Asignación de acceso a los propietarios de cargas de trabajo

Al incorporar los entornos de Amazon Web Service (AWS) o Google Cloud Project (GCP), Defender for Cloud crea automáticamente un conector de seguridad como un recurso de Azure dentro de la suscripción conectada y el grupo de recursos. Defender for Cloud también crea el proveedor de identidades como rol de IAM necesario durante el proceso de incorporación.

Para asignar permisos a los usuarios en un conector específico por debajo del conector principal, debe determinar a qué cuentas de AWS o proyectos de GCP quiere que accedan los usuarios. Debe identificar los conectores de seguridad que corresponden a la cuenta de AWS o al proyecto de GCP al que desea asignar acceso a los usuarios.

Requisitos previos

• Una cuenta de Azure. Si aún no tiene una cuenta de Azure, puede crear su cuenta gratuita de Azure hoy mismo.

• Al menos un conector de seguridad para Azure, AWS o GCP.

Configuración de permisos en el conector de seguridad

Los permisos de los conectores de seguridad se administran mediante el control de acceso basado en rol (RBAC) de Azure. Puede asignar roles a usuarios, grupos y aplicaciones en un nivel de suscripción, grupo de recursos o recurso.

1. Inicie sesión en Azure Portal.

2. Vaya a Microsoft Defender for Cloud>Configuración del entorno.

3. Busque el conector de AWS o GCP correspondiente.

4. Asigne permisos a los propietarios de cargas de trabajo con todos los recursos o con la opción Azure Resource Graph en Azure Portal.

   Todos los recursos

   1. Busque y seleccione Todos los recursos.

      

   2. Seleccione Administrar vista>Mostrar tipos ocultos.

      

   3. Seleccione el filtro Tipos igual a todos.

   4. Escriba securityconnector en el campo de valor y agregue una comprobación a microsoft.security/securityconnectors.

      

   5. Seleccione Aplicar.

   6. Seleccione el conector de recursos correspondiente.

   Azure Resource Graph

   1. Busque y seleccione Resource Graph Explorer.

      

   2. Copie y pegue la consulta siguiente para buscar el conector de seguridad:

      AWS

      resources 
      | where type == "microsoft.security/securityconnectors" 
      | extend source = tostring(properties.environmentName)  
      | where source == "AWS" 
      | project name, subscriptionId, resourceGroup, accountId = properties.hierarchyIdentifier, cloud = properties.environmentName  
      

      GCP

      resources 
      | where type == "microsoft.security/securityconnectors" 
      | extend source = tostring(properties.environmentName)  
      | where source == "GCP" 
      | project name, subscriptionId, resourceGroup, projectId = properties.hierarchyIdentifier, cloud = properties.environmentName  
      

   3. Seleccione Ejecutar consulta.

   4. Cambie los resultados con formato a Activado.

      

   5. Seleccione la suscripción y el grupo de recursos pertinentes para buscar el conector de seguridad correspondiente.

5. Seleccione Control de acceso (IAM).

   

6. Seleccione Agregar>Agregar asignación de roles.

7. Seleccione el rol que quiera.

8. Seleccione Siguiente.

9. Seleccione + Seleccionar integrantes.

   

10. Busque y seleccione el usuario o grupo pertinentes.

11. Seleccione el botón Seleccionar.

12. Seleccione Siguiente.

13. Seleccione Revisar + asignar.

14. Revisa la información.

15. Seleccione Revisar y asignar.

Después de establecer el permiso para el conector de seguridad, los propietarios de cargas de trabajo podrán ver recomendaciones en Defender for Cloud para los recursos de AWS y GCP asociados al conector de seguridad.

Paso siguiente

Permisos de RBAC