s | Permisos para enumerar clústeres EKS y recopilar datos de clústeres EKS. eks:UpdateClusterConfig eks:DescribeCluster |
| Defender para contenedores | DefenderForCloud-DataCollection | Permisos para el grupo de registros de CloudWatch creado por Defender for Cloud “logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups autp logs:PutRetentionPolicy Permisos para usar la cola de SQS creada por Defender for Cloud sqs:ReceiveMessage sqs:DeleteMessage |
| Defender para contenedores | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Permisos para acceder al flujo de entrega de Kinesis Data Firehose creado por Defender for Cloud firehose:* |
| Defender para contenedores | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Permisos para usar el bucket de SQS creado por Defender for Cloud s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
| Defender para contenedores Administración de la posición de seguridad en la nube de Defender |
MDCContainersAgentlessDiscoveryK8sRole | Permisos para recopilar datos de clústeres EKS. Actualización de clústeres EKS para admitir la restricción de IP y crear iamidentitymapping para clústeres EKS “eks:DescribeCluster” “eks:UpdateClusterConfig*” |
| Defender para contenedores Administración de la posición de seguridad en la nube de Defender |
MDCContainersImageAssessmentRole | Permisos para detectar imágenes de ECR y ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender para servidores | DefenderForCloud-ArcAutoProvisioning | Permisos para instalar Azure Arc en todas las instancias EC2 mediante SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Administración de la posición de seguridad en la nube de Defender | DefenderForCloud-DataSecurityPostureDB | Permiso para detectar instancias de RDS en la cuenta de AWS, crear una instantánea de instancia de RDS - Enumeración de todas las bases de datos o clústeres de RDS - Enumeración de todas las instantáneas de bases de datos o clústeres - Copia de todas las instantáneas de bases de datos o clústeres - Eliminación o actualización de la instantánea de base de datos o clúster con el prefijo defenderfordatabases - Enumeración de todas las claves de KMS - Uso de todas las claves de KMS solo para RDS en la cuenta de origen - Enumeración de las claves de KMS con el prefijo de etiqueta DefenderForDatabases - Creación de alias para claves de KMS Permisos necesarios para detectar instancias de RDS rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Permisos en GCP
Al incorporar un conector de Google Cloud Platforms (GCP), Defender for Cloud crea roles y asigna permisos en el proyecto de GCP. En la tabla siguiente, se muestran los roles y el permiso asignados por cada plan en el proyecto de GCP.
| Plan de Defender for Cloud | Rol creado | Permiso asignado en la cuenta de AWS |
|---|---|---|
| Administración de la posición de seguridad en la nube de Defender | MDCCspmCustomRole | Estos permisos facilitan que el rol CSPM detecte y examine recursos dentro de la organización: Permite que el rol vea organizaciones, proyectos y carpetas: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Permite el proceso de autoaprovisionamiento de nuevos proyectos y la eliminación de proyectos eliminados: resourcemanager.projects.get resourcemanager.projects.list Permite que el rol habilite los servicios de Google Cloud usados para la detección de recursos: serviceusage.services.enable Se usa para crear y enumerar roles de IAM: iam.roles.create iam.roles.list Permite que el rol actúe como una cuenta de servicio y obtenga permiso para los recursos: iam.serviceAccounts.actAs Permite que el rol vea los detalles del proyecto y establezca metadatos de instancia comunes: compute.projects.get compute.projects.setCommonInstanceMetadata |
| Defender para servidores | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Acceso de solo lectura para obtener y enumerar Compute Engine recursos compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender para bases de datos | defender-for-databases-arc-ap | Permisos para el aprovisionamiento automático de ARC de Defender para bases de datos compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Administración de la posición de seguridad en la nube de Defender Defender para Storage |
data-security-posture-storage | Permiso para que el detector de Defender for Cloud identifique depósitos de almacenamiento de GCP para acceder a los datos de los buckets de almacenamiento de GCP storage.objects.list storage.objects.get storage.buckets.get |
| Administración de la posición de seguridad en la nube de Defender Defender para Storage |
data-security-posture-storage | Permiso para que el detector de Defender for Cloud identifique depósitos de almacenamiento de GCP para acceder a los datos de los buckets de almacenamiento de GCP storage.objects.list storage.objects.get storage.buckets.get |
| Administración de la posición de seguridad en la nube de Defender | microsoft-defender-ciem | Permisos para obtener detalles sobre el recurso de la organización. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Administración de la posición de seguridad en la nube de Defender Defender para servidores |
MDCAgentlessScanningRole | Permisos para la detección de discos sin agente: compute.disks.createSnapshot compute.instances.get |
| Administración de la posición de seguridad en la nube de Defender Defender para servidores |
cloudkms.cryptoKeyEncrypterDecrypter | Se conceden permisos a un rol de KMS de GCP existente para admitir la detección de discos cifrados con CMEK |
| Administración de la posición de seguridad en la nube de Defender Defender para contenedores |
mdc-containers-artifact-assess | Permiso para detectar imágenes de GAR y GCR. artifactregistry.reader storage.objectViewer |
| Defender para contenedores | mdc-containers-k8s-operator | Permisos para recopilar datos de clústeres GKE. Actualice los clústeres de GKE para admitir la restricción de IP. container.viewer MDCGkeClusterWriteRole: container.clusters.update* MDCGkeContainerResponseActionsRole: container.pods.update, container.networkPolicies.create container.networkPolicies.update container.networkPolicies.delete |
| Defender para contenedores | microsoft-defender-containers | Permisos para crear y administrar el receptor de registro para enrutar los registros a un tema de Cloud Pub/Sub. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender para contenedores | ms-defender-containers-stream | Permisos para permitir que el registro envíe registros a Pub/Sub: pubsub.subscriptions.consume pubsub.subscriptions.get |
Pasos siguientes
En este artículo se explica cómo usa Microsoft Defender for Cloud el control de acceso basado en roles de Azure para asignar permisos a los usuarios e identificar las acciones permitidas de cada rol. Ahora que ya está familiarizado con las asignaciones de roles necesarios para supervisar el estado de seguridad de su suscripción, editar directivas de seguridad y aplicar recomendaciones, aprenderá los siguientes conceptos: