Rôles et autorisations d’utilisateur
Microsoft Defender pour le cloud utilise le contrôle d’accès en fonction du rôle Azure (RBAC Azure) pour fournir des rôles intégrés. Vous pouvez attribuer ces rôles à des utilisateurs, des groupes et des services dans Azure pour permettre aux utilisateurs d’accéder aux ressources en fonction de l’accès défini dans le rôle.
Defender pour le cloud évalue la configuration de vos ressources pour identifier les vulnérabilités et les problèmes de sécurité. Dans Defender pour le cloud, vous voyez uniquement les informations relatives à une ressource lorsque l’un de ces rôles vous est attribué pour l’abonnement ou pour le groupe de ressources dans lequel se trouve la ressource : Propriétaire, Contributeur ou Lecteur.
Outre ces rôles intégrés, il existe deux rôles propres à Defender pour le cloud :
- Lecteur Sécurité : l’utilisateur ayant ce rôle dispose d’un accès Lecture seule dans Defender pour le cloud. Il peut afficher les recommandations, les alertes, la stratégie de sécurité actuelle et les états de sécurité, mais ne peut pas apporter de modifications.
- Administrateur de la sécurité : l’utilisateur ayant ce rôle dispose des mêmes droits d’accès que le Lecteur Sécurité. Il peut en outre modifier la stratégie de sécurité et ignorer les alertes et les recommandations.
Nous vous recommandons d’attribuer le rôle le moins permissif permettant aux utilisateurs d’effectuer leurs tâches. Par exemple, affectez le rôle Lecteur aux utilisateurs qui n’ont besoin que de consulter des informations sur l’intégrité de la sécurité d’une ressource sans effectuer aucune action, telles que l’application des recommandations ou la modification des stratégies.
Rôles et actions autorisées
Le tableau suivant présente les rôles et les actions autorisées dans Defender pour le cloud.
| Action | Lecteur de sécurité / Lecteur |
Administrateur de la sécurité | Contributeur / Propriétaire | Contributeur | Propriétaire |
|---|---|---|---|---|---|
| (Au niveau du groupe de ressources) | (Au niveau de l’abonnement) | (Au niveau de l’abonnement) | |||
| Ajouter/attribuer des initiatives (y compris des normes de conformité réglementaire) | - | ✔ | - | - | ✔ |
| Modifier une stratégie de sécurité | - | ✔ | - | - | ✔ |
| Activer/désactiver des plans Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Ignorer les alertes | - | ✔ | - | ✔ | ✔ |
| Appliquer des recommandations de sécurité à une ressource (et utiliser Corriger) |
- | - | ✔ | ✔ | ✔ |
| Afficher les alertes et les recommandations | ✔ | ✔ | ✔ | ✔ | ✔ |
| Exclure les recommandations de sécurité | - | ✔ | - | - | ✔ |
| Configurer des notifications par e-mail | - | ✔ | ✔ | ✔ | ✔ |
Remarque
Bien que les trois rôles mentionnés soient suffisants pour activer et désactiver les plans Defender, le rôle Propriétaire est requis pour activer toutes les fonctionnalités d’un plan.
Le rôle spécifique requis pour déployer des composants de surveillance dépend de l’extension que vous déployez. Apprenez-en plus sur les composants de surveillance.
Rôles utilisés pour provisionner automatiquement des agents et des extensions
Pour permettre au rôle Administration de sécurité de provisionner automatiquement les agents et extensions utilisés dans les plans Defender pour le cloud, Defender pour le cloud utilise la correction de stratégie de la même manière que Azure Policy. Pour utiliser la correction, Defender pour le cloud doit créer des principaux de service, également appelés identités managées, qui attribuent des rôles au niveau de l’abonnement. Par exemple, les principaux de service pour le plan Defender pour les conteneurs sont les suivants :
| Principal de service | Rôles |
|---|---|
| Profil de sécurité AKS d’approvisionnement de Defender pour les conteneurs | • Contributeur d’extension Kubernetes • Contributeur • Contributeur Azure Kubernetes Service • Contributeur Log Analytics |
| Approvisionnement Kubernetes avec Arc de Defender pour les conteneurs | • Contributeur Azure Kubernetes Service • Contributeur d’extension Kubernetes • Contributeur • Contributeur Log Analytics |
| Defender pour les conteneurs provisionnement d'Azure Policy for Kubernetes | • Contributeur d’extension Kubernetes • Contributeur • Contributeur Azure Kubernetes Service |
| Extension de la politique de provisionnement de Defender pour les conteneurs pour Kubernetes compatible avec Arc | • Contributeur Azure Kubernetes Service • Contributeur d’extension Kubernetes • Contributeur |
Autorisations sur AWS
Lorsque vous intégrez un connecteur Amazon Web Services (AWS), Defender pour le cloud crée des rôles et attribue des autorisations sur votre compte AWS. Le tableau suivant présente les rôles et les autorisations attribués par chaque plan sur votre compte AWS.
| Plan Defender pour le cloud | Rôle créé | Autorisation attribuée sur le compte AWS |
|---|---|---|
| Defender CSPM | CspmMonitorAws | Pour découvrir les autorisations des ressources AWS, lire toutes les ressources, sauf : "consolidatedbilling:" "freetier:" "invoicing:" "payments:" "billing:" "tax:" "cur:*" |
| Defender CSPM Defender pour les serveurs |
DefenderForCloud-AgentlessScanner | Pour créer et nettoyer des instantanés de disque (délimités par étiquette) “CreatedBy”: "Microsoft Defender pour le cloud" Autorisations : "ec2:DeleteSnapshot" "ec2:ModifySnapshotAttribute" "ec2:DeleteTags" "ec2:CreateTags" "ec2:CreateSnapshots" "ec2:CopySnapshot" "ec2:CreateSnapshot" "ec2:DescribeSnapshots" "ec2:DescribeInstanceStatus" Autorisation pour EncryptionKeyCreation "kms:CreateKey" "kms:ListKeys" Autorisations pour EncryptionKeyManagement "kms:TagResource" "kms:GetKeyRotationStatus" "kms:PutKeyPolicy" "kms:GetKeyPolicy" "kms:CreateAlias" "kms:TagResource" "kms:ListResourceTags" "kms:GenerateDataKeyWithoutPlaintext" "kms:DescribeKey" "kms:RetireGrant" "kms:CreateGrant" "kms:ReEncryptFrom" |
| Defender CSPM Defender pour le stockage |
SensitiveDataDiscovery | Autorisations permettant de découvrir les compartiments S3 dans le compte AWS, autorisation pour le scanneur Defender pour le cloud pour accéder aux données dans les compartiments S3. S3 read only; KMS decrypt "kms:Decrypt" |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Autorisations pour la découverte Ciem "sts:AssumeRole" "sts:AssumeRoleWithSAML" "sts:GetAccessKeyInfo" "sts:GetCallerIdentity" "sts:GetFederationToken" "sts:GetServiceBearerToken" "sts:GetSessionToken" "sts:TagSession" |
| Defender pour les serveurs | DefenderForCloud-DefenderForServers | Autorisations pour configurer l’accès réseau JIT : "ec2:RevokeSecurityGroupIngress" "ec2:AuthorizeSecurityGroupIngress" "ec2:DescribeInstances" "ec2:DescribeSecurityGroupRules" "ec2:DescribeVpcs" "ec2:CreateSecurityGroup" "ec2:DeleteSecurityGroup" "ec2:ModifyNetworkInterfaceAttribute" "ec2:ModifySecurityGroupRules" "ec2:ModifyInstanceAttribute" "ec2:DescribeSubnets" "ec2:DescribeSecurityGroups" |
| Defender pour les conteneurs | DefenderForCloud-Containers-K8s | Autorisations pour lister les clusters EKS et collecter des données dans les clusters EKS. "eks:UpdateClusterConfig" "eks:DescribeCluster" |
| Defender pour les conteneurs | DefenderForCloud-DataCollection | Autorisations pour le groupe de journaux CloudWatch créé par Defender pour le cloud “logs:PutSubscriptionFilter" "logs:DescribeSubscriptionFilters" "logs:DescribeLogGroups" autp "logs:PutRetentionPolicy" Autorisations pour utiliser la file d’attente SQS créée par Defender pour le cloud "sqs:ReceiveMessage" "sqs:DeleteMessage" |
| Defender pour les conteneurs | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Autorisations pour accéder au flux de livraison Kinesis Data Firehose créé par Defender pour le cloud "firehose:*" |
| Defender pour les conteneurs | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Autorisations pour accéder au compartiment S3 créé par Defender pour le cloud "s3:GetObject" "s3:GetBucketLocation" "s3:AbortMultipartUpload" "s3:GetBucketLocation" "s3:GetObject" "s3:ListBucket" "s3:ListBucketMultipartUploads" "s3:PutObject" |
| Defender pour les conteneurs Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | Autorisations pour collecter les données dans les clusters EKS. Mise à jour des clusters EKS pour prendre en charge la restriction IP et créer iamidentitymapping pour les clusters EKS “eks:DescribeCluster” “eks:UpdateClusterConfig*” |
| Defender pour les conteneurs Defender CSPM |
MDCContainersImageAssessmentRole | Autorisations pour analyser les images d’ECR et ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender pour les serveurs | DefenderForCloud-ArcAutoProvisioning | Autorisations pour installer Azure Arc sur toutes les instances EC2 avec SSM "ssm:CancelCommand" "ssm:DescribeInstanceInformation" "ssm:GetCommandInvocation" "ssm:UpdateServiceSetting" "ssm:GetServiceSetting" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Autorisation pour découvrir les instances RDS dans un compte AWS, créer un instantané d’instance RDS, - Lister tous les clusters/bases de données RDS - Lister tous les instantanés de base de données/cluster - Copier tous les instantanés de base de données/cluster - Supprimer/mettre à jour l’instantané de base de données/cluster avec le préfixe defenderfordatabases - Lister toutes les clés KMS - Utiliser toutes les clés KMS uniquement pour RDS sur le compte source - Lister les clés KMS avec le préfixe d’étiquette DefenderForDatabases - Créer un alias pour les clés KMS Autorisations requises pour découvrir les instances RDS "rds:DescribeDBInstances" "rds:DescribeDBClusters" "rds:DescribeDBClusterSnapshots" "rds:DescribeDBSnapshots" "rds:CopyDBSnapshot" "rds:CopyDBClusterSnapshot" "rds:DeleteDBSnapshot" "rds:DeleteDBClusterSnapshot" "rds:ModifyDBSnapshotAttribute" "rds:ModifyDBClusterSnapshotAttribute" "rds:DescribeDBClusterParameters" "rds:DescribeDBParameters" "rds:DescribeOptionGroups" "kms:CreateGrant" "kms:ListAliases" "kms:CreateKey" "kms:TagResource" "kms:ListGrants" "kms:DescribeKey" "kms:PutKeyPolicy" "kms:Encrypt" "kms:CreateGrant" "kms:EnableKey" "kms:CancelKeyDeletion" "kms:DisableKey" "kms:ScheduleKeyDeletion" "kms:UpdateAlias" "kms:UpdateKeyDescription" |
Autorisations sur GCP
Lorsque vous intégrez un connecteur Google Cloud Projects (GCP), Defender pour le cloud crée des rôles et attribue des autorisations sur votre projet GCP. Le tableau suivant présente les rôles et les autorisations attribués par chaque plan sur votre projet GCP.
| Plan Defender pour le cloud | Rôle créé | Autorisation attribuée sur le compte AWS |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | Pour découvrir les ressources GCP resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy resourcemanager.folders.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable iam.roles.create iam.roles.list iam.serviceAccounts.actAs compute.projects.get compute.projects.setCommonInstanceMetadata" |
| Defender pour les serveurs | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Accès en lecture seule pour obtenir et lister le moteur de calcul resources roles/compute.viewer roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| Defender pour base de données | defender-for-databases-arc-ap | Autorisations pour l’approvisionnement automatique ARC de Defender pour bases de données roles/compute.viewer roles/iam.workloadIdentityUser roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Defender pour le stockage |
data-security-posture-storage | Autorisation pour le scanneur Defender pour le cloud de découvrir les compartiments de stockage GCP, pour accéder aux données dans les compartiments de stockage GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM Defender pour le stockage |
data-security-posture-storage | Autorisation pour le scanneur Defender pour le cloud de découvrir les compartiments de stockage GCP, pour accéder aux données dans les compartiments de stockage GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Autorisations pour obtenir des détails sur la ressource de l’organisation. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Defender pour les serveurs |
MDCAgentlessScanningRole | Autorisations pour l’analyse de disque sans agent : compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Defender pour les serveurs |
cloudkms.cryptoKeyEncrypterDecrypter | Des autorisations pour un rôle GCP KMS existant sont accordées pour prendre en charge l’analyse des disques chiffrés avec CMEK |
| Defender CSPM Defender pour les conteneurs |
mdc-containers-artifact-assess | Autorisation pour analyser les images de GAR et GCR. Roles/artifactregistry.reader Roles/storage.objectViewer |
| Defender pour les conteneurs | mdc-containers-k8s-operator | Autorisations pour collecter les données dans les clusters GKE. Mettre à jour les clusters GKE pour prendre en charge la restriction IP. Roles/container.viewer MDCGkeClusterWriteRole container.clusters.update* |
| Defender pour les conteneurs | microsoft-defender-containers | Autorisations pour créer et gérer un récepteur de journaux pour acheminer les journaux vers une rubrique Pub/Sub cloud. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender pour les conteneurs | ms-defender-containers-stream | Autorisations pour autoriser la journalisation à envoyer des journaux à pub sub : pubsub.subscriptions.consume pubsub.subscriptions.get |
Étapes suivantes
Cet article vous a expliqué de quelle manière Defender pour le cloud utilise RBAC Azure pour attribuer des autorisations aux utilisateurs et a identifié les actions autorisées pour chaque rôle. Maintenant que vous êtes familiarisé avec les affectations de rôles nécessaires pour surveiller l’état de sécurité de votre abonnement, modifier les stratégies de sécurité et appliquer les recommandations, découvrez comment :
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour