ユーザーのロールとアクセス許可
Microsoft Defender for Cloud では Azure のロールベースのアクセス制御 (Azure RBAC) を使用して、組み込みロールを提供します。 これらのロールを Azure のユーザー、グループ、サービスに割り当てることで、ロールで定義されているアクセス権に従ってユーザーにリソースへのアクセス権を付与できます。
Defender for Cloud はリソースの構成を評価して、セキュリティの問題と脆弱性を特定します。 Defender for Cloud では、サブスクリプションまたはリソースが属するリソース グループに所有者、共同作業者、または閲覧者のいずれかのロールが割り当てられているときに、リソースに関連した情報のみを閲覧できます。
組み込みロールに加えて、Defender for Cloud に固有のロールが 2 つあります。
- セキュリティ閲覧者: このロールに属しているユーザーには Defender for Cloud に対する読み取り専用のアクセス権があります。 レコメンデーション、警告、セキュリティ ポリシー、セキュリティの状態を閲覧できますが、変更することはできません。
- セキュリティ管理者: このロールに属しているユーザーは、セキュリティ閲覧者と同じアクセス許可を持ち、さらにセキュリティ ポリシーを更新したり、アラートと推奨事項を無視したりすることもできます。
タスクを実行するために必要となる最小限の権限ロールをユーザーに割り当てることをお勧めします。
たとえば、何も操作を実行せずにリソースのセキュリティ正常性情報のみを閲覧する必要があるユーザーには、閲覧者ロールを割り当てることができます。 閲覧者ロールを持つユーザーは、レコメンデーションまたは編集ポリシーを適用できます。
ルールと許可されているアクション
次の表は、Defender for Cloud でのロールと許可されているアクションを示しています。
| 操作 | Security Reader / Reader |
Security Admin | 共同作成者 / 所有者 | 共同作成者 | 所有者 |
|---|---|---|---|---|---|
| (リソース グループ レベル) | (サブスクリプション レベル) | (サブスクリプション レベル) | |||
| イニシアティブを追加する、または割り当てる (規制コンプライアンス標準を含む) | - | ✔ | - | - | ✔ |
| セキュリティ ポリシーを編集する | - | ✔ | - | - | ✔ |
| Microsoft Defender プランを有効または無効にする | - | ✔ | - | ✔ | ✔ |
| アラートを無視する | - | ✔ | - | ✔ | ✔ |
| リソースに対するセキュリティ レコメンデーションの適用 (Fix を使用) |
- | - | ✔ | ✔ | ✔ |
| アラートと推奨事項を表示する | ✔ | ✔ | ✔ | ✔ | ✔ |
| セキュリティの推奨事項を除外する | - | ✔ | - | - | ✔ |
| メール通知を構成する | - | ✔ | ✔ | ✔ | ✔ |
Note
ここで述べられている 3 つのロールは Defender のプランを有効または無効にするのに十分ですが、プランのすべての機能を有効にするには所有者ロールが必要です。
監視コンポーネントのデプロイに必要な特定のロールは、デプロイする拡張機能によって異なります。 コンポーネント監視の詳細についてはこちらをご覧ください。
エージェントと拡張機能を自動的にプロビジョニングするために使用されるロール
セキュリティ管理者ロールが Defender for Cloud プランで使用されるエージェントと拡張機能を自動的にプロビジョニングできるよう、Defender for Cloud は Azure Policy と同様の方法でポリシーの修復を使用します。 修復を使用するには、Defender for Cloud でサブスクリプション レベルでロールを割り当てるサービス プリンシパル (マネージド ID とも呼ばれる) を作成する必要があります。 たとえば、Defender for Containers プランのサービス プリンシパルは次のとおりです。
| サービス プリンシパル | ロール |
|---|---|
| Azure Kubernetes Service (AKS) セキュリティ プロファイルをプロビジョニングする Defender for Containers | * Kubernetes 拡張機能共同作成者 *共同作成者 * Azure Kubernetes Service 共同作成者 * Log Analytics 共同作成者 |
| Arc 対応 Kubernetes をプロビジョニングする Defender for Containers | * Azure Kubernetes Service 共同作成者 * Kubernetes 拡張機能共同作成者 *共同作成者 * Log Analytics 共同作成者 |
| Kubernetes 用の Azure Policy アドオンをプロビジョニングする Defender for Containers | * Kubernetes 拡張機能共同作成者 *共同作成者 * Azure Kubernetes Service 共同作成者 |
| Arc 対応 Kubernetes 用の Policy 拡張機能をプロビジョニングする Defender for Containers | * Azure Kubernetes Service 共同作成者 * Kubernetes 拡張機能共同作成者 *共同作成者 |
AWS でのアクセス許可
アマゾン ウェブ サービス (AWS) コネクターをオンボードすると、Defender for Cloud によってロールが作成され、AWS アカウントにアクセス許可が割り当てられます。 次の表は、AWS アカウントの各プランによって割り当てられるロールとアクセス許可を示しています。
| Defender for Cloud プラン | 作成されるロール | AWS アカウントに割り当てられるアクセス許可 |
|---|---|---|
| Defender クラウド セキュリティ態勢管理 (CSPM) | CspmMonitorAws | AWS リソースのアクセス許可を検出するには、次を除くすべてのリソースの読み取りを行ってください。 consolidatedbilling:* freetier:* invoicing:* payments:* billing:* tax:* cur:* |
| Defender CSPM Defender for Servers |
DefenderForCloud-AgentlessScanner | ディスク スナップショットを作成およびクリーンアップするには (タグによってスコープ指定) "CreatedBy": "Microsoft Defender for Cloud" アクセス許可: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus EncryptionKeyCreation kms:CreateKey へのアクセス許可 kms:ListKeys EncryptionKeyManagement kms:TagResource へのアクセス許可 kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Defender CSPM Defender for Storage |
SensitiveDataDiscovery | AWS アカウントで S3 バケットを検出するためのアクセス許可、S3 バケット内のデータにアクセスするための Defender for Cloud スキャナーのアクセス許可 S3 読み取り専用 KMS 暗号化解除 kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Ciem Discovery のアクセス許可 sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender for Servers | DefenderForCloud-DefenderForServers | JIT ネットワーク アクセスを構成するためのアクセス許可: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender for Containers | DefenderForCloud-Containers-K8s | EKS クラスターを一覧表示し、EKS クラスターからデータを収集するためのアクセス許可 eks:UpdateClusterConfig eks:DescribeCluster |
| Defender for Containers | DefenderForCloud-DataCollection | Defender for Cloud によって作成された CloudWatch ログ グループへのアクセス許可 logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups logs:PutRetentionPolicy Defender for Cloud によって作成された SQS キューを使用するためのアクセス許可 sqs:ReceiveMessage sqs:DeleteMessage |
| Defender for Containers | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Defender for Cloud によって作成された Kinesis Data Firehose 配信ストリームにアクセスするためのアクセス許可 firehose:* |
| Defender for Containers | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Defender for Cloud によって作成された S3 バケットにアクセスするためのアクセス許可 s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
| Defender for Containers Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | EKS クラスターからデータを収集するためのアクセス許可。 EKS クラスターを更新して IP 制限をサポートし、EKS クラスターの iamidentitymapping を作成する "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
| Defender for Containers Defender CSPM |
MDCContainersImageAssessmentRole | ECR および ECR Public からイメージをスキャンするためのアクセス許可。 AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender for Servers | DefenderForCloud-ArcAutoProvisioning | SSM を使用してすべての EC2 インスタンスに Azure Arc をインストールするアクセス許可 ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | AWS アカウント内の RDS インスタンスの検出、RDS インスタンス スナップショットの作成のためのアクセス許可 - RDS DB/クラスターをすべて一覧表示する - すべての DB/クラスター スナップショットを一覧表示する - すべての DB/クラスター スナップショットをコピーする - プレフィックス defenderfordatabases を使用して DB/クラスター スナップショットを削除/更新する - すべての KMS キーを一覧表示する - ソース アカウントの RDS に対してのみすべての KMS キーを使用する - タグ プレフィックス DefenderForDatabases を持つ KMS キーを一覧表示する - KMS キーのエイリアスを作成する RDS インスタンスの検出に必要なアクセス許可 rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
GCP でのアクセス許可
Google Cloud Platforms (GCP) コネクターをオンボードすると、Defender for Cloud によってロールが作成され、GCP プロジェクトにアクセス許可が割り当てられます。 次の表は、GCP プロジェクトの各プランによって割り当てられるロールとアクセス許可を示しています。
| Defender for Cloud プラン | 作成されるロール | AWS アカウントに割り当てられるアクセス許可 |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | これらのアクセス許可は、CSPM ロールに対して、組織内のリソースの検出とスキャンを許可します。 組織、プロジェクト、フォルダーの閲覧をロールに許可します。 resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy 新しいプロジェクトの自動プロビジョニング プロセスと削除されたプロジェクトの消去を許可します。 resourcemanager.projects.get resourcemanager.projects.list ロールに対して、リソースの検出に使用される Google Cloud サービスの有効化を許可します。 serviceusage.services.enable IAM ロールの作成と一覧表示に使用されます。 iam.roles.create iam.roles.list ロールに対して、サービス アカウントとして機能し、リソースへのアクセス許可を取得することを許可します。 iam.serviceAccounts.actAs ロールに対して、プロジェクトの詳細の表示と、共通のインスタンス メタデータの設定を許可します。 compute.projects.get compute.projects.setCommonInstanceMetadata 組織内の AI プラットフォーム リソースの検出とスキャンに使われます。 aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list notebooks.instances.list |
| Defender for Servers | microsoft-defender-for-servers azure-arc-for-servers-onboard |
コンピューティング エンジンのリソースを取得および一覧表示するための読み取り専用アクセス: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender for Database | defender-for-databases-arc-ap | Defender for Database ARC 自動プロビジョニングに対するアクセス許可 compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Defender for Storage |
data-security-posture-storage | GCP ストレージ バケットを検出し、GCP ストレージ バケット内のデータにアクセスするための Defender for Cloud スキャナーのアクセス許可 storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM Defender for Storage |
data-security-posture-storage | GCP ストレージ バケットを検出し、GCP ストレージ バケット内のデータにアクセスするための Defender for Cloud スキャナーのアクセス許可 storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | 組織のリソースに関する詳細を取得するためのアクセス許可。 resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Defender for Servers |
MDCAgentlessScanningRole | エージェントレス ディスク スキャンのアクセス許可: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Defender for Servers |
cloudkms.cryptoKeyEncrypterDecrypter | CMEK で暗号化されたディスクのスキャンをサポートするために、既存の GCP KMS ロールへのアクセス許可が付与されます |
| Defender CSPM Defender for Containers |
mdc-containers-artifact-assess | GAR および GCR からイメージをスキャンするためのアクセス許可。 artifactregistry.reader storage.objectViewer |
| Defender for Containers | mdc-containers-k8s-operator | GKE クラスターからデータを収集するためのアクセス許可。 IP 制限をサポートするように GKE クラスターを更新します。 container.viewer MDCGkeClusterWriteRole: container.clusters.update* MDCGkeContainerResponseActionsRole: container.pods.update container.pods.delete container.networkPolicies.create container.networkPolicies.update container.networkPolicies.delete |
| Defender for Containers | microsoft-defender-containers | Cloud Pub/Sub トピックにログをルーティングするためのログ シンクを作成および管理するためのアクセス許可。 logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender for Containers | ms-defender-containers-stream | ログが pub sub にログを送信できるようにするアクセス許可: pubsub.subscriptions.consume pubsub.subscriptions.get |
次のステップ
この記事では、Defender for Cloud で Azure ロールベースのアクセス制御を使用してアクセス許可をユーザーに割り当て、ロールごとに許可されているアクションを特定する方法について説明します。 サブスクリプションのセキュリティ状態を監視するために必要なロールの割り当てについて理解したら、セキュリティ ポリシーを編集し、推奨事項を適用して、次の方法を学習してください。