Attribuer l’accès aux propriétaires de charges de travail

Lorsque vous intégrez vos environnements AWS ou GCP, Defender pour le cloud crée automatiquement un connecteur de sécurité en tant que ressource Azure à l’intérieur de l’abonnement connecté et du groupe de ressources. Defender pour le cloud crée également le fournisseur d’identité en tant que rôle IAM nécessaire pendant le processus d’intégration.

Attribuez l’autorisation aux utilisateurs, sur des connecteurs de sécurité spécifiques, sous le connecteur parent. Oui, vous pouvez. Vous devez déterminer les comptes AWS ou les projets GCP auxquels vous souhaitez que les utilisateurs aient accès. Autrement dit, vous devez identifier les connecteurs de sécurité qui correspondent au compte AWS ou au projet GCP auquel vous souhaitez attribuer l’accès des utilisateurs.

Prérequis

• Un compte Azure. Si vous n’avez pas encore de compte Azure, vous pouvez créer un compte Azure gratuit dès aujourd’hui.

• Au moins un connecteur de sécurité pour Azure, AWS ou GCP.

Configurer des autorisations sur le connecteur de sécurité

Les autorisations pour les connecteurs de sécurité sont gérées via le contrôle d’accès en fonction du rôle Azure (RBAC). Vous pouvez attribuer des rôles à des utilisateurs, des groupes et des applications à un abonnement, un groupe de ressources ou un niveau de ressource.

1. Connectez-vous au portail Azure.

2. Accédez à Microsoft Defender pour le cloud>Paramètres d’environnement.

3. Recherchez le connecteur AWS ou GCP approprié.

4. Attribuez des autorisations aux propriétaires de charge de travail avec toutes les ressources ou l’option Azure Resource Graph dans le Portail Azure.

   Toutes les ressources

   1. Recherchez et sélectionnez Toutes les ressources.

      

   2. Sélectionnez Gérer l’affichage>Afficher les types masqués.

      

   3. Sélectionnez le filtre Types égaux à tous.

   4. Entrez securityconnector dans le champ valeur et ajoutez une vérification au microsoft.security/securityconnectors.

      

   5. Sélectionnez Appliquer.

   6. Sélectionnez le connecteur de ressource approprié.

   Azure Resource Graph

   1. Recherchez et sélectionnez l’Explorateur Resource Graph.

      

   2. Copiez et collez la requête suivante pour localiser le connecteur de sécurité :

      AWS

      resources 
      | where type == "microsoft.security/securityconnectors" 
      | extend source = tostring(properties.environmentName)  
      | where source == "AWS" 
      | project name, subscriptionId, resourceGroup, accountId = properties.hierarchyIdentifier, cloud = properties.environmentName  
      

      GCP

      resources 
      | where type == "microsoft.security/securityconnectors" 
      | extend source = tostring(properties.environmentName)  
      | where source == "GCP" 
      | project name, subscriptionId, resourceGroup, projectId = properties.hierarchyIdentifier, cloud = properties.environmentName  
      

   3. Sélectionnez Exécuter la requête.

   4. Basculez les résultats mis en forme sur Activé.

      

   5. Sélectionnez l’abonnement et le groupe de ressources appropriés pour localiser le connecteur de sécurité approprié.

5. Sélectionnez Contrôle d’accès (IAM) .

   

6. Sélectionnez + Ajouter>Ajouter une attribution de rôle.

7. Sélectionnez le rôle souhaité.

8. Cliquez sur Suivant.

9. Sélectionnez + Sélectionner les membres.

   

10. Recherchez et sélectionnez l’utilisateur ou le groupe approprié.

11. Cliquez sur le bouton Sélectionner.

12. Cliquez sur Suivant.

13. Sélectionnez Examiner + Attribuer.

14. Passez en revue les informations.

15. Sélectionnez Vérifier + attribuer.

Après avoir défini l’autorisation pour le connecteur de sécurité, les propriétaires de charge de travail pourront afficher des recommandations dans Defender pour le cloud pour les ressources AWS et GCP associées au connecteur de sécurité.

Étape suivante

Autorisations RBAC