Назначение доступа владельцам рабочих нагрузок

При подключении сред Amazon Web Service (AWS) или Google Cloud Platform (GCP) Defender для облака автоматически создает соединитель безопасности в качестве ресурса Azure в подключенной подписке и группе ресурсов. Defender для облака также создает поставщик удостоверений в качестве роли IAM, необходимой во время процесса подключения.

Чтобы назначить пользователям разрешения на определенный соединитель под родительским соединителем, необходимо определить, какие учетные записи AWS или проекты GCP необходимо получить к ним доступ. Необходимо определить соединители безопасности, соответствующие учетной записи AWS или проекту GCP, которым требуется назначить пользователям доступ.

Необходимые компоненты

• Учетная запись Azure. Если у вас еще нет учетной записи Azure, можно создать ее прямо сейчас.

• По крайней мере один соединитель безопасности для Azure, AWS или GCP.

Настройка разрешений в соединителе безопасности

Разрешения для соединителей безопасности управляются с помощью контроль доступа на основе ролей Azure (RBAC). Роли можно назначать пользователям, группам и приложениям на уровне подписки, группы ресурсов или ресурсов.

1. Войдите на портал Azure.

2. Перейдите к разделу Microsoft Defender для облака>Параметры среды.

3. Найдите соответствующий соединитель AWS или GCP.

4. Назначьте разрешения владельцам рабочих нагрузок со всеми ресурсами или параметром Azure Resource Graph в портал Azure.

   Все ресурсы

   1. Найдите и выберите Все ресурсы.

      

   2. Выберите "Управление представлением>Показать скрытые типы".

      

   3. Выберите типы, равные всем фильтрам.

   4. Введите securityconnector поле значения и добавьте в нее microsoft.security/securityconnectorsфлажок.

      

   5. Выберите Применить.

   6. Выберите соответствующий соединитель ресурсов.

   Azure Resource Graph

   1. Найдите и выберите обозреватель Resource Graph.

      

   2. Скопируйте и вставьте следующий запрос, чтобы найти соединитель безопасности:

      AWS

      resources 
      | where type == "microsoft.security/securityconnectors" 
      | extend source = tostring(properties.environmentName)  
      | where source == "AWS" 
      | project name, subscriptionId, resourceGroup, accountId = properties.hierarchyIdentifier, cloud = properties.environmentName  
      

      GCP

      resources 
      | where type == "microsoft.security/securityconnectors" 
      | extend source = tostring(properties.environmentName)  
      | where source == "GCP" 
      | project name, subscriptionId, resourceGroup, projectId = properties.hierarchyIdentifier, cloud = properties.environmentName  
      

   3. Выберите Запустить запрос.

   4. Переключите форматированные результаты на "Вкл.".

      

   5. Выберите соответствующую подписку и группу ресурсов, чтобы найти соответствующий соединитель безопасности.

5. Выберите Управление доступом (IAM).

   

6. Выберите + Добавить>Добавить назначение ролей.

7. Выберите нужную роль.

8. Выберите Далее.

9. Выберите + Выбрать участников.

   

10. Найдите и выберите соответствующего пользователя или группы.

11. Выберите кнопку Выбрать.

12. Выберите Далее.

13. Выберите Проверить + назначить.

14. Проверьте сведения.

15. Выберите Проверить + назначить.

После настройки разрешения соединителя безопасности владельцы рабочих нагрузок смогут просматривать рекомендации в Defender для облака для ресурсов AWS и GCP, связанных с соединителем безопасности.

Следующий шаг

Разрешения RBAC