Rôles et autorisations d’utilisateur
Microsoft Defender pour le cloud utilise Azure role-based access control (Azure contrôle d’accès en fonction du rôle) pour fournir des rôles prédéfinis. Vous pouvez attribuer ces rôles à des utilisateurs, des groupes et des services dans Azure pour permettre aux utilisateurs d’accéder aux ressources en fonction de l’accès défini dans le rôle.
Defender pour le cloud évalue la configuration de vos ressources et identifie les problèmes de sécurité et les vulnérabilités. Dans Defender pour le cloud, vous pouvez afficher les informations liées à une ressource lorsque vous avez l’un de ces rôles attribués pour l’abonnement ou le groupe de ressources auquel la ressource appartient : Propriétaire, Contributeur ou Lecteur.
Outre ces rôles intégrés, il existe deux rôles propres à Defender pour le cloud :
- Lecteur Sécurité : l’utilisateur ayant ce rôle dispose d’un accès Lecture seule dans Defender pour le cloud. Il peut afficher les recommandations, les alertes, la stratégie de sécurité actuelle et les états de sécurité, mais ne peut pas apporter de modifications.
- Administrateur de la sécurité : l’utilisateur ayant ce rôle dispose des mêmes droits d’accès que le Lecteur Sécurité. Il peut en outre modifier la stratégie de sécurité et ignorer les alertes et les recommandations.
Nous recommandons d’attribuer le rôle le moins permissif nécessaire pour que les utilisateurs accomplissent leurs tâches.
Par exemple, vous pouvez attribuer le rôle de Lecteur aux utilisateurs qui ont seulement besoin de consulter les informations de l’intégrité de la sécurité d’une ressource sans prendre de mesures. Les utilisateurs avec un rôle de Lecteur peuvent appliquer des recommandations ou modifier des politiques.
Rôles et actions autorisées
Le tableau suivant présente les rôles et les actions autorisées dans Defender pour le cloud.
| Action | Lecteur de sécurité / Lecteur |
Administrateur de la sécurité | Contributeur / Propriétaire | Contributeur | Propriétaire |
|---|---|---|---|---|---|
| (Au niveau du groupe de ressources) | (Au niveau de l’abonnement) | (Au niveau de l’abonnement) | |||
| Ajouter/attribuer des initiatives (y compris des normes de conformité réglementaire) | - | ✔ | - | - | ✔ |
| Modifier une stratégie de sécurité | - | ✔ | - | - | ✔ |
| Activer/désactiver des plans Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Ignorer les alertes | - | ✔ | - | ✔ | ✔ |
| Appliquez des recommandations de sécurité pour une ressource (Utilisez Corriger) |
- | - | ✔ | ✔ | ✔ |
| Afficher les alertes et les recommandations | ✔ | ✔ | ✔ | ✔ | ✔ |
| Exclure les recommandations de sécurité | - | ✔ | - | - | ✔ |
| Configurer des notifications par e-mail | - | ✔ | ✔ | ✔ | ✔ |
Remarque
Bien que les trois rôles mentionnés soient suffisants pour activer et désactiver les plans Defender, le rôle Propriétaire est requis pour activer toutes les fonctionnalités d’un plan.
Le rôle spécifique requis pour déployer des composants de surveillance dépend de l’extension que vous déployez. Apprenez-en plus sur les composants de surveillance.
Rôles utilisés pour provisionner automatiquement des agents et des extensions
Pour permettre au rôle Administration de sécurité de provisionner automatiquement les agents et extensions utilisés dans les plans Defender pour le cloud, Defender pour le cloud utilise la correction de stratégie de la même manière que Azure Policy. Pour utiliser la correction, Defender pour le cloud doit créer des principaux de service, également appelés identités managées, qui attribuent des rôles au niveau de l’abonnement. Par exemple, les principaux de service pour le plan Defender pour les conteneurs sont les suivants :
| Principal de service | Rôles |
|---|---|
| Approvisionnement de Defender pour les conteneurs Azure Kubernetes Service (AKS) Profil de sécurité | • Contributeur d’extension Kubernetes • Contributeur • Contributeur Azure Kubernetes Service • Contributeur Log Analytics |
| Approvisionnement Kubernetes avec Arc de Defender pour les conteneurs | • Contributeur Azure Kubernetes Service • Contributeur d’extension Kubernetes • Contributeur • Contributeur Log Analytics |
| Defender pour les conteneurs provisionnement d'Azure Policy for Kubernetes | • Contributeur d’extension Kubernetes • Contributeur • Contributeur Azure Kubernetes Service |
| Extension de la politique de provisionnement de Defender pour les conteneurs pour Kubernetes compatible avec Arc | • Contributeur Azure Kubernetes Service • Contributeur d’extension Kubernetes • Contributeur |
Autorisations sur AWS
Lorsque vous intégrez un connecteur Amazon Web Services (AWS), Defender pour le cloud crée des rôles et attribue des autorisations sur votre compte AWS. Le tableau suivant présente les rôles et les autorisations attribués par chaque plan sur votre compte AWS.
| Plan Defender pour le cloud | Rôle créé | Autorisation attribuée sur le compte AWS |
|---|---|---|
| Defender Cloud Security Posture Management (CSPM) | CspmMonitorAws | Pour découvrir les autorisations des ressources AWS, lire toutes les ressources, sauf : consolidatedbilling : freetier : invoicing : payments : billing : tax : cur:* |
| Defender CSPM Defender pour les serveurs |
DefenderForCloud-AgentlessScanner | Pour créer et nettoyer des instantanés de disque (délimités par étiquette) “CreatedBy”: "Microsoft Defender pour le cloud" Autorisations : ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Autorisation pour EncryptionKeyCreation kms:CreateKey kms:ListKeys Autorisations pour EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Defender CSPM Defender pour le stockage |
SensitiveDataDiscovery | Autorisations permettant de découvrir les compartiments S3 dans le compte AWS, autorisation pour le scanneur Defender pour le cloud pour accéder aux données dans les compartiments S3. S3 read only; KMS decrypt kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Autorisations pour la découverte Ciem sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender pour les serveurs | DefenderForCloud-DefenderForServers | Autorisations pour configurer l’accès réseau JIT : ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender pour les conteneurs | DefenderForCloud-Containers-K8s | Autorisations pour lister les clusters EKS et collecter des données dans les clusters EKS. eks:UpdateClusterConfig eks:DescribeCluster |
| Defender pour les conteneurs | DefenderForCloud-DataCollection | Autorisations pour le groupe de journaux CloudWatch créé par Defender pour le cloud “logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups autp logs:PutRetentionPolicy Autorisations pour utiliser la file d’attente SQS créée par Defender pour le cloud sqs:ReceiveMessage sqs:DeleteMessage |
| Defender pour les conteneurs | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Autorisations pour accéder au flux de livraison Kinesis Data Firehose créé par Defender pour le cloud firehose:* |
| Defender pour les conteneurs | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Autorisations pour accéder au compartiment S3 créé par Defender pour le cloud s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
| Defender pour les conteneurs Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | Autorisations pour collecter les données dans les clusters EKS. Mise à jour des clusters EKS pour prendre en charge la restriction IP et créer iamidentitymapping pour les clusters EKS “eks:DescribeCluster” “eks:UpdateClusterConfig*” |
| Defender pour les conteneurs Defender CSPM |
MDCContainersImageAssessmentRole | Autorisations pour analyser les images d’ECR et ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender pour les serveurs | DefenderForCloud-ArcAutoProvisioning | Autorisations pour installer Azure Arc sur toutes les instances EC2 avec SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Autorisation pour découvrir les instances RDS dans un compte AWS, créer un instantané d’instance RDS, - Lister tous les clusters/bases de données RDS - Lister tous les instantanés de base de données/cluster - Copier tous les instantanés de base de données/cluster - Supprimer/mettre à jour l’instantané de base de données/cluster avec le préfixe defenderfordatabases - Lister toutes les clés KMS - Utiliser toutes les clés KMS uniquement pour RDS sur le compte source - Lister les clés KMS avec le préfixe d’étiquette DefenderForDatabases - Créer un alias pour les clés KMS Autorisations requises pour découvrir les instances RDS rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Autorisations sur GCP
Lorsque vous intégrez un connecteur Google Cloud Platforms (GCP), Defender pour le cloud crée des rôles et attribue des autorisations sur votre projet GCP. Le tableau suivant présente les rôles et les autorisations attribués par chaque plan sur votre projet GCP.
| Plan Defender pour le cloud | Rôle créé | Autorisation attribuée sur le compte AWS |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | Ces autorisations permettent au rôle CSPM de découvrir et d’analyser les ressources au sein de l’organisation : Permet au rôle d’afficher les organisations, projets et dossiers : resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Permet le processus d’approvisionnement automatique de nouveaux projets et la suppression des projets supprimés : resourcemanager.projects.get resourcemanager.projects.list Permet au rôle d’activer les services Google Cloud utilisés pour la découverte des ressources : serviceusage.services.enable Utilisé pour créer et répertorier des rôles IAM : iam.roles.create iam.roles.list Permet au rôle d’agir en tant que compte de service et d’obtenir l’autorisation pour les ressources : iam.serviceAccounts.actAs Permet au rôle d’afficher les détails du projet et de définir les métadonnées d’instance courantes : compute.projects.get compute.projects.setCommonInstanceMetadata |
| Defender pour les serveurs | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Accès en lecture seule pour obtenir et lister le moteur de calcul ressources compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender pour base de données | defender-for-databases-arc-ap | Autorisations pour l’approvisionnement automatique ARC de Defender pour bases de données compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Defender pour le stockage |
data-security-posture-storage | Autorisation pour le scanneur Defender pour le cloud de découvrir les compartiments de stockage GCP, pour accéder aux données dans les compartiments de stockage GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM Defender pour le stockage |
data-security-posture-storage | Autorisation pour le scanneur Defender pour le cloud de découvrir les compartiments de stockage GCP, pour accéder aux données dans les compartiments de stockage GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Autorisations pour obtenir des détails sur la ressource de l’organisation. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Defender pour les serveurs |
MDCAgentlessScanningRole | Autorisations pour l’analyse de disque sans agent : compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Defender pour les serveurs |
cloudkms.cryptoKeyEncrypterDecrypter | Des autorisations pour un rôle GCP KMS existant sont accordées pour prendre en charge l’analyse des disques chiffrés avec CMEK |
| Defender CSPM Defender pour les conteneurs |
mdc-containers-artifact-assess | Autorisation pour analyser les images de GAR et GCR. artifactregistry.reader storage.objectViewer |
| Defender pour les conteneurs | mdc-containers-k8s-operator | Autorisations pour collecter les données dans les clusters GKE. Mettre à jour les clusters GKE pour prendre en charge la restriction IP. container.viewer MDCGkeClusterWriteRole : container.clusters.update* MDCGkeContainerResponseActionsRole : container.pods.update, container.networkPolicies.create container.networkPolicies.update container.networkPolicies.delete |
| Defender pour les conteneurs | microsoft-defender-containers | Autorisations pour créer et gérer un récepteur de journaux pour acheminer les journaux vers une rubrique Pub/Sub cloud. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender pour les conteneurs | ms-defender-containers-stream | Autorisations pour autoriser la journalisation à envoyer des journaux à pub sub : pubsub.subscriptions.consume pubsub.subscriptions.get |
Étapes suivantes
Cet article explique comment Defender pour le cloud utilise le contrôle d’accès en fonction du rôle Azure pour attribuer des autorisations aux utilisateurs et identifie les actions autorisées pour chaque rôle. Maintenant que vous êtes familiarisé avec les affectations de rôles nécessaires pour surveiller l’état de sécurité de votre abonnement, modifier les stratégies de sécurité et appliquer les recommandations, découvrez comment :