Zuweisen des Zugriffs zu Workloadbesitzer:innen

Wenn Sie Ihre AWS- oder GCP-Umgebungen onboarden, erstellt Defender for Cloud automatisch einen Sicherheitsconnector als Azure-Ressource innerhalb des verbundenen Abonnements und der Ressourcengruppe. Defender for Cloud erstellt auch den Identitätsanbieter als IAM-Rolle, den er während des Onboardingprozesses benötigt.

Sollte Benutzern die Berechtigung für bestimmte Sicherheitsconnectors unter dem übergeordneten Connector zugewiesen werden? Ja, das ist möglich. Sie müssen festlegen, auf welche AWS-Konten oder GCP-Projekte die Benutzer Zugreifen erhalten sollen. Dies bedeutet, dass Sie die Sicherheitsconnectors identifizieren müssen, die dem AWS-Konto oder GCP-Projekt entsprechen, dem Sie Benutzerzugriff zuweisen möchten.

Voraussetzungen

• Ein Azure-Konto. Wenn Sie noch kein Azure-Konto haben, können Sie heute Ihr kostenloses Azure-Konto erstellen.

• Mindestens ein Sicherheitsconnector für Azure, AWS oder GCP

Konfigurieren von Berechtigungen für den Sicherheitsconnector

Berechtigungen für Sicherheitsconnectors werden über die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure verwaltet. Sie können Benutzern, Gruppen und Anwendungen Rollen auf Abonnement-, Ressourcengruppen- oder Ressourcenebene zuweisen.

1. Melden Sie sich beim Azure-Portal an.

2. Navigieren Sie zu Microsoft Defender für Cloud>Umgebungseinstellungen.

3. Suchen Sie den gewünschten AWS- oder GCP-Connector.

4. Weisen Sie den Workloadbesitzern im Azure-Portal Berechtigungen mit den Optionen „Alle Ressourcen“ oder „Azure Resource Graph“ zu.

   Alle Ressourcen

   1. Suchen Sie nach Alle Ressourcen, und wählen Sie diese Option aus.

      

   2. Wählen Sie Ansicht verwalten>Ausgeblendete Typen anzeigen aus.

      

   3. Wählen Sie den Filter „Typen“ > „Ist gleich“ > „Alle“ aus.

   4. Geben Sie securityconnector in das Wertfeld ein, und fügen Sie neben microsoft.security/securityconnectorsein Häkchen hinzu.

      

   5. Wählen Sie Übernehmen.

   6. Wählen Sie den gewünschten Ressourcenconnector aus.

   Azure Resource Graph

   1. Suchen Sie die Option Resource Graph-Explorer, und wählen Sie sie aus.

      

   2. Kopieren Sie die folgende Abfrage, und fügen Sie sie ein, um den Sicherheitsconnector zu suchen:

      AWS

      resources 
      | where type == "microsoft.security/securityconnectors" 
      | extend source = tostring(properties.environmentName)  
      | where source == "AWS" 
      | project name, subscriptionId, resourceGroup, accountId = properties.hierarchyIdentifier, cloud = properties.environmentName  
      

      GCP

      resources 
      | where type == "microsoft.security/securityconnectors" 
      | extend source = tostring(properties.environmentName)  
      | where source == "GCP" 
      | project name, subscriptionId, resourceGroup, projectId = properties.hierarchyIdentifier, cloud = properties.environmentName  
      

   3. Wählen Sie Abfrage ausführen aus.

   4. Schalten Sie die Option „Formatierte Ergebnisse“ auf Ein um.

      

   5. Wählen Sie das gewünschte Abonnement und die Ressourcengruppe aus, um den relevanten Sicherheitsconnector zu finden.

5. Wählen Sie Zugriffssteuerung (IAM) aus.

   

6. Wählen Sie +Hinzufügen>Rollenzuweisung hinzufügen aus.

7. Wählen Sie die gewünschte Rolle aus.

8. Wählen Sie Weiter aus.

9. Wählen Sie + Mitglieder auswählen aus.

   

10. Suchen Sie die gewünschten Benutzer oder die Gruppe, und wählen Sie sie aus.

11. Wählen Sie die Schaltfläche Auswählen aus.

12. Wählen Sie Weiter aus.

13. Wählen Sie Überprüfen + zuweisen.

14. Überprüfe die Informationen.

15. Wählen Sie Überprüfen und zuweisen aus.

Nachdem Sie die Berechtigung für den Sicherheitsconnector festgelegt haben, können die Workloadbesitzer Empfehlungen in Defender for Cloud für die AWS- und GCP-Ressourcen anzeigen, die dem Sicherheitsconnector zugeordnet sind.

Nächster Schritt

RBAC-Berechtigungen