你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
启用权限管理 (CIEM)
Microsoft Defender for Cloud 与 Microsoft Entra 权限管理(权限管理)集成在一起,可提供一种云基础结构权利管理 (CIEM) 安全模型,该模型可帮助组织管理和控制其云基础结构中的用户访问权限和权利。 CIEM 是云原生应用程序保护平台 (CNAPP) 解决方案的关键组件,可洞察谁或什么有权访问特定资源。 它确保访问权限遵循最低权限原则 (PoLP),其中用户或工作负载标识(如应用和服务)仅获得执行其任务所需的最低访问权限级别。 CIEM 还可帮助组织跨多个云环境(包括 Azure、AWS 和 GCP)监视和管理权限。
准备工作
必须在 Azure 订阅、AWS 帐户或 GCP 项目上启用 Defender CSPM。
具有以下角色和权限
- AWS 和 GCP:安全管理员,Application.ReadWrite.All
- Azure:安全管理员,Microsoft.Authorization/roleAssignments/write
仅限 AWS:将 AWS 帐户连接到 Defender for Cloud。
仅限 GCP:将 GCP 项目连接到 Defender for Cloud。
为 Azure 启用权限管理 (CIEM)
在 Azure 帐户上启用 Defender CSPM 计划时,Azure CSPM 标准会自动分配给订阅。 Azure CSPM 标准提供云基础结构权利管理 (CIEM) 建议。
禁用权限管理 (CIEM) 后,将不计算 Azure CSPM 标准内的 CIEM 建议。
登录 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
导航到“环境设置”。
选择相关订阅。
找到 Defender CSPM 计划并选择“设置”。
启用权限管理(CIEM)。
选择继续。
选择“保存”。
在几个小时内,适用的权限管理 (CIEM) 建议会显示在订阅上。
Azure 建议列表:
Azure 过度预配的标识应仅具有必要的权限
应撤销 Azure 订阅中非活动标识的权限
为 AWS 启用权限管理 (CIEM)
在 AWS 帐户上启用 Defender CSPM 计划时,AWS CSPM 标准会自动分配给订阅。 AWS CSPM 标准提供云基础结构权利管理 (CIEM) 建议。 禁用权限管理后,将不计算 AWS CSPM 标准内的 CIEM 建议。
登录 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
导航到“环境设置”。
选择相关 AWS 帐户。
找到 Defender CSPM 计划并选择“设置”。
启用权限管理(CIEM)。
选择“配置访问权限”。
选择相关的权限类型。
选择部署方法。
按照屏幕说明在 AWS 环境中运行更新后的脚本。
选中“CloudFormation 模板已在 AWS 环境(堆栈)上更新”复选框。
选择“查看并生成”。
选择“更新”。
在几个小时内,适用的权限管理 (CIEM) 建议会显示在订阅上。
AWS 建议列表:
AWS 过度预配的标识应仅具有必要的权限
应撤销 AWS 帐户中非活动标识的权限
为 GCP 启用权限管理 (CIEM)
在 GCP 项目上启用 Defender CSPM 计划时,GCP CSPM 标准会自动分配给订阅。 GCP CSPM 标准提供云基础结构权利管理 (CIEM) 建议。
禁用权限管理 (CIEM) 后,将不计算 GCP CSPM 标准内的 CIEM 建议。
登录 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
导航到“环境设置”。
选择相关的 GCP 项目。
找到 Defender CSPM 计划并选择“设置”。
将权限管理 (CIEM) 切换为打开。
选择“保存”。
选择“下一步: 配置访问权限”。
选择相关的权限类型。
选择部署方法。
按照屏幕说明在 GCP 环境中运行更新后的 Cloud Shell 或 Terraform 脚本。
勾选“我运行了部署模板以使更改生效”复选框。
选择“查看并生成”。
选择“更新”。
在几个小时内,适用的权限管理 (CIEM) 建议会显示在订阅上。
GCP 建议列表:
GCP 超量预配的标识应仅具有必要的权限
应撤销 GCP 项目中非活动标识的权限