Partilhar via


Visão geral do Controle de Acesso Baseado em Função do Azure para Análise de Firmware do Defender for IoT

Como usuário do Defender for IoT Firmware Analysis, você pode querer gerenciar o acesso aos resultados da análise de imagem do firmware. O RBAC (Controle de Acesso Baseado em Função) do Azure é um sistema de autorização que permite controlar quem tem acesso aos resultados da análise, quais permissões eles têm e em que nível da hierarquia de recursos. Este artigo explica como armazenar resultados de análise de firmware no Azure, gerenciar permissões de acesso e usar o RBAC para compartilhar esses resultados em sua organização e com terceiros. Para saber mais sobre o Azure RBAC, visite O que é o controle de acesso baseado em função do Azure (Azure RBAC)?.

Funções

As funções são uma coleção de permissões empacotadas juntas. Existem dois tipos de funções:

  • As funções de função de trabalho dão aos usuários permissão para executar funções ou tarefas de trabalho específicas, como o Colaborador do Cofre de Chaves ou o Usuário de Monitoramento de Cluster de Serviço do Kubernetes do Azure.
  • As funções de administrador privilegiado dão privilégios de acesso elevados, como Proprietário, Colaborador ou Administrador de Acesso de Usuário. Para saber mais sobre funções, visite Funções internas do Azure.

No Defender for IoT Firmware Analysis, as funções mais comuns são Proprietário, Colaborador, Administrador de Segurança e Administrador de Análise de Firmware. Saiba mais sobre quais funções você precisa para diferentes permissões, como carregar imagens de firmware ou compartilhar resultados de análise de firmware.

Noções básicas sobre a representação de imagens de firmware na hierarquia de recursos do Azure

O Azure organiza recursos em hierarquias de recursos, que estão em uma estrutura de cima para baixo, e você pode atribuir funções em cada nível da hierarquia. O nível no qual você atribui uma função é o "escopo", e escopos inferiores podem herdar funções atribuídas em escopos mais altos. Saiba mais sobre os níveis de hierarquia e como organizar seus recursos na hierarquia.

Quando você integra sua assinatura ao Defender for IoT Firmware Analysis e seleciona seu grupo de recursos, a ação cria automaticamente o recurso padrão dentro do seu grupo de recursos.

Navegue até o grupo de recursos e selecione Mostrar tipos ocultos para mostrar o recurso padrão . O recurso padrão tem o tipo Microsoft.IoTFirmwareDefense.workspaces .

Captura de tela do botão de alternância 'Mostrar tipos ocultos' que revela um recurso chamado 'padrão'.

Embora o recurso de espaço de trabalho padrão não seja algo com o qual você interagirá regularmente, cada imagem de firmware carregada será representada como um recurso e armazenada aqui.

Você pode usar o RBAC em cada nível da hierarquia, inclusive no nível de recurso padrão oculto do Espaço de Trabalho de Análise de Firmware .

Aqui está a hierarquia de recursos do Defender for IoT Firmware Analysis:

Diagrama que mostra a hierarquia de recursos das imagens de firmware do Defender for IoT Firmware Analysis.

Aplicar o RBAC do Azure

Nota

Para começar a usar o Defender for IoT Firmware Analysis, o usuário que integra a assinatura no Defender for IoT Firmware Analysis deve ser um Proprietário, Colaborador, Administrador de Análise de Firmware ou Administrador de Segurança no nível da assinatura. Siga o tutorial em Analisar uma imagem de firmware com o Microsoft Defender para IoT para integrar sua assinatura. Depois de integrar sua assinatura, um usuário só precisa ser um administrador de análise de firmware para usar o Defender for IoT Firmware Analysis.

Como usuário do Defender for IoT Firmware Analysis, talvez seja necessário executar determinadas ações para sua organização, como carregar imagens de firmware ou compartilhar resultados de análise.

Ações como essas envolvem o RBAC (Controle de Acesso Baseado em Função). Para usar efetivamente o RBAC for Defender for IoT Firmware Analysis, você deve saber qual é sua atribuição de função e em que escopo. Conhecer essas informações irá informá-lo sobre quais permissões você tem e, portanto, se você pode concluir certas ações. Para verificar sua atribuição de função, consulte Verificar o acesso de um usuário a um único recurso do Azure - Azure RBAC. Em seguida, consulte a tabela a seguir para verificar quais funções e escopos são necessários para determinadas ações.

Funções comuns no Defender for IoT Firmware Analysis

Esta tabela categoriza cada função e fornece uma breve descrição de suas permissões:

Função Categoria Descrição
Proprietário Função de administrador privilegiado Concede acesso total para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure.
Contribuinte Função de administrador privilegiado Concede acesso total para gerenciar todos os recursos, mas não permite que você atribua funções no RBAC do Azure, gerencie atribuições no Azure Blueprints ou compartilhe galerias de imagens.
Administrador de Segurança Função de trabalho Permite que o usuário carregue e analise imagens de firmware no Defender for IoT, adicione/atribua iniciativas de segurança e edite a política de segurança. Mais informações.
Administrador de Análise de Firmware Função de trabalho Permite ao usuário carregar e analisar imagens de firmware no Defender for IoT. O usuário não tem acesso além da análise de firmware (não pode acessar outros recursos na assinatura, criar ou excluir recursos ou convidar outros usuários).

Funções, escopos e recursos de análise de firmware do Defender for IoT

A tabela a seguir resume quais funções você precisa para executar determinadas ações. Estas funções e permissões aplicam-se aos níveis de Subscrição e Grupo de Recursos, salvo indicação em contrário.

Ação Função necessária
Analise o firmware Proprietário, Colaborador, Administrador de Segurança ou Administrador de Análise de Firmware
Convide usuários de terceiros para ver os resultados da análise de firmware Proprietário
Convidar utilizadores para a Subscrição Proprietário no nível de Assinatura (Proprietário no nível de Grupo de Recursos não pode convidar usuários para a Assinatura)

Upload de imagens de firmware

Para carregar imagens de firmware:

Convide terceiros para interagir com os resultados da análise de firmware

Talvez você queira convidar alguém para interagir exclusivamente com os resultados da análise de firmware, sem permitir o acesso a outras partes da sua organização (como outros grupos de recursos dentro da sua assinatura). Para permitir esse tipo de acesso, convide o usuário como administrador de análise de firmware no nível do Grupo de Recursos.

Para convidar terceiros, siga o tutorial Atribuir funções do Azure a usuários convidados externos usando o tutorial do portal do Azure.

  • Na etapa 3, navegue até o grupo de recursos.
  • Na etapa 7, selecione a função de administrador de análise de firmware.

Nota

Se recebeu um e-mail para aderir a uma organização, certifique-se de que verifica o e-mail de convite na sua pasta Lixo Eletrónico se não o vir na sua caixa de entrada.