Peran dan izin pengguna

  • Artikel

penggunaan Microsoft Defender untuk CloudKontrol akses berbasis peran Azure (Azure RBAC) untuk menyediakan peran bawaan. Anda dapat menetapkan peran ini kepada pengguna, grup, dan layanan di Azure untuk memberi pengguna akses ke sumber daya sesuai dengan akses yang ditentukan dalam peran.

Defender for Cloud menilai konfigurasi sumber daya Anda untuk mengidentifikasi masalah keamanan dan kerentanan. Dalam Defender untuk Cloud, Anda hanya melihat informasi yang terkait dengan sumber daya saat Anda diberi salah satu peran ini untuk langganan atau untuk grup sumber daya tempat sumber daya berada: Pemilik, Kontributor, atau Pembaca.

Selain peran bawaan, ada dua peran khusus untuk Defender untuk Cloud:

  • Pembaca Keamanan: Pengguna milik peran ini memiliki akses baca-saja ke Defender untuk Cloud. Pengguna dapat melihat rekomendasi, pemberitahuan, kebijakan keamanan, dan status keamanan, tetapi tidak dapat membuat perubahan.
  • Admin Keamanan: Pengguna yang termasuk dalam peran ini memiliki akses yang sama dengan Pembaca Keamanan dan juga dapat memperbarui kebijakan keamanan, serta menutup pemberitahuan dan rekomendasi.

Kami menyarankan agar Anda menetapkan peran yang paling tidak permisif yang diperlukan pengguna untuk menyelesaikan tugas mereka. Contohnya, tetapkan peran Pembaca kepada pengguna yang hanya perlu menampilkan informasi tentang kesehatan keamanan sumber daya tanpa mengambil tindakan, seperti menerapkan kebijakan rekomendasi atau pengeditan.

Peran dan tindakan yang diperbolehkan

Tabel berikut menampilkan peran dan tindakan yang diizinkan di Defender untuk Cloud.

Perbuatan Pembaca Keamanan /
Pembaca		 Admin Keamanan Kontributor / Pemilik Kontributor Pemilik
(Tingkat grup sumber daya) (Tingkat Langganan) (Tingkat Langganan)
Menambahkan/menetapkan inisiatif (termasuk) standar kepatuhan terhadap peraturan) - - -
Mengedit kebijakan keamanan - - -
Aktifkan / nonaktifkan paket Microsoft Defender - -
Mematikan pemberitahuan - -
Menerapkan rekomendasi keamanan untuk sumber daya
(dan gunakan Perbaiki)		 - -
Melihat pemberitahuan dan rekomendasi
Mengecualikan rekomendasi keamanan - - -

Peran spesifik yang diperlukan untuk menyebarkan komponen pemantauan tergantung pada ekstensi yang Anda sebarkan. Pelajari selengkapnya tentang komponen pemantauan.

Peran yang digunakan untuk memprovisikan agen dan ekstensi secara otomatis

Untuk memungkinkan peran Admin Keamanan memprovisikan agen dan ekstensi yang digunakan dalam paket Defender untuk Cloud secara otomatis, Defender untuk Cloud menggunakan remediasi kebijakan dengan cara yang sama dengan Azure Policy. Untuk menggunakan remediasi, Defender untuk Cloud perlu membuat perwakilan layanan, juga disebut identitas terkelola yang menetapkan peran di tingkat langganan. Misalnya, perwakilan layanan untuk paket Defender for Containers adalah:

Prinsip Layanan Peran
Defender untuk Kontainer yang menyediakan Profil Keamanan AKS • Kontributor Ekstensi Kubernetes
•Kontributor
• Kontributor Azure Kubernetes Service
• Kontributor Analitik Log
Defender untuk Kontainer yang menyediakan Kubernetes dengan dukungan Arc • Kontributor Azure Kubernetes Service
• Kontributor Ekstensi Kubernetes
•Kontributor
• Kontributor Analitik Log
Defender untuk Kontainer yang menyediakan Azure Policy untuk Kubernetes • Kontributor Ekstensi Kubernetes
•Kontributor
• Kontributor Azure Kubernetes Service
Ekstensi Kebijakan provisi Defender untuk Kontainer untuk Kubernetes dengan dukungan Arc • Kontributor Azure Kubernetes Service
• Kontributor Ekstensi Kubernetes
•Kontributor

Langkah berikutnya

Artikel ini menjelaskan bagaimana Defender untuk Cloud menggunakan Azure RBAC untuk menetapkan izin kepada pengguna dan mengidentifikasi tindakan yang diizinkan untuk setiap peran. Sekarang, setelah Anda familier dengan penetapan peran yang diperlukan untuk memantau status keamanan langganan Anda, mengedit kebijakan keamanan, dan menerapkan rekomendasi, pelajari cara: