Roles y permisos de usuario
Microsoft Defender for Cloud usa el control de acceso basado en roles de Azure (Azure RBAC) para proporcionar roles integrados. Puede asignar estos roles a usuarios, grupos y servicios en Azure para conceder a los usuarios acceso a los recursos según el acceso definido en el rol.
Defender for Cloud evalúa la configuración de los recursos para identificar problemas de seguridad y vulnerabilidades. En Defender for Cloud, solo verá información relacionada con un recurso cuando se le asigna uno de estos roles para la suscripción o para el grupo de recursos en el que se encuentra el recurso: Propietario, Colaborador o Lector.
Además de los roles integrados, hay dos roles específicos de Defender for Cloud:
- Lector de seguridad: un usuario que pertenece a este rol tiene acceso de solo lectura en Defender for Cloud. El usuario puede ver las recomendaciones, las alertas, una directiva de seguridad y los estados de seguridad, pero no puede realizar cambios.
- Administrador de seguridad: un usuario que pertenece a este rol tiene el mismo acceso que el lector de seguridad, y puede actualizar la directiva de seguridad y descartar las alertas y las recomendaciones.
Es recomendable que asigne el rol de menos permisos que los usuarios necesiten para realizar sus tareas. Por ejemplo, asigne el rol Lector a los usuarios que solo necesiten ver información sobre el estado de seguridad de los recursos, pero no llevar a cabo acciones como aplicar recomendaciones o editar directivas.
Roles y acciones permitidas
En la siguiente tabla se muestran los roles y las acciones permitidas en Defender for Cloud.
| Acción | Lector de seguridad / Lector |
Administrador de seguridad | Colaborador / Propietario | Colaborador | Propietario |
|---|---|---|---|---|---|
| (Nivel de grupo de recursos) | (Nivel de suscripción) | (Nivel de suscripción) | |||
| Agregar o asignar iniciativas (incluidas las normas de cumplimiento normativo) | - | ✔ | - | - | ✔ |
| Editar directivas de seguridad | - | ✔ | - | - | ✔ |
| Habilitar o deshabilitar planes de Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Descartar alertas | - | ✔ | - | ✔ | ✔ |
| Aplicar recomendaciones de seguridad en un recurso (y usar el botón Corregir) |
- | - | ✔ | ✔ | ✔ |
| Ver alertas y recomendaciones | ✔ | ✔ | ✔ | ✔ | ✔ |
| Recomendaciones de seguridad exentas | - | ✔ | - | - | ✔ |
| Configurar notificaciones por correo electrónico | - | ✔ | ✔ | ✔ | ✔ |
Nota:
Aunque los tres roles mencionados son suficientes para habilitar y deshabilitar los planes de Defender, para habilitar todas las funcionalidades de un plan, se requiere el rol Propietario.
El rol específico necesario para implementar componentes de supervisión depende de la extensión que se va a implementar. Obtenga más información sobre la supervisión de componentes.
Roles usados para aprovisionar automáticamente agentes y extensiones
Para permitir que el rol de Administrador de seguridad aprovisione automáticamente agentes y extensiones usados en los planes de Defender for Cloud, Defender for Cloud usa la corrección de directivas de forma similar a Azure Policy. Para usar la corrección, Defender for Cloud debe crear entidades de servicio, también denominadas identidades administradas, que asignan roles en el nivel de suscripción. Por ejemplo, las entidades de servicio del plan de Defender para contenedores son:
| Entidad de servicio | Roles |
|---|---|
| Perfil de seguridad de AKS de aprovisionamiento de Defender para contenedores | • Colaborador de la extensión de Kubernetes • Colaborador • Colaborador de Azure Kubernetes Service • Colaborador de Log Analytics |
| Defender para contenedores que aprovisionan Kubernetes habilitados para Arc | • Colaborador de Azure Kubernetes Service • Colaborador de la extensión de Kubernetes • Colaborador • Colaborador de Log Analytics |
| Defender para contenedores que aprovisionan Azure Policy para Kubernetes | • Colaborador de la extensión de Kubernetes • Colaborador • Colaborador de Azure Kubernetes Service |
| Extensión de directiva de aprovisionamiento de Defender para contenedores para Kubernetes habilitado para Arc | • Colaborador de Azure Kubernetes Service • Colaborador de la extensión de Kubernetes • Colaborador |
Permisos en AWS
Al incorporar un conector de Amazon Web Services (AWS), Defender for Cloud creará roles y asignará permisos en la cuenta de AWS. En la tabla siguiente, se muestran los roles y el permiso asignados por cada plan en la cuenta de AWS.
| Plan de Defender for Cloud | Rol creado | Permiso asignado en la cuenta de AWS |
|---|---|---|
| Administración de la posición de seguridad en la nube de Defender | CspmMonitorAws | Para identificar los permisos de los recursos de AWS, lea todos los recursos excepto: "consolidatedbilling:" "freetier:" "invoicing:" "payments:" "billing:" "tax:" "cur:*" |
| Administración de la posición de seguridad en la nube de Defender Defender para servidores |
DefenderForCloud-AgentlessScanner | Para crear y limpiar instantáneas de disco (con ámbito según la etiqueta) “CreatedBy”: Permisos para "Microsoft Defender for Cloud": "ec2:DeleteSnapshot" "ec2:ModifySnapshotAttribute" "ec2:DeleteTags" "ec2:CreateTags" "ec2:CreateSnapshots" "ec2:CopySnapshot" "ec2:CreateSnapshot" "ec2:DescribeSnapshots" "ec2:DescribeInstanceStatus" Permiso para EncryptionKeyCreation "kms:CreateKey" "kms:ListKeys" Permisos para EncryptionKeyManagement "kms:TagResource" "kms:GetKeyRotationStatus" "kms:PutKeyPolicy" "kms:GetKeyPolicy" "kms:CreateAlias" "kms:TagResource" "kms:ListResourceTags" "kms:GenerateDataKeyWithoutPlaintext" "kms:DescribeKey" "kms:RetireGrant" "kms:CreateGrant" "kms:ReEncryptFrom" |
| Administración de la posición de seguridad en la nube de Defender Defender para Storage |
SensitiveDataDiscovery | Permisos para detectar buckets de S3 en la cuenta de AWS, permiso para que el detector de Defender for Cloud acceda a los datos de los buckets de S3. S3 de solo lectura; descifrado de KMS "kms:Decrypt" |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Permisos para Ciem Discovery "sts:AssumeRole" "sts:AssumeRoleWithSAML" "sts:GetAccessKeyInfo" "sts:GetCallerIdentity" "sts:GetFederationToken" "sts:GetServiceBearerToken" "sts:GetSessionToken" "sts:TagSession" |
| Defender para servidores | DefenderForCloud-DefenderForServers | Permisos para la configuración de acceso de red JIT: "ec2:RevokeSecurityGroupIngress" "ec2:AuthorizeSecurityGroupIngress" "ec2:DescribeInstances" "ec2:DescribeSecurityGroupRules" "ec2:DescribeVpcs" "ec2:CreateSecurityGroup" "ec2:DeleteSecurityGroup" "ec2:ModifyNetworkInterfaceAttribute" "ec2:ModifySecurityGroupRules" "ec2:ModifyInstanceAttribute" "ec2:DescribeSubnets" "ec2:DescribeSecurityGroups" |
| Defender para contenedores | DefenderForCloud-Containers-K8s | Permisos para enumerar clústeres EKS y recopilar datos de clústeres EKS. "eks:UpdateClusterConfig" "eks:DescribeCluster" |
| Defender para contenedores | DefenderForCloud-DataCollection | Permisos para el grupo de registros de CloudWatch creado por Defender for Cloud “logs:PutSubscriptionFilter" "logs:DescribeSubscriptionFilters" "logs:DescribeLogGroups" autp "logs:PutRetentionPolicy" Permisos para usar la cola de SQS creada por Defender for Cloud "sqs:ReceiveMessage" "sqs:DeleteMessage" |
| Defender para contenedores | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Permisos para acceder al flujo de entrega de Kinesis Data Firehose creado por Defender for Cloud "firehose:*" |
| Defender para contenedores | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Permisos para usar el bucket de SQS creado por Defender for Cloud "s3:GetObject" "s3:GetBucketLocation" "s3:AbortMultipartUpload" "s3:GetBucketLocation" "s3:GetObject" "s3:ListBucket" "s3:ListBucketMultipartUploads" "s3:PutObject" |
| Defender para contenedores Administración de la posición de seguridad en la nube de Defender |
MDCContainersAgentlessDiscoveryK8sRole | Permisos para recopilar datos de clústeres EKS. Actualización de clústeres EKS para admitir la restricción de IP y crear iamidentitymapping para clústeres EKS “eks:DescribeCluster” “eks:UpdateClusterConfig*” |
| Defender para contenedores Administración de la posición de seguridad en la nube de Defender |
MDCContainersImageAssessmentRole | Permisos para detectar imágenes de ECR y ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender para servidores | DefenderForCloud-ArcAutoProvisioning | Permisos para instalar Azure Arc en todas las instancias EC2 mediante SSM "ssm:CancelCommand" "ssm:DescribeInstanceInformation" "ssm:GetCommandInvocation" "ssm:UpdateServiceSetting" "ssm:GetServiceSetting" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" |
| Administración de la posición de seguridad en la nube de Defender | DefenderForCloud-DataSecurityPostureDB | Permiso para detectar instancias de RDS en la cuenta de AWS, crear una instantánea de instancia de RDS - Enumeración de todas las bases de datos o clústeres de RDS - Enumeración de todas las instantáneas de bases de datos o clústeres - Copia de todas las instantáneas de bases de datos o clústeres - Eliminación o actualización de la instantánea de base de datos o clúster con el prefijo defenderfordatabases - Enumeración de todas las claves de KMS - Uso de todas las claves de KMS solo para RDS en la cuenta de origen - Enumeración de las claves de KMS con el prefijo de etiqueta DefenderForDatabases - Creación de alias para claves de KMS Permisos necesarios para detectar instancias de RDS "rds:DescribeDBInstances" "rds:DescribeDBClusters" "rds:DescribeDBClusterSnapshots" "rds:DescribeDBSnapshots" "rds:CopyDBSnapshot" "rds:CopyDBClusterSnapshot" "rds:DeleteDBSnapshot" "rds:DeleteDBClusterSnapshot" "rds:ModifyDBSnapshotAttribute" "rds:ModifyDBClusterSnapshotAttribute" "rds:DescribeDBClusterParameters" "rds:DescribeDBParameters" "rds:DescribeOptionGroups" "kms:CreateGrant" "kms:ListAliases" "kms:CreateKey" "kms:TagResource" "kms:ListGrants" "kms:DescribeKey" "kms:PutKeyPolicy" "kms:Encrypt" "kms:CreateGrant" "kms:EnableKey" "kms:CancelKeyDeletion" "kms:DisableKey" "kms:ScheduleKeyDeletion" "kms:UpdateAlias" "kms:UpdateKeyDescription" |
Permisos en GCP
Al incorporar un conector de Google Cloud Projects (GCP), Defender for Cloud creará roles y asignará permisos en el proyecto de GCP. En la tabla siguiente, se muestran los roles y el permiso asignados por cada plan en el proyecto de GCP.
| Plan de Defender for Cloud | Rol creado | Permiso asignado en la cuenta de AWS |
|---|---|---|
| Administración de la posición de seguridad en la nube de Defender | MDCCspmCustomRole | Para detectar recursos de GCP resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy resourcemanager.folders.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable iam.roles.create iam.roles.list iam.serviceAccounts.actAs compute.projects.get compute.projects.setCommonInstanceMetadata" |
| Defender para servidores | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Acceso de solo lectura para obtener y enumerar Compute Engine resources roles/compute.viewer roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| Defender para bases de datos | defender-for-databases-arc-ap | Permisos para el aprovisionamiento automático de ARC de Defender para bases de datos roles/compute.viewer roles/iam.workloadIdentityUser roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| Administración de la posición de seguridad en la nube de Defender Defender para Storage |
data-security-posture-storage | Permiso para que el detector de Defender for Cloud identifique depósitos de almacenamiento de GCP para acceder a los datos de los buckets de almacenamiento de GCP storage.objects.list storage.objects.get storage.buckets.get |
| Administración de la posición de seguridad en la nube de Defender Defender para Storage |
data-security-posture-storage | Permiso para que el detector de Defender for Cloud identifique depósitos de almacenamiento de GCP para acceder a los datos de los buckets de almacenamiento de GCP storage.objects.list storage.objects.get storage.buckets.get |
| Administración de la posición de seguridad en la nube de Defender | microsoft-defender-ciem | Permisos para obtener detalles sobre el recurso de la organización. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Administración de la posición de seguridad en la nube de Defender Defender para servidores |
MDCAgentlessScanningRole | Permisos para la detección de discos sin agente: compute.disks.createSnapshot compute.instances.get |
| Administración de la posición de seguridad en la nube de Defender Defender para servidores |
cloudkms.cryptoKeyEncrypterDecrypter | Se conceden permisos a un rol de KMS de GCP existente para admitir la detección de discos cifrados con CMEK |
| Administración de la posición de seguridad en la nube de Defender Defender para contenedores |
mdc-containers-artifact-assess | Permiso para detectar imágenes de GAR y GCR. Roles/artifactregistry.reader Roles/storage.objectViewer |
| Defender para contenedores | mdc-containers-k8s-operator | Permisos para recopilar datos de clústeres GKE. Actualice los clústeres de GKE para admitir la restricción de IP. Roles/container.viewer MDCGkeClusterWriteRole container.clusters.update* |
| Defender para contenedores | microsoft-defender-containers | Permisos para crear y administrar el receptor de registro para enrutar los registros a un tema de Cloud Pub/Sub. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender para contenedores | ms-defender-containers-stream | Permisos para permitir que el registro envíe registros a Pub/Sub: pubsub.subscriptions.consume pubsub.subscriptions.get |
Pasos siguientes
En este artículo se ha explicado cómo usa Defender for Cloud RBAC de Azure para asignar permisos a usuarios e identificar las acciones permitidas de cada rol. Ahora que ya está familiarizado con las asignaciones de roles necesarios para supervisar el estado de seguridad de su suscripción, editar directivas de seguridad y aplicar recomendaciones, aprenderá los siguientes conceptos:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de