共用方式為


使用者角色和權限

適用於雲端的 Microsoft Defender 使用 Azure 角色型存取控制 (Azure RBAC) 來提供內建角色。 您可以將這些角色指派給 Azure 中的使用者、群組和服務,以根據角色中定義的存取權,為使用者提供資源存取權。

適用於雲端的 Defender 會評估您資源的設定,並識別安全性問題與弱點。 在適用於雲端的 Defender,當您將擁有者、參與者或讀取者角色指派給資源所屬訂用帳戶或資源群組時,就能檢視與資源相關的資訊。

除了這些內建角色,還有兩個特定的「適用於雲端的 Defender」角色:

  • 安全性讀者:屬於此角色的使用者擁有適用於雲端的 Defender 的唯讀權限。 使用者可以檢視建議、警示、安全性原則和安全性狀態,但無法進行變更。
  • 安全性管理員:屬於此角色的使用者具有與「安全性讀者」相同的存取權,而且還能更新安全性原則,以及解除警示和建議。

我們建議指派使用者完成任務所需的最嚴謹角色。

例如,您可以將讀取者角色指派給只需要檢視資源安全性健康情況資訊、不必採取任何行動的使用者。 具有讀取者角色的使用者可以套用建議或編輯原則。

角色和允許的動作

下表會顯示適用於雲端的 Microsoft Defender 的角色和允許的動作。

動作 安全性讀取者 /
讀取者
安全性系統管理員 參與者 / 擁有者 參與者 負責人
(資源群組層級) (訂閱層級) (訂閱層級)
新增/指派方案 (包括法規遵循標準) - - -
編輯安全性原則 - - -
啟用/停用 Microsoft Defender 方案 - -
解除警示 - -
為資源
套用安全性建議 (使用修正)
- -
檢視警示和建議
豁免安全性建議 - - -
設定電子郵件通知 -

注意

若要啟用和停用 Defender 方案,上述三個角色應已足夠,但若要啟用方案的所有功能,則需要擁有者角色。

部署監視元件所需的特定角色取決於您要部署的延伸模組。 深入了解監視元件

用來自動佈建代理程式和延伸模組的角色

若要允許安全性管理員角色自動佈建適用於雲端的 Defender 方案中使用的代理程式和延伸模組,適用於雲端的 Defender 會以與 Azure 原則類似的方式使用原則補救。 若要使用補救,適用於雲端的 Defender 必須建立服務主體,服務主體也稱為在訂用帳戶層級指派角色的受控識別。 例如,適用於容器的 Defender 方案之服務主體如下:

Service Principal 角色
佈建 Azure Kubernetes 服務 (AKS) 安全性設定檔的適用於容器的 Defender * Kubernetes 擴充功能參與者
*貢獻
* Azure Kubernetes Service 參與者
* Log Analytics 參與者
佈建已啟用 Arc 的 Kube 所需的適用於容器的 Defender * Azure Kubernetes Service 參與者
* Kubernetes 擴充功能參與者
*貢獻
* Log Analytics 參與者
佈建 Kubernetes 的 Azure 原則時所需的適用於容器的 Defender * Kubernetes 擴充功能參與者
*貢獻
* Azure Kubernetes Service 參與者
為已啟用 Arc 的 Kubernetes 佈建原則延伸模組之適用於容器的 Defender * Azure Kubernetes Service 參與者
* Kubernetes 擴充功能參與者
*貢獻

AWS 的權限

將 Amazon Web Services (AWS) 連接器上線時,適用於雲端的 Defender 會建立角色並指派 AWS 帳戶權限。 下表顯示 AWS 帳戶上每個方案所指派的角色和權限。

適用於雲端的 Defender 方案 已建立角色 在 AWS 帳戶上指派的權限
Defender 雲端安全性態勢管理 (CSPM) CspmMonitorAws 若要探索 AWS 資源權限,請閱讀下列所有資源:
consolidatedbilling:*
freetier:*
發票:*
付款:*
計費:*
稅:*
cur:*
Defender CSPM

適用於伺服器的 Defender
DefenderForCloud-AgentlessScanner 若要建立和清除磁碟快照集(依卷標範圍) “CreatedBy”: “適用於雲端的 Microsoft Defender” 許可權:
ec2:DeleteSnapshot ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshot
ec2:CreateSnapshot
ec2:DescribeSnapshots
ec2:DescribeInstanceStatus
EncryptionKeyCreation kms:CreateKey 的權限
kms:ListKeys
EncryptionKeyManagement kms:TagResource 的權限
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:TagResource
kms:ListResourceTags
kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFrom
Defender CSPM

適用於儲存體的 Defender
SensitiveDataDiscovery 探索 AWS 帳戶中 S3 貯體的許可權、適用於雲端的 Defender 掃描儀存取 S3 貯體中數據的許可權
S3 只讀

KMS 解密
kms:Decrypt
CIEM DefenderForCloud-Ciem
DefenderForCloud-OidcCiem
Ciem Discovery 的權限
sts:AssumeRole
sts:AssumeRoleWithSAML
sts:GetAccessKeyInfo
sts:GetCallerIdentity
sts:GetFederationToken
sts:GetServiceBearerToken
sts:GetSessionToken
sts:TagSession
適用於伺服器的 Defender DefenderForCloud-DefenderForServers 設定 JIT 網路存取的權限:
ec2:RevokeSecurityGroupIngress
ec2:AuthorizeSecurityGroupIngress
ec2:DescribeInstances
ec2:DescribeSecurityGroupRules
ec2:DescribeVpcs
ec2:CreateSecurityGroup
ec2:DeleteSecurityGroup
ec2:ModifyNetworkInterfaceAttribute
ec2:ModifySecurityGroupRules
ec2:ModifyInstanceAttribute
ec2:DescribeSubnets
ec2:DescribeSecurityGroups
適用於容器的 Defender DefenderForCloud-Containers-K8s 列出 EKS 叢集和從 EKS 叢集收集數據的許可權
eks:UpdateClusterConfig
eks:DescribeCluster
適用於容器的 Defender DefenderForCloud-DataCollection 適用於雲端的 Defender 所建立之 CloudWatch 記錄群組的權限
logs:PutSubscriptionFilter
logs:DescribeSubscriptionFilters
logs:DescribeLogGroups
logs:PutRetentionPolicy

使用適用於雲端的 Defender 所建立之 SQS 佇列的權限
sqs:ReceiveMessage
sqs:DeleteMessage
適用於容器的 Defender DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis 存取適用於雲端的 Defender 所建立的 Kinesis Data Firehose 傳遞資料流的權限
firehose:*
適用於容器的 Defender DefenderForCloud-Containers-K8s-kinesis-to-s3 使用適用於雲端的 Defender 所建立之存取 S3 貯體的權限
s3:GetObject
s3:GetBucketLocation
s3:AbortMultipartUpload
s3:GetBucketLocation
s3:GetObject
s3:ListBucket
s3:ListBucketMultipartUploads
s3:PutObject
適用於容器的 Defender

Defender CSPM
MDCContainersAgentlessDiscoveryK8sRole 從 EKS 叢集收集資料的權限。 更新 EKS 叢集以支援 IP 限制,並建立 EKS 叢集的 intitymapping
“eks:DescribeCluster”
“eks:UpdateClusterConfig*”
適用於容器的 Defender

Defender CSPM
MDCContainersImageAssessmentRole 從 ECR 和 ECR 公用掃描影像的權限。
AmazonEC2ContainerRegistryReadOnly
AmazonElasticContainerRegistryPublicReadOnly
AmazonEC2ContainerRegistryPowerUser
AmazonElasticContainerRegistryPublicPowerUser
適用於伺服器的 Defender DefenderForCloud-ArcAutoProvisioning 使用 SSM 在所有 EC2 執行個體上安裝 Azure Arc 的權限
ssm:CancelCommand
ssm:DescribeInstanceInformation
ssm:GetCommandInvocation
ssm:UpdateServiceSetting
ssm:GetServiceSetting
ssm:GetAutomationExecution
ec2:DescribeIamInstanceProfileAssociations
ec2:DisassociateIamInstanceProfile
ec2:DescribeInstances
ssm:StartAutomationExecution
iam:GetInstanceProfile
iam:ListInstanceProfilesForRole
ssm:GetAutomationExecution
ec2:DescribeIamInstanceProfileAssociations
ec2:DisassociateIamInstanceProfile
ec2:DescribeInstances
ssm:StartAutomationExecution
iam:GetInstanceProfile
iam:ListInstanceProfilesForRole
Defender CSPM DefenderForCloud-DataSecurityPostureDB 在 AWS 帳戶中探索 RDS 執行個體的權限、建立 RDS 執行個體快照集,
- 列出所有 RDS DB/叢集
- 列出所有 DB/叢集快照集
- 複製所有 DB/叢集快照集
- 使用 defenderfordatabases 前置詞以刪除/更新 DB/叢集快照集
- 列出所有 KMS 金鑰
- 僅針對來源帳戶上的 RDS 使用所有 KMS 金鑰
- 列出具有標籤前置詞 DefenderForDatabases 的 KMS 金鑰
- 建立 KMS 金鑰的別名

探索所需的權限,RDS 執行個體
rds:DescribeDBInstances
rds:DescribeDBClusters
rds:DescribeDBClusterSnapshots
rds:DescribeDBSnapshots
rds:CopyDBSnapshot
rds:CopyDBClusterSnapshot
rds:DeleteDBSnapshot
rds:DeleteDBClusterSnapshot
rds:ModifyDBSnapshotAttribute
rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters
rds:DescribeDBParameters
rds:DescribeOptionGroups
kms:CreateGrant
kms:ListAliases
kms:CreateKey
kms:TagResource
kms:ListGrants
kms:DescribeKey
kms:PutKeyPolicy
kms:Encrypt
kms:CreateGrant
kms:EnableKey
kms:CancelKeyDeletion
kms:DisableKey
kms:ScheduleKeyDeletion
kms:UpdateAlias
kms:UpdateKeyDescription

GCP 的權限

將 Google Cloud Platforms (GCP) 連接器上線時,適用於雲端的 Defender 會建立角色並指派 GCP 專案權限。 下表顯示 GCP 專案上每個方案所指派的角色和權限。

適用於雲端的 Defender 方案 已建立角色 在 AWS 帳戶上指派的權限
Defender CSPM MDCCspmCustomRole 這些權限可讓 CSPM 角色探索及掃描組織內的資源:

允許角色檢視組織、專案和資料夾:
resourcemanager.folders.get
resourcemanager.folders.list resourcemanager.folders.getIamPolicy
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy

允許對新專案執行自動佈建流程,並移除已刪除的專案:
resourcemanager.projects.get
resourcemanager.projects.list

允許角色啟用用於探索資源的 Google Cloud 服務:
serviceusage.services.enable

用來建立及列出 IAM 角色:
iam.roles.create
iam.roles.list

允許角色作為服務帳戶,並取得資源的權限:
iam.serviceAccounts.actAs

允許角色檢視專案詳細資料並設定一般執行個體中繼資料:
compute.projects.get
compute.projects.setCommonInstanceMetadata
適用於伺服器的 Defender microsoft-defender-for-servers
azure-arc-for-servers-onboard
取得與列出計算引擎資源的唯讀取權:
compute.viewer
iam.serviceAccountTokenCreator
osconfig.osPolicyAssignmentAdmin
osconfig.osPolicyAssignmentReportViewer
適用於資料庫的 Defender defender-for-databases-arc-ap 適用於資料庫 ARC 自動佈建的 Defender 權限
compute.viewer
iam.workloadIdentityUser
iam.serviceAccountTokenCreator
osconfig.osPolicyAssignmentAdmin
osconfig.osPolicyAssignmentReportViewer
Defender CSPM

適用於儲存體的 Defender
data-security-posture-storage 適用於雲端的 Defender 掃描程式探索 GCP 儲存體貯體的權限,以存取 GCP 儲存體貯體中的資料
storage.objects.list
storage.objects.get
storage.buckets.get
Defender CSPM

適用於儲存體的 Defender
data-security-posture-storage 適用於雲端的 Defender 掃描程式探索 GCP 儲存體貯體的權限,以存取 GCP 儲存體貯體中的資料
storage.objects.list
storage.objects.get
storage.buckets.get
Defender CSPM microsoft-defender-ciem 取得組織資源詳細資料的權限。
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy
Defender CSPM

適用於伺服器的 Defender
MDCAgentlessScanningRole 無代理程式磁碟掃描的權限:
compute.disks.createSnapshot
compute.instances.get
Defender CSPM

適用於伺服器的 Defender
cloudkms.cryptoKeyEncrypterDecrypter 授與現有 GCP KMS 角色權限,以支援掃描使用 CMEK 加密的磁碟
Defender CSPM

適用於容器的 Defender
mdc-containers-artifact-assess 從 GAR 和 GCR 掃描影像的權限。
artifactregistry.reader
storage.objectViewer
適用於容器的 Defender mdc-containers-k8s-operator 從 GKE 叢集收集資料的權限。 更新 GKE 叢集以支援 IP 限制。

container.viewer

MDCGkeClusterWriteRole:
container.clusters.update*

MDCGkeContainerResponseActionsRole:
container.pods.update
container.pods.delete
container.networkPolicies.create
container.networkPolicies.update
container.networkPolicies.delete
適用於容器的 Defender microsoft-defender-containers 建立和管理記錄接收的權限,以將記錄路由傳送至 Cloud Pub/Sub 主題。
logging.sinks.list
logging.sinks.get
logging.sinks.create
logging.sinks.update
logging.sinks.delete
resourcemanager.projects.getIamPolicy
resourcemanager.organizations.getIamPolicy
iam.serviceAccounts.get
iam.workloadIdentityPoolProviders.get
適用於容器的 Defender ms-defender-containers-stream 允許記錄傳送記錄至 pub 子帳戶的權限:
pubsub.subscriptions.consume
pubsub.subscriptions.get

下一步

本文說明適用於雲端的 Defender 如何使用 Azure 角色型存取控制為使用者指派權限,並指出每種角色可進行的操作。 現在,您已熟悉監視您的訂用帳戶的安全性狀態所需的角色指派,編輯安全性原則和套用建議,接著了解如何︰