你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

确定访问控制要求

项目
10/15/2024

本文是一系列教程的一部分，可以在你使用 Microsoft Defender for Cloud 跨多云资源设计云安全态势管理 (CSPM) 和云工作负载保护 (CWP) 解决方案时为你提供指导。

目标

了解多云部署所需的权限和访问控制。

入门

在多云解决方案设计过程中，应查看提供给用户的多云资源访问要求。在进行计划时，请回答以下问题，记录笔记，并清楚地了解答案的原委。

谁应该有权访问多云资源的建议和警报？
你的多云资源和环境是否由不同的团队拥有？如果是，每个团队是否需要相同的访问权限级别？
是否需要限制对特定用户和组的特定资源的访问权限？如果是，如何限制 Azure 资源、AWS 资源和 GCP 资源的访问权限？
组织是否需要将标识和访问管理（IAM 权限）继承到资源组级别？
是否需要确定负责以下操作的人员的任何 IAM 要求：
- 实现 JIT 攻击面减少 VM 和 AWS EC2？
- 安全运营？

有了清楚的答案后，就可以确定 Defender for Cloud 访问要求。其他注意事项：

Defender for Cloud 多云功能支持继承 IAM 权限。
无论用户对 AWS/GCP 连接器所在的资源组级别拥有何种权限，都会自动为多云建议和安全警报继承相关权限。

后续步骤

本文介绍了在设计多云安全解决方案时如何确定访问控制要求/需求。继续执行下一步以确定多云依赖项。