Partager via


Rôles et autorisations d’utilisateur

Microsoft Defender pour le cloud utilise le contrôle d’accès en fonction du rôle Azure (RBAC Azure) pour fournir des rôles intégrés. Vous pouvez attribuer ces rôles à des utilisateurs, des groupes et des services dans Azure pour permettre aux utilisateurs d’accéder aux ressources en fonction de l’accès défini dans le rôle.

Defender pour le cloud évalue la configuration de vos ressources pour identifier les vulnérabilités et les problèmes de sécurité. Dans Defender pour le cloud, vous voyez uniquement les informations relatives à une ressource lorsque l’un de ces rôles vous est attribué pour l’abonnement ou pour le groupe de ressources dans lequel se trouve la ressource : Propriétaire, Contributeur ou Lecteur.

Outre ces rôles intégrés, il existe deux rôles propres à Defender pour le cloud :

  • Lecteur Sécurité : l’utilisateur ayant ce rôle dispose d’un accès Lecture seule dans Defender pour le cloud. Il peut afficher les recommandations, les alertes, la stratégie de sécurité actuelle et les états de sécurité, mais ne peut pas apporter de modifications.
  • Administrateur de la sécurité : l’utilisateur ayant ce rôle dispose des mêmes droits d’accès que le Lecteur Sécurité. Il peut en outre modifier la stratégie de sécurité et ignorer les alertes et les recommandations.

Nous vous recommandons d’attribuer le rôle le moins permissif permettant aux utilisateurs d’effectuer leurs tâches. Par exemple, affectez le rôle Lecteur aux utilisateurs qui n’ont besoin que de consulter des informations sur l’intégrité de la sécurité d’une ressource sans effectuer aucune action, telles que l’application des recommandations ou la modification des stratégies.

Rôles et actions autorisées

Le tableau suivant présente les rôles et les actions autorisées dans Defender pour le cloud.

Action Lecteur de sécurité /
Lecteur
Administrateur de la sécurité Contributeur / Propriétaire Contributeur Propriétaire
(Au niveau du groupe de ressources) (Au niveau de l’abonnement) (Au niveau de l’abonnement)
Ajouter/attribuer des initiatives (y compris des normes de conformité réglementaire) - - -
Modifier une stratégie de sécurité - - -
Activer/désactiver des plans Microsoft Defender - -
Ignorer les alertes - -
Appliquer des recommandations de sécurité à une ressource
(et utiliser Corriger)
- -
Afficher les alertes et les recommandations
Exclure les recommandations de sécurité - - -
Configurer des notifications par e-mail -

Remarque

Bien que les trois rôles mentionnés soient suffisants pour activer et désactiver les plans Defender, le rôle Propriétaire est requis pour activer toutes les fonctionnalités d’un plan.

Le rôle spécifique requis pour déployer des composants de surveillance dépend de l’extension que vous déployez. Apprenez-en plus sur les composants de surveillance.

Rôles utilisés pour provisionner automatiquement des agents et des extensions

Pour permettre au rôle Administration de sécurité de provisionner automatiquement les agents et extensions utilisés dans les plans Defender pour le cloud, Defender pour le cloud utilise la correction de stratégie de la même manière que Azure Policy. Pour utiliser la correction, Defender pour le cloud doit créer des principaux de service, également appelés identités managées, qui attribuent des rôles au niveau de l’abonnement. Par exemple, les principaux de service pour le plan Defender pour les conteneurs sont les suivants :

Principal de service Rôles
Profil de sécurité AKS d’approvisionnement de Defender pour les conteneurs • Contributeur d’extension Kubernetes
• Contributeur
• Contributeur Azure Kubernetes Service
• Contributeur Log Analytics
Approvisionnement Kubernetes avec Arc de Defender pour les conteneurs • Contributeur Azure Kubernetes Service
• Contributeur d’extension Kubernetes
• Contributeur
• Contributeur Log Analytics
Defender pour les conteneurs provisionnement d'Azure Policy for Kubernetes • Contributeur d’extension Kubernetes
• Contributeur
• Contributeur Azure Kubernetes Service
Extension de la politique de provisionnement de Defender pour les conteneurs pour Kubernetes compatible avec Arc • Contributeur Azure Kubernetes Service
• Contributeur d’extension Kubernetes
• Contributeur

Autorisations sur AWS

Lorsque vous intégrez un connecteur Amazon Web Services (AWS), Defender pour le cloud crée des rôles et attribue des autorisations sur votre compte AWS. Le tableau suivant présente les rôles et les autorisations attribués par chaque plan sur votre compte AWS.

Plan Defender pour le cloud Rôle créé Autorisation attribuée sur le compte AWS
Defender CSPM CspmMonitorAws Pour découvrir les autorisations des ressources AWS, lire toutes les ressources, sauf :
"consolidatedbilling:"
"freetier:
"
"invoicing:"
"payments:
"
"billing:"
"tax:
"
"cur:*"
Defender CSPM

Defender pour les serveurs
DefenderForCloud-AgentlessScanner Pour créer et nettoyer des instantanés de disque (délimités par étiquette) “CreatedBy”: "Microsoft Defender pour le cloud" Autorisations :
"ec2:DeleteSnapshot" "ec2:ModifySnapshotAttribute"
"ec2:DeleteTags"
"ec2:CreateTags"
"ec2:CreateSnapshots"
"ec2:CopySnapshot"
"ec2:CreateSnapshot"
"ec2:DescribeSnapshots"
"ec2:DescribeInstanceStatus"
Autorisation pour EncryptionKeyCreation "kms:CreateKey"
"kms:ListKeys"
Autorisations pour EncryptionKeyManagement "kms:TagResource"
"kms:GetKeyRotationStatus"
"kms:PutKeyPolicy"
"kms:GetKeyPolicy"
"kms:CreateAlias"
"kms:TagResource"
"kms:ListResourceTags"
"kms:GenerateDataKeyWithoutPlaintext"
"kms:DescribeKey"
"kms:RetireGrant"
"kms:CreateGrant"
"kms:ReEncryptFrom"
Defender CSPM

Defender pour le stockage
SensitiveDataDiscovery Autorisations permettant de découvrir les compartiments S3 dans le compte AWS, autorisation pour le scanneur Defender pour le cloud pour accéder aux données dans les compartiments S3.
S3 read only; KMS decrypt "kms:Decrypt"
CIEM DefenderForCloud-Ciem
DefenderForCloud-OidcCiem
Autorisations pour la découverte Ciem
"sts:AssumeRole"
"sts:AssumeRoleWithSAML"
"sts:GetAccessKeyInfo"
"sts:GetCallerIdentity"
"sts:GetFederationToken"
"sts:GetServiceBearerToken"
"sts:GetSessionToken"
"sts:TagSession"
Defender pour les serveurs DefenderForCloud-DefenderForServers Autorisations pour configurer l’accès réseau JIT :
"ec2:RevokeSecurityGroupIngress"
"ec2:AuthorizeSecurityGroupIngress"
"ec2:DescribeInstances"
"ec2:DescribeSecurityGroupRules"
"ec2:DescribeVpcs"
"ec2:CreateSecurityGroup"
"ec2:DeleteSecurityGroup"
"ec2:ModifyNetworkInterfaceAttribute"
"ec2:ModifySecurityGroupRules"
"ec2:ModifyInstanceAttribute"
"ec2:DescribeSubnets"
"ec2:DescribeSecurityGroups"
Defender pour les conteneurs DefenderForCloud-Containers-K8s Autorisations pour lister les clusters EKS et collecter des données dans les clusters EKS.
"eks:UpdateClusterConfig"
"eks:DescribeCluster"
Defender pour les conteneurs DefenderForCloud-DataCollection Autorisations pour le groupe de journaux CloudWatch créé par Defender pour le cloud
“logs:PutSubscriptionFilter"
"logs:DescribeSubscriptionFilters"
"logs:DescribeLogGroups" autp "logs:PutRetentionPolicy"

Autorisations pour utiliser la file d’attente SQS créée par Defender pour le cloud
"sqs:ReceiveMessage"
"sqs:DeleteMessage"
Defender pour les conteneurs DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis Autorisations pour accéder au flux de livraison Kinesis Data Firehose créé par Defender pour le cloud
"firehose:*"
Defender pour les conteneurs DefenderForCloud-Containers-K8s-kinesis-to-s3 Autorisations pour accéder au compartiment S3 créé par Defender pour le cloud
"s3:GetObject"
"s3:GetBucketLocation"
"s3:AbortMultipartUpload"
"s3:GetBucketLocation"
"s3:GetObject"
"s3:ListBucket"
"s3:ListBucketMultipartUploads"
"s3:PutObject"
Defender pour les conteneurs

Defender CSPM
MDCContainersAgentlessDiscoveryK8sRole Autorisations pour collecter les données dans les clusters EKS. Mise à jour des clusters EKS pour prendre en charge la restriction IP et créer iamidentitymapping pour les clusters EKS
“eks:DescribeCluster”
“eks:UpdateClusterConfig*”
Defender pour les conteneurs

Defender CSPM
MDCContainersImageAssessmentRole Autorisations pour analyser les images d’ECR et ECR Public.
AmazonEC2ContainerRegistryReadOnly
AmazonElasticContainerRegistryPublicReadOnly
AmazonEC2ContainerRegistryPowerUser
AmazonElasticContainerRegistryPublicPowerUser
Defender pour les serveurs DefenderForCloud-ArcAutoProvisioning Autorisations pour installer Azure Arc sur toutes les instances EC2 avec SSM
"ssm:CancelCommand"
"ssm:DescribeInstanceInformation"
"ssm:GetCommandInvocation"
"ssm:UpdateServiceSetting"
"ssm:GetServiceSetting"
"ssm:GetAutomationExecution"
"ec2:DescribeIamInstanceProfileAssociations"
"ec2:DisassociateIamInstanceProfile"
"ec2:DescribeInstances"
"ssm:StartAutomationExecution"
"iam:GetInstanceProfile"
"iam:ListInstanceProfilesForRole"
"ssm:GetAutomationExecution"
"ec2:DescribeIamInstanceProfileAssociations"
"ec2:DisassociateIamInstanceProfile"
"ec2:DescribeInstances"
"ssm:StartAutomationExecution"
"iam:GetInstanceProfile"
"iam:ListInstanceProfilesForRole"
Defender CSPM DefenderForCloud-DataSecurityPostureDB Autorisation pour découvrir les instances RDS dans un compte AWS, créer un instantané d’instance RDS,
- Lister tous les clusters/bases de données RDS
- Lister tous les instantanés de base de données/cluster
- Copier tous les instantanés de base de données/cluster
- Supprimer/mettre à jour l’instantané de base de données/cluster avec le préfixe defenderfordatabases
- Lister toutes les clés KMS
- Utiliser toutes les clés KMS uniquement pour RDS sur le compte source
- Lister les clés KMS avec le préfixe d’étiquette DefenderForDatabases
- Créer un alias pour les clés KMS

Autorisations requises pour découvrir les instances RDS
"rds:DescribeDBInstances"
"rds:DescribeDBClusters"
"rds:DescribeDBClusterSnapshots"
"rds:DescribeDBSnapshots"
"rds:CopyDBSnapshot"
"rds:CopyDBClusterSnapshot"
"rds:DeleteDBSnapshot"
"rds:DeleteDBClusterSnapshot"
"rds:ModifyDBSnapshotAttribute"
"rds:ModifyDBClusterSnapshotAttribute" "rds:DescribeDBClusterParameters"
"rds:DescribeDBParameters"
"rds:DescribeOptionGroups"
"kms:CreateGrant"
"kms:ListAliases"
"kms:CreateKey"
"kms:TagResource"
"kms:ListGrants"
"kms:DescribeKey"
"kms:PutKeyPolicy"
"kms:Encrypt"
"kms:CreateGrant"
"kms:EnableKey"
"kms:CancelKeyDeletion"
"kms:DisableKey"
"kms:ScheduleKeyDeletion"
"kms:UpdateAlias"
"kms:UpdateKeyDescription"

Autorisations sur GCP

Lorsque vous intégrez un connecteur Google Cloud Projects (GCP), Defender pour le cloud crée des rôles et attribue des autorisations sur votre projet GCP. Le tableau suivant présente les rôles et les autorisations attribués par chaque plan sur votre projet GCP.

Plan Defender pour le cloud Rôle créé Autorisation attribuée sur le compte AWS
Defender CSPM MDCCspmCustomRole Pour découvrir les ressources GCP
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy resourcemanager.folders.get
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.enable
iam.roles.create
iam.roles.list
iam.serviceAccounts.actAs
compute.projects.get
compute.projects.setCommonInstanceMetadata"
Defender pour les serveurs microsoft-defender-for-servers
azure-arc-for-servers-onboard
Accès en lecture seule pour obtenir et lister le moteur de calcul
resources roles/compute.viewer
roles/iam.serviceAccountTokenCreator
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentReportViewer
Defender pour base de données defender-for-databases-arc-ap Autorisations pour l’approvisionnement automatique ARC de Defender pour bases de données
roles/compute.viewer
roles/iam.workloadIdentityUser
roles/iam.serviceAccountTokenCreator
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentReportViewer
Defender CSPM

Defender pour le stockage
data-security-posture-storage Autorisation pour le scanneur Defender pour le cloud de découvrir les compartiments de stockage GCP, pour accéder aux données dans les compartiments de stockage GCP
storage.objects.list
storage.objects.get
storage.buckets.get
Defender CSPM

Defender pour le stockage
data-security-posture-storage Autorisation pour le scanneur Defender pour le cloud de découvrir les compartiments de stockage GCP, pour accéder aux données dans les compartiments de stockage GCP
storage.objects.list
storage.objects.get
storage.buckets.get
Defender CSPM microsoft-defender-ciem Autorisations pour obtenir des détails sur la ressource de l’organisation.
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy
Defender CSPM

Defender pour les serveurs
MDCAgentlessScanningRole Autorisations pour l’analyse de disque sans agent :
compute.disks.createSnapshot
compute.instances.get
Defender CSPM

Defender pour les serveurs
cloudkms.cryptoKeyEncrypterDecrypter Des autorisations pour un rôle GCP KMS existant sont accordées pour prendre en charge l’analyse des disques chiffrés avec CMEK
Defender CSPM

Defender pour les conteneurs
mdc-containers-artifact-assess Autorisation pour analyser les images de GAR et GCR.
Roles/artifactregistry.reader
Roles/storage.objectViewer
Defender pour les conteneurs mdc-containers-k8s-operator Autorisations pour collecter les données dans les clusters GKE. Mettre à jour les clusters GKE pour prendre en charge la restriction IP.
Roles/container.viewer
MDCGkeClusterWriteRole container.clusters.update*
Defender pour les conteneurs microsoft-defender-containers Autorisations pour créer et gérer un récepteur de journaux pour acheminer les journaux vers une rubrique Pub/Sub cloud.
logging.sinks.list
logging.sinks.get
logging.sinks.create
logging.sinks.update
logging.sinks.delete
resourcemanager.projects.getIamPolicy
resourcemanager.organizations.getIamPolicy
iam.serviceAccounts.get
iam.workloadIdentityPoolProviders.get
Defender pour les conteneurs ms-defender-containers-stream Autorisations pour autoriser la journalisation à envoyer des journaux à pub sub :
pubsub.subscriptions.consume
pubsub.subscriptions.get

Étapes suivantes

Cet article vous a expliqué de quelle manière Defender pour le cloud utilise RBAC Azure pour attribuer des autorisations aux utilisateurs et a identifié les actions autorisées pour chaque rôle. Maintenant que vous êtes familiarisé avec les affectations de rôles nécessaires pour surveiller l’état de sécurité de votre abonnement, modifier les stratégies de sécurité et appliquer les recommandations, découvrez comment :