Compartir vía


Roles y permisos de usuario

Microsoft Defender for Cloud usa el control de acceso basado en roles de Azure para proporcionar roles integrados. Puede asignar estos roles a usuarios, grupos y servicios en Azure para conceder a los usuarios acceso a los recursos según el acceso definido en el rol.

Defender for Cloud evalúa la configuración de los recursos e identifica problemas de seguridad y vulnerabilidades. En Defender for Cloud, puede ver información relacionada con un recurso cuando tiene asignado uno de estos roles para la suscripción o el grupo de recursos al que pertenece el recurso: Propietario, Colaborador o Lector.

Además de los roles integrados, hay dos roles específicos de Defender for Cloud:

  • Lector de seguridad: un usuario que pertenece a este rol tiene acceso de solo lectura en Defender for Cloud. El usuario puede ver las recomendaciones, las alertas, una directiva de seguridad y los estados de seguridad, pero no puede realizar cambios.
  • Administrador de seguridad: un usuario que pertenece a este rol tiene el mismo acceso que el lector de seguridad, y puede actualizar la directiva de seguridad y descartar las alertas y las recomendaciones.

Es recomendable asignar el rol de menos permisos que los usuarios necesiten para realizar sus tareas.

Por ejemplo, puede asignar el rol de Lector a los usuarios que solo necesitan ver la información de estado de seguridad de un recurso sin realizar ninguna acción. Los usuarios con un rol de Lector pueden aplicar recomendaciones o directivas de edición.

Roles y acciones permitidas

En la siguiente tabla se muestran los roles y las acciones permitidas en Defender for Cloud.

Acción Lector de seguridad /
Lector
Administrador de seguridad Colaborador / Propietario Colaborador Propietario
(Nivel de grupo de recursos) (Nivel de suscripción) (Nivel de suscripción)
Agregar o asignar iniciativas (incluidas las normas de cumplimiento normativo) - - -
Editar directivas de seguridad - - -
Habilitar o deshabilitar planes de Microsoft Defender - -
Descartar alertas - -
Aplicar recomendaciones de seguridad para un recurso
(Usar Corrección)
- -
Ver alertas y recomendaciones
Recomendaciones de seguridad exentas - - -
Configurar notificaciones por correo electrónico -

Nota:

Aunque los tres roles mencionados son suficientes para habilitar y deshabilitar los planes de Defender, para habilitar todas las funcionalidades de un plan, se requiere el rol Propietario.

El rol específico necesario para implementar componentes de supervisión depende de la extensión que se va a implementar. Obtenga más información sobre la supervisión de componentes.

Roles usados para aprovisionar automáticamente agentes y extensiones

Para permitir que el rol de Administrador de seguridad aprovisione automáticamente agentes y extensiones usados en los planes de Defender for Cloud, Defender for Cloud usa la corrección de directivas de forma similar a Azure Policy. Para usar la corrección, Defender for Cloud debe crear entidades de servicio, también denominadas identidades administradas, que asignan roles en el nivel de suscripción. Por ejemplo, las entidades de servicio del plan de Defender para contenedores son:

Entidad de servicio Roles
Perfil de seguridad de aprovisionamiento de Azure Kubernetes Service (AKS) de Defender para contenedores * Kubernetes Extension Contributor
* Colaborador
* Colaborador de Azure Kubernetes Service
* Colaborador de Log Analytics
Defender para contenedores que aprovisionan Kubernetes habilitados para Arc * Colaborador de Azure Kubernetes Service
* Kubernetes Extension Contributor
* Colaborador
* Colaborador de Log Analytics
Defender para contenedores que aprovisionan Azure Policy para Kubernetes * Kubernetes Extension Contributor
* Colaborador
* Colaborador de Azure Kubernetes Service
Extensión de directiva de aprovisionamiento de Defender para contenedores para Kubernetes habilitado para Arc * Colaborador de Azure Kubernetes Service
* Kubernetes Extension Contributor
* Colaborador

Permisos en AWS

Al incorporar un conector de Amazon Web Services (AWS), Defender for Cloud crea roles y asigna permisos en su cuenta de AWS. En la tabla siguiente, se muestran los roles y el permiso asignados por cada plan en la cuenta de AWS.

Plan de Defender for Cloud Rol creado Permiso asignado en la cuenta de AWS
Administración de la posición de seguridad en la nube (CSPM) de Defender CspmMonitorAws Para identificar los permisos de los recursos de AWS, lea todos los recursos excepto:
consolidatedbilling:*
freetier:*
invoicing:*
payments:*
billing:*
tax:*
cur:*
Administración de la posición de seguridad en la nube de Defender

Defender para servidores
DefenderForCloud-AgentlessScanner Para crear y limpiar instantáneas de disco (con ámbito según la etiqueta) "CreatedBy": Permisos para "Microsoft Defender for Cloud":
ec2:DeleteSnapshot ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshot
ec2:CreateSnapshot
ec2:DescribeSnapshots
ec2:DescribeInstanceStatus
Permiso para EncryptionKeyCreation kms:CreateKey
kms:ListKeys
Permisos para EncryptionKeyManagement kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:TagResource
kms:ListResourceTags
kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFrom
Administración de la posición de seguridad en la nube de Defender

Defender para Storage
SensitiveDataDiscovery Permisos para detectar buckets de S3 en la cuenta de AWS, permiso para que el detector de Defender for Cloud acceda a los datos de los buckets de S3
S3 solo de lectura

Descifrado de KMS
kms:Decrypt
CIEM DefenderForCloud-Ciem
DefenderForCloud-OidcCiem
Permisos para Ciem Discovery
sts:AssumeRole
sts:AssumeRoleWithSAML
sts:GetAccessKeyInfo
sts:GetCallerIdentity
sts:GetFederationToken
sts:GetServiceBearerToken
sts:GetSessionToken
sts:TagSession
Defender para servidores DefenderForCloud-DefenderForServers Permisos para la configuración de acceso de red JIT:
ec2:RevokeSecurityGroupIngress
ec2:AuthorizeSecurityGroupIngress
ec2:DescribeInstances
ec2:DescribeSecurityGroupRules
ec2:DescribeVpcs
ec2:CreateSecurityGroup
ec2:DeleteSecurityGroup
ec2:ModifyNetworkInterfaceAttribute
ec2:ModifySecurityGroupRules
ec2:ModifyInstanceAttribute
ec2:DescribeSubnets
ec2:DescribeSecurityGroups
Defender para contenedores DefenderForCloud-Containers-K8s Permisos para enumerar clústeres EKS y recopilar datos de clústeres EKS
eks:UpdateClusterConfig
eks:DescribeCluster
Defender para contenedores DefenderForCloud-DataCollection Permisos para el grupo de registros de CloudWatch creado por Defender for Cloud
logs:PutSubscriptionFilter
logs:DescribeSubscriptionFilters
logs:DescribeLogGroups
logs:PutRetentionPolicy

Permisos para usar la cola de SQS creada por Defender for Cloud
sqs:ReceiveMessage
sqs:DeleteMessage
Defender para contenedores DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis Permisos para acceder al flujo de entrega de Kinesis Data Firehose creado por Defender for Cloud
firehose:*
Defender para contenedores DefenderForCloud-Containers-K8s-kinesis-to-s3 Permisos para usar el bucket de SQS creado por Defender for Cloud
s3:GetObject
s3:GetBucketLocation
s3:AbortMultipartUpload
s3:GetBucketLocation
s3:GetObject
s3:ListBucket
s3:ListBucketMultipartUploads
s3:PutObject
Defender para contenedores

Administración de la posición de seguridad en la nube de Defender
MDCContainersAgentlessDiscoveryK8sRole Permisos para recopilar datos de clústeres EKS. Actualización de clústeres EKS para admitir la restricción de IP y crear iamidentitymapping para clústeres EKS
"eks:DescribeCluster"
"eks:UpdateClusterConfig*"
Defender para contenedores

Administración de la posición de seguridad en la nube de Defender
MDCContainersImageAssessmentRole Permisos para detectar imágenes de ECR y ECR Public.
AmazonEC2ContainerRegistryReadOnly
AmazonElasticContainerRegistryPublicReadOnly
AmazonEC2ContainerRegistryPowerUser
AmazonElasticContainerRegistryPublicPowerUser
Defender para servidores DefenderForCloud-ArcAutoProvisioning Permisos para instalar Azure Arc en todas las instancias EC2 mediante SSM
ssm:CancelCommand
ssm:DescribeInstanceInformation
ssm:GetCommandInvocation
ssm:UpdateServiceSetting
ssm:GetServiceSetting
ssm:GetAutomationExecution
ec2:DescribeIamInstanceProfileAssociations
ec2:DisassociateIamInstanceProfile
ec2:DescribeInstances
ssm:StartAutomationExecution
iam:GetInstanceProfile
iam:ListInstanceProfilesForRole
ssm:GetAutomationExecution
ec2:DescribeIamInstanceProfileAssociations
ec2:DisassociateIamInstanceProfile
ec2:DescribeInstances
ssm:StartAutomationExecution
iam:GetInstanceProfile
iam:ListInstanceProfilesForRole
Administración de la posición de seguridad en la nube de Defender DefenderForCloud-DataSecurityPostureDB Permiso para detectar instancias de RDS en la cuenta de AWS, crear una instantánea de instancia de RDS
- Enumeración de todas las bases de datos o clústeres de RDS
- Enumeración de todas las instantáneas de bases de datos o clústeres
- Copia de todas las instantáneas de bases de datos o clústeres
- Eliminación o actualización de la instantánea de base de datos o clúster con el prefijo defenderfordatabases
- Enumeración de todas las claves de KMS
- Uso de todas las claves de KMS solo para RDS en la cuenta de origen
- Enumeración de las claves de KMS con el prefijo de etiqueta DefenderForDatabases
- Creación de alias para claves de KMS

Permisos necesarios para detectar instancias de RDS
rds:DescribeDBInstances
rds:DescribeDBClusters
rds:DescribeDBClusterSnapshots
rds:DescribeDBSnapshots
rds:CopyDBSnapshot
rds:CopyDBClusterSnapshot
rds:DeleteDBSnapshot
rds:DeleteDBClusterSnapshot
rds:ModifyDBSnapshotAttribute
rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters
rds:DescribeDBParameters
rds:DescribeOptionGroups
kms:CreateGrant
kms:ListAliases
kms:CreateKey
kms:TagResource
kms:ListGrants
kms:DescribeKey
kms:PutKeyPolicy
kms:Encrypt
kms:CreateGrant
kms:EnableKey
kms:CancelKeyDeletion
kms:DisableKey
kms:ScheduleKeyDeletion
kms:UpdateAlias
kms:UpdateKeyDescription

Permisos en GCP

Al incorporar un conector de Google Cloud Platforms (GCP), Defender for Cloud crea roles y asigna permisos en el proyecto de GCP. En la tabla siguiente, se muestran los roles y el permiso asignados por cada plan en el proyecto de GCP.

Plan de Defender for Cloud Rol creado Permiso asignado en la cuenta de AWS
Administración de la posición de seguridad en la nube de Defender MDCCspmCustomRole Estos permisos facilitan que el rol CSPM detecte y examine recursos dentro de la organización:

Permite que el rol vea organizaciones, proyectos y carpetas:
resourcemanager.folders.get
resourcemanager.folders.list resourcemanager.folders.getIamPolicy
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy

Permite el proceso de autoaprovisionamiento de nuevos proyectos y la eliminación de proyectos eliminados:
resourcemanager.projects.get
resourcemanager.projects.list

Permite que el rol habilite los servicios de Google Cloud usados para la detección de recursos:
serviceusage.services.enable

Se usa para crear y enumerar roles de IAM:
iam.roles.create
iam.roles.list

Permite que el rol actúe como una cuenta de servicio y obtenga permiso para los recursos:
iam.serviceAccounts.actAs

Permite que el rol vea los detalles del proyecto y establezca metadatos de instancia comunes:
compute.projects.get
compute.projects.setCommonInstanceMetadata
Defender para servidores microsoft-defender-for-servers
azure-arc-for-servers-onboard
Acceso de solo lectura para obtener y enumerar los recursos de Compute Engine:
compute.viewer
iam.serviceAccountTokenCreator
osconfig.osPolicyAssignmentAdmin
osconfig.osPolicyAssignmentReportViewer
Defender para bases de datos defender-for-databases-arc-ap Permisos para el aprovisionamiento automático de ARC de Defender para bases de datos
compute.viewer
iam.workloadIdentityUser
iam.serviceAccountTokenCreator
osconfig.osPolicyAssignmentAdmin
osconfig.osPolicyAssignmentReportViewer
Administración de la posición de seguridad en la nube de Defender

Defender para Storage
data-security-posture-storage Permiso para que el detector de Defender for Cloud identifique depósitos de almacenamiento de GCP para acceder a los datos de los buckets de almacenamiento de GCP
storage.objects.list
storage.objects.get
storage.buckets.get
Administración de la posición de seguridad en la nube de Defender

Defender para Storage
data-security-posture-storage Permiso para que el detector de Defender for Cloud identifique depósitos de almacenamiento de GCP para acceder a los datos de los buckets de almacenamiento de GCP
storage.objects.list
storage.objects.get
storage.buckets.get
Administración de la posición de seguridad en la nube de Defender microsoft-defender-ciem Permisos para obtener detalles sobre el recurso de la organización.
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy
Administración de la posición de seguridad en la nube de Defender

Defender para servidores
MDCAgentlessScanningRole Permisos para la detección de discos sin agente:
compute.disks.createSnapshot
compute.instances.get
Administración de la posición de seguridad en la nube de Defender

Defender para servidores
cloudkms.cryptoKeyEncrypterDecrypter Se conceden permisos a un rol de KMS de GCP existente para admitir la detección de discos cifrados con CMEK
Administración de la posición de seguridad en la nube de Defender

Defender para contenedores
mdc-containers-artifact-assess Permiso para detectar imágenes de GAR y GCR.
artifactregistry.reader
storage.objectViewer
Defender para contenedores mdc-containers-k8s-operator Permisos para recopilar datos de clústeres GKE. Actualice los clústeres de GKE para admitir la restricción de IP.

container.viewer

MDCGkeClusterWriteRole:
container.clusters.update*

MDCGkeContainerResponseActionsRole:
container.pods.update
container.pods.delete
container.networkPolicies.create
container.networkPolicies.update
container.networkPolicies.delete
Defender para contenedores microsoft-defender-containers Permisos para crear y administrar el receptor de registro para enrutar los registros a un tema de Cloud Pub/Sub.
logging.sinks.list
logging.sinks.get
logging.sinks.create
logging.sinks.update
logging.sinks.delete
resourcemanager.projects.getIamPolicy
resourcemanager.organizations.getIamPolicy
iam.serviceAccounts.get
iam.workloadIdentityPoolProviders.get
Defender para contenedores ms-defender-containers-stream Permisos para permitir que el registro envíe registros a Pub/Sub:
pubsub.subscriptions.consume
pubsub.subscriptions.get

Pasos siguientes

En este artículo se explica cómo usa Microsoft Defender for Cloud el control de acceso basado en roles de Azure para asignar permisos a los usuarios e identificar las acciones permitidas de cada rol. Ahora que ya está familiarizado con las asignaciones de roles necesarios para supervisar el estado de seguridad de su suscripción, editar directivas de seguridad y aplicar recomendaciones, aprenderá los siguientes conceptos: