Roles y permisos de usuario
Microsoft Defender for Cloud usa el control de acceso basado en roles de Azure (Azure RBAC) para proporcionar roles integrados. Puede asignar estos roles a usuarios, grupos y servicios en Azure para conceder a los usuarios acceso a los recursos según el acceso definido en el rol.
Defender for Cloud evalúa la configuración de los recursos para identificar problemas de seguridad y vulnerabilidades. En Defender for Cloud, solo verá información relacionada con un recurso cuando se le asigna uno de estos roles para la suscripción o para el grupo de recursos en el que se encuentra el recurso: Propietario, Colaborador o Lector.
Además de los roles integrados, hay dos roles específicos de Defender for Cloud:
- Lector de seguridad: un usuario que pertenece a este rol tiene acceso de solo lectura en Defender for Cloud. El usuario puede ver las recomendaciones, las alertas, una directiva de seguridad y los estados de seguridad, pero no puede realizar cambios.
- Administrador de seguridad: un usuario que pertenece a este rol tiene el mismo acceso que el lector de seguridad, y puede actualizar la directiva de seguridad y descartar las alertas y las recomendaciones.
Es recomendable que asigne el rol de menos permisos que los usuarios necesiten para realizar sus tareas. Por ejemplo, asigne el rol Lector a los usuarios que solo necesiten ver información sobre el estado de seguridad de los recursos, pero no llevar a cabo acciones como aplicar recomendaciones o editar directivas.
Roles y acciones permitidas
En la siguiente tabla se muestran los roles y las acciones permitidas en Defender for Cloud.
| Acción | Lector de seguridad / Lector |
Administrador de seguridad | Colaborador / Propietario | Colaborador | Propietario |
|---|---|---|---|---|---|
| (Nivel de grupo de recursos) | (Nivel de suscripción) | (Nivel de suscripción) | |||
| Agregar o asignar iniciativas (incluidas las normas de cumplimiento normativo) | - | ✔ | - | - | ✔ |
| Editar directivas de seguridad | - | ✔ | - | - | ✔ |
| Habilitar o deshabilitar planes de Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Descartar alertas | - | ✔ | - | ✔ | ✔ |
| Aplicar recomendaciones de seguridad en un recurso (y usar el botón Corregir) | - | - | ✔ | ✔ | ✔ |
| Ver alertas y recomendaciones | ✔ | ✔ | ✔ | ✔ | ✔ |
| Recomendaciones de seguridad exentas | - | ✔ | - | - | ✔ |
El rol específico necesario para implementar componentes de supervisión depende de la extensión que se va a implementar. Obtenga más información sobre la supervisión de componentes.
Roles usados para aprovisionar automáticamente agentes y extensiones
Para permitir que el rol de Administrador de seguridad aprovisione automáticamente agentes y extensiones usados en los planes de Defender for Cloud, Defender for Cloud usa la corrección de directivas de forma similar a Azure Policy. Para usar la corrección, Defender for Cloud debe crear entidades de servicio, también denominadas identidades administradas, que asignan roles en el nivel de suscripción. Por ejemplo, las entidades de servicio del plan de Defender para contenedores son:
| Entidad de servicio | Roles |
|---|---|
| Perfil de seguridad de AKS de aprovisionamiento de Defender para contenedores | • Colaborador de la extensión de Kubernetes • Colaborador • Colaborador de Azure Kubernetes Service • Colaborador de Log Analytics |
| Defender para contenedores que aprovisionan Kubernetes habilitados para Arc | • Colaborador de Azure Kubernetes Service • Colaborador de la extensión de Kubernetes • Colaborador • Colaborador de Log Analytics |
| Defender para contenedores que aprovisionan Azure Policy para Kubernetes | • Colaborador de la extensión de Kubernetes • Colaborador • Colaborador de Azure Kubernetes Service |
| Extensión de directiva de aprovisionamiento de Defender para contenedores para Kubernetes habilitado para Arc | • Colaborador de Azure Kubernetes Service • Colaborador de la extensión de Kubernetes • Colaborador |
Pasos siguientes
En este artículo se ha explicado cómo usa Defender for Cloud RBAC de Azure para asignar permisos a usuarios e identificar las acciones permitidas de cada rol. Ahora que ya está familiarizado con las asignaciones de roles necesarios para supervisar el estado de seguridad de su suscripción, editar directivas de seguridad y aplicar recomendaciones, aprenderá los siguientes conceptos: