Autorizzazioni per installare i componenti di Defender per contenitori in AWS e GCP

Questo articolo elenca i ruoli e le autorizzazioni necessari per installare i componenti di Defender per contenitori negli ambienti GKE (Elastic Kubernetes Service) e GCP Google Kubernetes Engine (GKE).

Autorizzazioni necessarie

Funzionalità di Defender per contenitore	Componente	Ruolo obbligatorio
Protezione del runtime GKE Indurimento del carico di lavoro GKE Valutazione della vulnerabilità di runtime (facoltativo)	Provisioning di GKE Arc (per l'agente di Defender e l'agente delle politiche di Azure)	Ruolo di Azure Arc: Operatore dell'agente Di Defender Kubernetes Ruolo predefinito GCP: amministratore del motore Kubernetes OR Visualizzatore motore Kubernetes (se sono abilitate solo la protezione dalle minacce senza agente e/o l'estensione di accesso all'API Kubernetes)
Protezione del runtime di EKS Indurimento del carico di lavoro GKE Valutazione della vulnerabilità di runtime (facoltativo)	Provisioning di Azure Arc (per l'agente di Defender e l'agente dei criteri di Azure)	Ruolo di Azure Arc: Operatore dell'agente Di Defender Kubernetes Ruolo AWS: AzureDefenderKubernetesRole
Rafforzamento del piano di controllo GKE - Protezione dalle minacce senza agente	Provisioning di GKE AuditLogs	Vedere Autorizzazioni di protezione dalle minacce senza agente GCP
Protezione avanzata del piano di controllo del servizio Azure Kubernetes - Protezione dalle minacce senza agente	Provisioning di AuditLogs di AWS	Vedere Autorizzazioni di protezione dalle minacce senza agente di AWS

Ruolo di provisioning di Azure Arc per EKS e GKE

Il ruolo predefinito di Azure Arc Defender Kubernetes Agent Operator per fornire l'agente Defender e l'agente delle policy di Azure dispone delle autorizzazioni seguenti:

• Microsoft.Authorization/*/read
• Microsoft.Insights/alertRules/*
• Microsoft.Resources/deployments/*
• Microsoft.Resources/subscriptions/resourceGroups/read
• Microsoft.Resources/subscriptions/resourceGroups/write
• Microsoft.Resources/subscriptions/operationresults/read
• Microsoft.Resources/subscriptions/read
• Microsoft.KubernetesConfiguration/extensions/write
• Microsoft.KubernetesConfiguration/extensions/read
• Microsoft.KubernetesConfiguration/extensions/delete
• Microsoft.KubernetesConfiguration/extensions/operations/read
• Microsoft.Kubernetes/connectedClusters/Write
• Microsoft.Kubernetes/connectedClusters/read
• Microsoft.OperationalInsights/workspaces/write
• Microsoft.OperationalInsights/workspaces/read
• Microsoft.OperationalInsights/workspaces/listKeys/action
• Microsoft.OperationalInsights/spazi-di-lavoro/chiavi-condivise/azione
• Microsoft.Kubernetes/register/action
• Microsoft.KubernetesConfiguration/register/action

Autorizzazioni di protezione dalle minacce senza agente DI AWS

• AzureDefenderKubernetesRole (nome del ruolo predefinito: MDCContainersK8sRole):

• sts:AssumeRole

• sts:AssumeRoleWithWebIdentity

• logs:PutSubscriptionFilter

• logs:DescriviFiltriSottoscrizione

• logs:DescribeLogGroups

• logs:PutRetentionPolicy

• firehose:*

• iam:PassRole

• eks:UpdateClusterConfig

• eks:DescribeCluster

• eks:CreateAccessEntry

• eks:ListAccessEntries

• eks:AssociateAccessPolicy

• eks:ListAssociatedAccessPolicies

• sqs:*

• s3:*

• AzureDefenderKubernetesScubaReaderRole (nome del ruolo predefinito: MDCContainersK8sDataCollectionRole):

  • sts:AssumeRole
  • sts:AssumeRoleWithWebIdentity
  • sqs:ReceiveMessage
  • sqs:DeleteMessage
  • s3:GetObject
  • s3:GetBucketLocation

• AzureDefenderCloudWatchToKinesisRole (nome del ruolo predefinito: MDCContainersK8sCloudWatchToKinesisRole):

  • sts:AssumeRole
  • firehose:*

• AzureDefenderKinesisToS3Role (nome del ruolo predefinito: MDCContainersK8sKinesisToS3Role):

• MDCContainersAgentlessDiscoveryK8sRole

  • sts:AssumeRoleWithWebIdentity
  • eks:UpdateClusterConfig
  • eks:DescribeCluster
  • eks:CreateAccessEntry
  • eks:ListAccessEntries
  • eks:AssociateAccessPolicy
  • eks:ListAssociatedAccessPolicies

• MDCContainersImageAssessmentRole

  • sts:AssumeRoleWithWebIdentity
  • Le autorizzazioni di questi ruoli che sono stati assunti: AmazonEC2ContainerRegistryPowerUser & AmazonElasticContainerRegistryPublicPowerUser

Autorizzazioni di protezione dalle minacce senza agente GCP

• MicrosoftDefenderRuoloRaccoltaDati

  • pubsub.subscriptions.consume
  • pubsub.subscriptions.get

• MicrosoftDefenderContainersRole

  • logging.sinks.list
  • logging.sinks.get
  • logging.sinks.create
  • logging.sinks.update
  • logging.sinks.delete
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.organizations.getIamPolicy
  • iam.serviceAccounts.get
  • iam.workloadIdentityPoolProviders.get (tutti i log che vanno a Pub/Sub)

• MDCCustomRole

  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.enable
  • iam.roles.create
  • iam.roles.list
  • compute.projects.get
  • compute.projects.setCommonInstanceMetadata

• MDCCspmCustomRole

  • resourcemanager.folders.getIamPolicy
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.organizations.getIamPolicy
  • storage.buckets.getIamPolicy

• MDCGkeContainerInventoryCollectionRole

  • container.nodes.proxy
  • container.secrets.list

Autorizzazioni concesse negli ambienti cloud

L'onboarding di ambienti cloud AWS e GCP in Defender for Cloud tramite il portale di Azure crea un connettore per l'ambiente cloud desiderato e genera uno script da eseguire nell'ambiente cloud per creare i ruoli e le autorizzazioni necessari. Lo script viene creato in base alle impostazioni scelte durante il processo di onboarding.

Nell'ambito del processo di onboarding, è possibile scegliere tra due tipi di autorizzazione: Accesso predefinito e Accesso con privilegi minimi:

• L'accesso predefinito supporta tutte le estensioni correnti e future dei piani di Defender selezionati.

• L'opzione Accesso con privilegi minimi concede solo le autorizzazioni necessarie per supportare le estensioni correnti.

Le tabelle seguenti mostrano le autorizzazioni concesse a determinati ruoli di Defender per contenitori, a seconda del tipo di autorizzazione scelto.

Accesso predefinito di AWS

Nome ruolo	Criteri/autorizzazioni associati	Capacità
MDCContainersImageAssessmentRole	AmazonEC2ContainerRegistryPowerUser Elenco autorizzazioni AWS AmazonElasticContainerRegistryPublicPowerUser Elenco autorizzazioni AWS	Valutazione della vulnerabilità del contenitore senza agente.
MDCContainersAgentlessDiscoveryK8sRole	eks:DescribeCluster eks:UpdateClusterConfig eks:CreateAccessEntry eks:ListAccessEntries eks:AssociateAccessPolicy eks:ListAssociatedAccessPolicies	Scoperta senza agente di Kubernetes. Aggiornamento dei cluster del servizio Azure Kubernetes per supportare la restrizione IP

Accesso con privilegi minimi di AWS

Nome ruolo	Criteri/autorizzazioni associati	Funzionalità
MDCContainersImageAssessmentRole	AmazonEC2ContainerRegistryReadOnly Elenco delle autorizzazioni AWS AmazonElasticContainerRegistryPublicReadOnly Elenco delle autorizzazioni AWS	Valutazione della vulnerabilità del contenitore senza agente.
MDCContainersAgentlessDiscoveryK8sRole	eks:DescribeCluster eks:UpdateClusterConfig	Scoperta senza agente di Kubernetes. Aggiornamento dei cluster del servizio Azure Kubernetes per supportare la restrizione IP

Accesso predefinito GCP

Nome dell'account di servizio	Ruoli/autorizzazioni associati	Capacità
mdc-containers-artifact-assess	Ruoli/storage.objectElenca autorizzazioni GCP utente roles/artifactregistry.writer Elenco delle autorizzazioni GCP	Valutazione della vulnerabilità del contenitore senza agente.
mdc-containers-k8s-operator	Elenco delle autorizzazioni Roles/container.viewer GCP Ruolo personalizzato MDCGkeClusterWriteRole [Ruolo personalizzato] con autorizzazione container.clusters.update	Rilevamento senza agenti di Kubernetes Aggiornamento dei cluster GKE per supportare la restrizione IP

Accesso GCP con privilegi minimi

Nome account del servizio	Ruoli/autorizzazioni associati	Funzionalità correnti
mdc-containers-artifact-assess	Elenco di autorizzazioni GCP roles/artifactregistry.reader Roles/storage.objectViewer elenco di autorizzazioni GCP	Valutazione della vulnerabilità del contenitore senza agente.
mdc-containers-k8s-operator	Elenco delle autorizzazioni Roles/container.viewer GCP Ruolo personalizzato MDCGkeClusterWriteRole con autorizzazione container.clusters.update	Scoperta senza agente di Kubernetes. Aggiornamento dei cluster GKE per supportare la restrizione IP

Passaggi successivi

• Matrice di compatibilità dei contenitori in Defender per Cloud