Peran dan izin pengguna
penggunaan Microsoft Defender untuk CloudKontrol akses berbasis peran Azure (Azure RBAC) untuk menyediakan peran bawaan. Anda dapat menetapkan peran ini kepada pengguna, grup, dan layanan di Azure untuk memberi pengguna akses ke sumber daya sesuai dengan akses yang ditentukan dalam peran.
Defender for Cloud menilai konfigurasi sumber daya Anda untuk mengidentifikasi masalah keamanan dan kerentanan. Dalam Defender untuk Cloud, Anda hanya melihat informasi yang terkait dengan sumber daya saat Anda diberi salah satu peran ini untuk langganan atau untuk grup sumber daya tempat sumber daya berada: Pemilik, Kontributor, atau Pembaca.
Selain peran bawaan, ada dua peran khusus untuk Defender untuk Cloud:
- Pembaca Keamanan: Pengguna milik peran ini memiliki akses baca-saja ke Defender untuk Cloud. Pengguna dapat melihat rekomendasi, pemberitahuan, kebijakan keamanan, dan status keamanan, tetapi tidak dapat membuat perubahan.
- Admin Keamanan: Pengguna yang termasuk dalam peran ini memiliki akses yang sama dengan Pembaca Keamanan dan juga dapat memperbarui kebijakan keamanan, serta menutup pemberitahuan dan rekomendasi.
Kami menyarankan agar Anda menetapkan peran yang paling tidak permisif yang diperlukan pengguna untuk menyelesaikan tugas mereka. Contohnya, tetapkan peran Pembaca kepada pengguna yang hanya perlu menampilkan informasi tentang kesehatan keamanan sumber daya tanpa mengambil tindakan, seperti menerapkan kebijakan rekomendasi atau pengeditan.
Peran dan tindakan yang diperbolehkan
Tabel berikut menampilkan peran dan tindakan yang diizinkan di Defender untuk Cloud.
| Perbuatan | Pembaca Keamanan / Pembaca |
Admin Keamanan | Kontributor / Pemilik | Kontributor | Pemilik |
|---|---|---|---|---|---|
| (Tingkat grup sumber daya) | (Tingkat Langganan) | (Tingkat Langganan) | |||
| Menambahkan/menetapkan inisiatif (termasuk standar kepatuhan terhadap peraturan) | - | ✔ | - | - | ✔ |
| Mengedit kebijakan keamanan | - | ✔ | - | - | ✔ |
| Aktifkan / nonaktifkan paket Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Mematikan pemberitahuan | - | ✔ | - | ✔ | ✔ |
| Menerapkan rekomendasi keamanan untuk sumber daya (dan gunakan Perbaiki) |
- | - | ✔ | ✔ | ✔ |
| Melihat pemberitahuan dan rekomendasi | ✔ | ✔ | ✔ | ✔ | ✔ |
| Mengecualikan rekomendasi keamanan | - | ✔ | - | - | ✔ |
| Mengonfigurasi pemberitahuan email | - | ✔ | ✔ | ✔ | ✔ |
Catatan
Meskipun tiga peran yang disebutkan cukup untuk mengaktifkan dan menonaktifkan rencana Defender, untuk mengaktifkan semua kemampuan paket yang diperlukan peran Pemilik.
Peran spesifik yang diperlukan untuk menyebarkan komponen pemantauan tergantung pada ekstensi yang Anda sebarkan. Pelajari selengkapnya tentang komponen pemantauan.
Peran yang digunakan untuk memprovisikan agen dan ekstensi secara otomatis
Untuk memungkinkan peran Admin Keamanan memprovisikan agen dan ekstensi yang digunakan dalam paket Defender untuk Cloud secara otomatis, Defender untuk Cloud menggunakan remediasi kebijakan dengan cara yang sama dengan Azure Policy. Untuk menggunakan remediasi, Defender untuk Cloud perlu membuat perwakilan layanan, juga disebut identitas terkelola yang menetapkan peran di tingkat langganan. Misalnya, perwakilan layanan untuk paket Defender for Containers adalah:
| Perwakilan Layanan | Peran |
|---|---|
| Defender untuk Kontainer yang menyediakan Profil Keamanan AKS | • Kontributor Ekstensi Kubernetes •Kontributor • Kontributor Azure Kubernetes Service • Kontributor Analitik Log |
| Defender untuk Kontainer yang menyediakan Kubernetes dengan dukungan Arc | • Kontributor Azure Kubernetes Service • Kontributor Ekstensi Kubernetes •Kontributor • Kontributor Analitik Log |
| Defender untuk Kontainer yang menyediakan Azure Policy untuk Kubernetes | • Kontributor Ekstensi Kubernetes •Kontributor • Kontributor Azure Kubernetes Service |
| Ekstensi Kebijakan provisi Defender untuk Kontainer untuk Kubernetes dengan dukungan Arc | • Kontributor Azure Kubernetes Service • Kontributor Ekstensi Kubernetes •Kontributor |
Izin di AWS
Saat Anda melakukan onboarding konektor Amazon Web Services (AWS), Defender untuk Cloud akan membuat peran dan menetapkan izin di akun AWS Anda. Tabel berikut menunjukkan peran dan izin yang ditetapkan oleh setiap paket di akun AWS Anda.
| paket Defender untuk Cloud | Peran dibuat | Izin yang ditetapkan pada akun AWS |
|---|---|---|
| Defender CSPM | CspmMonitorAws | Untuk menemukan izin sumber daya AWS, baca semua sumber daya kecuali: "consolidatedbilling:" "freetier:" "fakjar:" "pembayaran:" "penagihan:" "pajak:" "cur:*" |
| Defender CSPM Defender untuk Server |
DefenderForCloud-AgentlessScanner | Untuk membuat dan membersihkan rekam jepret disk (dicakup oleh tag) Izin "CreatedBy": "Microsoft Defender untuk Cloud": "ec2:DeleteSnapshot" "ec2:ModifikasiSnapshotAttribute" "ec2:DeleteTags" "ec2:CreateTags" "ec2:CreateSnapshots" "ec2:CopySnapshot" "ec2:CreateSnapshot" "ec2:DescribeSnapshots" "ec2:DescribeInstanceStatus" Izin untuk EncryptionKeyCreation "kms:CreateKey" "kms:ListKeys" Izin untuk EncryptionKeyManagement "kms:TagResource" "kms:GetKeyRotationStatus" "kms:PutKeyPolicy" "kms:GetKeyPolicy" "kms:CreateAlias" "kms:TagResource" "kms:ListResourceTags" "kms:GenerateDataKeyWithoutPlaintext" "kms:DescribeKey" "kms:RetireGrant" "kms:CreateGrant" "kms:ReEncryptFrom" |
| Defender CSPM Defender untuk Penyimpanan |
SensitiveDataDiscovery | Izin untuk menemukan wadah S3 di akun AWS, izin untuk pemindai Defender untuk Cloud untuk mengakses data di wadah S3. Baca S3 saja; KMS mendekripsi "kms:Decrypt" |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Izin untuk Ciem Discovery "sts:AssumeRole" "sts:AssumeRoleWithSAML" "sts:GetAccessKeyInfo" "sts:GetCallerIdentity" "sts:GetFederationToken" "sts:GetServiceBearerToken" "sts:GetSessionToken" "sts:TagSession" |
| Defender untuk Server | DefenderForCloud-DefenderForServers | Izin untuk mengonfigurasi Akses Jaringan JIT: "ec2:RevokeSecurityGroupIngress" "ec2:AuthorizeSecurityGroupIngress" "ec2:DescribeInstances" "ec2:DescribeSecurityGroupRules" "ec2:DescribeVpcs" "ec2:CreateSecurityGroup" "ec2:DeleteSecurityGroup" "ec2:ModifyNetworkInterfaceAttribute" "ec2:ModifySecurityGroupRules" "ec2:ModifyInstanceAttribute" "ec2:DescribeSubnets" "ec2:DescribeSecurityGroups" |
| Defender untuk Kontainers | DefenderForCloud-Containers-K8s | Izin untuk Mencantumkan kluster EKS dan Mengumpulkan Data dari kluster EKS. "eks:UpdateClusterConfig" "eks:DescribeCluster" |
| Defender untuk Kontainers | DefenderForCloud-DataCollection | Izin ke Grup Log CloudWatch yang dibuat oleh Defender untuk Cloud "logs:PutSubscriptionFilter" "logs:DescribeSubscriptionFilters" "logs:DescribeLogGroups" autp "logs:PutRetentionPolicy" Izin untuk menggunakan antrean SQS yang dibuat oleh Defender untuk Cloud "sqs:ReceiveMessage" "sqs:DeleteMessage" |
| Defender untuk Kontainers | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Izin untuk mengakses aliran pengiriman Kinesis Data Firehose yang dibuat oleh Defender untuk Cloud "firehose:*" |
| Defender untuk Kontainers | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Izin untuk mengakses wadah S3 yang dibuat oleh Defender untuk Cloud "s3:GetObject" "s3:GetBucketLocation" "s3:AbortMultipartUpload" "s3:GetBucketLocation" "s3:GetObject" "s3:ListBucket" "s3:ListBucketMultipartUploads" "s3:PutObject" |
| Defender untuk Kontainer Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | Izin untuk Mengumpulkan Data dari kluster EKS. Memperbarui kluster EKS untuk mendukung pembatasan IP dan membuat iamidentitymapping untuk kluster EKS "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
| Defender untuk Kontainer Defender CSPM |
MDCContainersImageAssessmentRole | Izin untuk Memindai gambar dari ECR dan ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender untuk Server | DefenderForCloud-ArcAutoProvisioning | Izin untuk menginstal Azure Arc pada semua instans EC2 menggunakan SSM "ssm:CancelCommand" "ssm:DescribeInstanceInformation" "ssm:GetCommandInvocation" "ssm:UpdateServiceSetting" "ssm:GetServiceSetting" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Izin untuk Menemukan instans RDS di akun AWS, membuat rekam jepret instans RDS, - Mencantumkan semua DB/kluster RDS - Mencantumkan semua rekam jepret DB/Kluster - Salin semua rekam jepret DB/kluster - Menghapus/memperbarui rekam jepret DB/kluster dengan awalan defenderfordatabases - Mencantumkan semua kunci KMS - Gunakan semua kunci KMS hanya untuk RDS pada akun sumber - Mencantumkan kunci KMS dengan awalan tag DefenderForDatabases - Membuat alias untuk kunci KMS Izin yang diperlukan untuk menemukan instans RDS "rds:DescribeDBInstances" "rds:DescribeDBClusters" "rds:DescribeDBClusterSnapshots" "rds:DescribeDBSnapshots" "rds:CopyDBSnapshot" "rds:CopyDBClusterSnapshot" "rds:DeleteDBSnapshot" "rds:DeleteDBClusterSnapshot" "rds:ModifikasiDBSnapshotAttribute" "rds:ModifyDBClusterSnapshotAttribute" "rds:DescribeDBClusterParameters" "rds:DescribeDBParameters" "rds:DescribeOptionGroups" "kms:CreateGrant" "kms:ListAliases" "kms:CreateKey" "kms:TagResource" "kms:ListGrants" "kms:DescribeKey" "kms:PutKeyPolicy" "kms:Encrypt" "kms:CreateGrant" "kms:EnableKey" "kms:CancelKeyDeletion" "kms:DisableKey" "kms:ScheduleKeyDeletion" "kms:UpdateAlias" "kms:UpdateKeyDescription" |
Izin pada GCP
Saat Anda melakukan onboarding konektor Google Cloud Projects (GCP), Defender untuk Cloud akan membuat peran dan menetapkan izin pada proyek GCP Anda. Tabel berikut menunjukkan peran dan izin yang ditetapkan oleh setiap paket pada proyek GCP Anda.
| paket Defender untuk Cloud | Peran dibuat | Izin yang ditetapkan pada akun AWS |
|---|---|---|
| Defender CSPM | MDCspmCustomRole | Untuk menemukan sumber daya GCP resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy resourcemanager.folders.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable iam.roles.create iam.roles.list iam.serviceAccounts.actAs compute.projects.get compute.projects.setCommonInstanceMetadata" |
| Defender untuk Server | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Akses baca-saja untuk mendapatkan dan mencantumkan Mesin Komputasi peran sumber daya/compute.viewer roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| Defender untuk Database | defender-for-databases-arc-ap | Izin ke Defender untuk provisi otomatis ARC database roles/compute.viewer roles/iam.workloadIdentityUser roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Defender untuk Penyimpanan |
data-security-posture-storage | Izin bagi pemindai Defender untuk Cloud untuk menemukan wadah penyimpanan GCP, untuk mengakses data di wadah penyimpanan GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM Defender untuk Penyimpanan |
data-security-posture-storage | Izin bagi pemindai Defender untuk Cloud untuk menemukan wadah penyimpanan GCP, untuk mengakses data di wadah penyimpanan GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Izin untuk mendapatkan detail tentang sumber daya organisasi. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Defender untuk Server |
MDCAgentlessScanningRole | Izin untuk pemindaian disk tanpa agen: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Defender untuk server |
cloudkms.cryptoKeyEncrypterDecrypter | Izin ke peran GCP KMS yang ada diberikan untuk mendukung pemindaian disk yang dienkripsi dengan CMEK |
| Defender CSPM Defender untuk Kontainers |
mdc-containers-artifact-assess | Izin untuk Memindai gambar dari GAR dan GCR. Roles/artifactregistry.reader Roles/storage.objectViewer |
| Defender untuk Kontainers | mdc-containers-k8s-operator | Izin untuk Mengumpulkan Data dari kluster GKE. Perbarui kluster GKE untuk mendukung pembatasan IP. Roles/container.viewer MDCGkeClusterWriteRole container.clusters.update* |
| Defender untuk Kontainers | microsoft-defender-containers | Izin untuk membuat dan mengelola sink log untuk merutekan log ke topik Cloud Pub/Sub. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender untuk Kontainers | ms-defender-containers-stream | Izin untuk mengizinkan pengelogan mengirim log ke sub pub: pubsub.subscriptions.consume pubsub.subscriptions.get |
Langkah berikutnya
Artikel ini menjelaskan bagaimana Defender untuk Cloud menggunakan Azure RBAC untuk menetapkan izin kepada pengguna dan mengidentifikasi tindakan yang diizinkan untuk setiap peran. Sekarang, setelah Anda familier dengan penetapan peran yang diperlukan untuk memantau status keamanan langganan Anda, mengedit kebijakan keamanan, dan menerapkan rekomendasi, pelajari cara:
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk