Guida introduttiva: Connettere gli account AWS a Microsoft Defender for Cloud

I carichi di lavoro cloud si estendono in genere su più piattaforme cloud, quindi anche i servizi di sicurezza cloud devono adottare lo stesso approccio. Microsoft Defender for Cloud protegge i carichi di lavoro in Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), GitHub e Azure DevOps (ADO).

Per proteggere le risorse basate su AWS, è possibile connettere un account AWS con:

  • Connettore cloud nativo (scelta consigliata): fornisce una connessione senza agente all'account AWS che è possibile estendere con i piani di Defender for Cloud per proteggere le risorse AWS:

  • Connettore cloud classico : richiede la configurazione nell'account AWS per creare un utente che Defender for Cloud può usare per connettersi all'ambiente AWS. Se si dispone di connettori cloud classici, è consigliabile eliminare questi connettori e usare il connettore nativo per riconnettersi all'account. L'uso dei connettori classici e nativi può produrre raccomandazioni duplicate.

Per un elenco di riferimento di tutte le raccomandazioni che Defender for Cloud può fornire per le risorse AWS, vedere Raccomandazioni sulla sicurezza per le risorse AWS- una guida di riferimento.

Questo screenshot mostra gli account AWS visualizzati nel dashboard di panoramica di Defender for Cloud.

Quattro progetti AWS elencati nel dashboard di panoramica di Defender for Cloud

Per altre informazioni, guardare questo video da Defender for Cloud nella serie video Field:

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Il piano Defender per SQL viene fatturato allo stesso prezzo delle risorse di Azure.
Il piano Defender per contenitori è gratuito durante l'anteprima. Successivamente, verrà addebitato il costo di AWS allo stesso prezzo delle risorse di Azure.
Per ogni computer AWS connesso ad Azure, il piano defender per server viene fatturato allo stesso prezzo del piano Microsoft Defender per i server per i computer di Azure.
Altre informazioni sui prezzi e la fatturazione del piano defender
Autorizzazioni e ruoli obbligatori: Autorizzazione collaboratore per la sottoscrizione di Azure pertinente.
Amministratore dell'account AWS.
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Azure China 21Vianet)

Prerequisiti

Il connettore cloud nativo richiede:

  • Accesso a un account AWS.

  • Per abilitare il piano Defender per contenitori, è necessario:

    • Almeno un cluster Amazon EKS con l'autorizzazione per accedere al server API K8s del servizio Azure Kubernetes. Se è necessario creare un nuovo cluster del servizio Azure Kubernetes, seguire le istruzioni in Introduzione ad Amazon EKS - eksctl.
    • Capacità di risorsa per creare una nuova coda SQS, flusso di distribuzione del tubo di fuoco Di Fabrics e bucket S3 nell'area del cluster.
  • Per abilitare il piano Defender per SQL, è necessario:

    • Microsoft Defender per SQL abilitato nella sottoscrizione. Informazioni su come abilitare la protezione in tutti i database.

    • Un account AWS attivo, con istanze EC2 che eseguono SQL Server o RDS Custom per SQL Server.

    • Azure Arc per i server installati nelle istanze EC2/RdS Custom per SQL Server.

      • (Scelta consigliata) Usare il processo di provisioning automatico per installare Azure Arc in tutte le istanze EC2 esistenti e future.

        Il provisioning automatico viene gestito da AWS Systems Manager (SSM) usando l'agente SSM. Alcune immagini di Amazon Machine (AMI) hanno già preinstallato l'agente SSM. Se l'agente SSM è già preinstallato, le interfacce AMI sono elencate in AMI con l'agente SSM preinstallato. Se le istanze ec2 non hanno l'agente SSM, è necessario installarla usando una delle istruzioni pertinenti seguenti di Amazon:

      Nota

      Per abilitare il provisioning automatico di Azure Arc, è necessaria l'autorizzazione Proprietario per la sottoscrizione di Azure pertinente.

    • È necessario abilitare altre estensioni nei computer connessi ad Arc:

      • Microsoft Defender for Endpoint

      • Soluzione VA (TVM/Qualys)

      • Agente di Log Analytics (LA) in computer Arc o agente di Monitoraggio di Azure

        Assicurarsi che l'area di lavoro LA selezionata abbia installato la soluzione di sicurezza. L'agente LA e l'ama sono attualmente configurati a livello di sottoscrizione. Tutti gli account AWS e i progetti GCP nella stessa sottoscrizione erediteranno le impostazioni di sottoscrizione per l'agente LA e l'AMA.

      Altre informazioni sul monitoraggio dei componenti per Defender for Cloud.

  • Per abilitare il piano Defender per server, è necessario:

    • Microsoft Defender per i server abilitati nella sottoscrizione. Informazioni su come abilitare i piani in Abilitare le funzionalità di sicurezza avanzate.

    • Un account AWS attivo, con istanze EC2.

    • Azure Arc per i server installati nelle istanze ec2.

      Nota

      Per abilitare il provisioning automatico di Azure Arc, è necessaria un'autorizzazione Proprietario per la sottoscrizione di Azure pertinente.

    • È necessario abilitare altre estensioni nei computer connessi ad Arc:

      • Microsoft Defender for Endpoint

      • Soluzione VA (TVM/Qualys)

      • Agente di Log Analytics (LA) in computer Arc o agente di Monitoraggio di Azure

        Assicurarsi che l'area di lavoro LA selezionata abbia installato la soluzione di sicurezza. L'agente LA e l'ama sono attualmente configurati a livello di sottoscrizione. Tutti gli account AWS e i progetti GCP nella stessa sottoscrizione erediteranno le impostazioni di sottoscrizione per l'agente LA e l'AMA.

      Altre informazioni sul monitoraggio dei componenti per Defender for Cloud.

      Nota

      Defender per server assegna tag alle risorse AWS per gestire il processo di provisioning automatico. Questi tag devono essere assegnati correttamente alle risorse in modo che Defender for Cloud possa gestire le risorse: AccountId, Cloud, InstanceId, MDFCSecurityConnector

Connettere l'account AWS

Per connettere l'account AWS a Defender for Cloud con un connettore nativo:

  1. Se sono presenti connettori classici, rimuoverli.

    L'uso dei connettori classici e nativi può produrre raccomandazioni duplicate.

  2. Accedere al portale di Azure.

  3. Passare a Defender for CloudEnvironment settings (Impostazioni di Defender for Cloud> Environment).

  4. Selezionare Aggiungi ambiente>Amazon Web Services.

    Connessione di un account AWS a una sottoscrizione di Azure.

  5. Immettere i dettagli dell'account AWS, incluso il percorso in cui si archivierà la risorsa del connettore.

    Passaggio 1 dell'aggiunta guidata account AWS: immettere i dettagli dell'account.

    (Facoltativo) Selezionare Account di gestione per creare un connettore in un account di gestione. I connettori verranno creati per ogni account membro individuato nell'account di gestione fornito. Il provisioning automatico sarà abilitato per tutti gli account appena installati.

  6. Selezionare Avanti: selezionare piani.

    Nota

    Ogni piano ha i propri requisiti per le autorizzazioni e potrebbe comportare addebiti.

    La scheda Seleziona piani è la posizione in cui si sceglie quali funzionalità Defender for Cloud abilitare per questo account AWS.

    Importante

    Per presentare lo stato corrente delle raccomandazioni, il piano CSPM esegue una query sulle API delle risorse AWS più volte al giorno. Queste chiamate API di sola lettura non comportano addebiti, ma vengono registrati in CloudTrail se è stato abilitato un trail per gli eventi di lettura. Come illustrato nella documentazione di AWS, non sono previsti costi aggiuntivi per mantenere un percorso. Se si esportano i dati da AWS (ad esempio, in un siem esterno), questo volume di chiamate potrebbe aumentare anche i costi di inserimento. In questi casi, è consigliabile filtrare le chiamate di sola lettura dall'utente di Defender for Cloud o dall'ARN del ruolo: arn:aws:iam::[accountId]:role/CspmMonitorAws (si tratta del nome del ruolo predefinito, confermare il nome del ruolo configurato nell'account).

  7. Per impostazione predefinita, il piano Server è impostato su Attiva. Ciò è necessario per estendere la copertura di Defender per il server all'AWS EC2. Assicurarsi di aver soddisfatto i requisiti di rete per Azure Arc.

    • (Facoltativo) Selezionare Configura per modificare la configurazione in base alle esigenze.
  8. Per impostazione predefinita, il piano Contenitori è impostato su Attiva. È necessario disporre di Defender per i contenitori per proteggere i cluster AWS EKS. Assicurarsi di aver soddisfatto i requisiti di rete per il piano Defender for Containers.

    Nota

    Kubernetes abilitato per Azure Arc, l'estensione Defender Arc e l'estensione Criteri di Azure Arc devono essere installate. Usare i consigli di Defender for Cloud dedicati per distribuire le estensioni (e Arc, se necessario) come illustrato in Proteggere i cluster del servizio Elastic Kubernetes di Amazon.

    • (Facoltativo) Selezionare Configura per modificare la configurazione in base alle esigenze. Se si sceglie di disabilitare questa configurazione, la Threat detection (control plane) funzionalità verrà disabilitata. Altre informazioni sulla disponibilità delle funzionalità.
  9. Per impostazione predefinita, il piano Database è impostato su Attiva. Ciò è necessario per estendere Defender per la copertura di SQL al servizio AWS EC2 e RDS Personalizzato per SQL Server.

    • (Facoltativo) Selezionare Configura per modificare la configurazione in base alle esigenze. È consigliabile lasciarlo impostato sulla configurazione predefinita.
  10. Selezionare Avanti: Configurare l'accesso.

  11. Scaricare il modello CloudFormation.

  12. Usando il modello CloudFormation scaricato, creare lo stack in AWS come indicato sullo schermo. Se si esegue l'onboarding di un account di gestione, è necessario eseguire il modello CloudFormation sia come Stack che come StackSet. I connettori verranno creati per gli account membri fino a 24 ore dopo l'onboarding.

  13. Selezionare Avanti: rivedere e generare.

  14. Selezionare Crea.

Defender for Cloud inizierà immediatamente a analizzare le risorse AWS e verranno visualizzate raccomandazioni sulla sicurezza entro poche ore. Per un elenco di riferimenti di tutte le raccomandazioni di Defender for Cloud può fornire per le risorse AWS, vedere Raccomandazioni per la sicurezza per le risorse AWS- una guida di riferimento.

Processo di autenticazione AWS

L'autenticazione federata viene usata tra Microsoft Defender per Cloud e AWS. Tutte le risorse correlate all'autenticazione vengono create come parte della distribuzione del modello CloudFormation, tra cui:

  • Provider di identità (connessione OpenID)
  • Ruoli IAM (Identity and Access Management) con un'entità federata (connessa ai provider di identità).

L'architettura del processo di autenticazione tra cloud è la seguente:

diagramma che mostra l'architettura del processo di autenticazione tra cloud.

  1. Microsoft Defender per il servizio Cloud CSPM acquisisce un token di Azure AD con un tempo di validità di 1 ora firmato da Azure AD usando l'algoritmo RS256.

  2. Il token di Azure AD viene scambiato con le credenziali di vita brevi di AWS e il servizio CPSM di Defender for Cloud presuppone il ruolo IAM csPM (assunto con l'identità Web).

  3. Poiché il principio del ruolo è un'identità federata come definita in un criterio di relazione di trust, il provider di identità AWS convalida il token di Azure AD in Azure AD tramite un processo che include:

    • convalida del gruppo di destinatari
    • firma del token
    • identificazione personale del certificato
  4. Il ruolo Microsoft Defender per Cloud CSPM viene assunto solo dopo che sono state soddisfatte le condizioni di convalida definite nella relazione di trust. Le condizioni definite per il livello di ruolo vengono usate per la convalida in AWS e consentono solo l'accesso Microsoft Defender per l'applicazione Cloud CSPM (destinatari convalidati) al ruolo specifico (e non ad altri token Microsoft).

  5. Dopo aver convalidato il token di Azure AD dal provider di identità AWS, il servizio SERVIZIO di sicurezza di AWS scambia il token con credenziali a breve vita AWS che il servizio CSPM usa per analizzare l'account AWS.

Origine di distribuzione cloudFormation

Nell'ambito della connessione di un account AWS a Microsoft Defender per cloud, è necessario distribuire un modello CloudFormation nell'account AWS. Questo modello di CloudFormation crea tutte le risorse necessarie per Microsoft Defender per cloud per connettersi all'account AWS.

Il modello CloudFormation deve essere distribuito usando Stack (o StackSet se si dispone di un account di gestione).

Quando si distribuisce il modello CloudFormation, la creazione guidata stack offre le opzioni seguenti:

Screenshot che mostra la creazione guidata dello stack.

  1. URL di Amazon S3 : caricare il modello CloudFormation scaricato nel proprio bucket S3 con le proprie configurazioni di sicurezza. Immettere l'URL nel bucket S3 nella procedura guidata per la distribuzione aws.

  2. Caricare un file di modello : AWS creerà automaticamente un bucket S3 in cui verrà salvato il modello CloudFormation. L'automazione per il bucket S3 avrà una configurazione errata della sicurezza che causerà la visualizzazione della S3 buckets should require requests to use Secure Socket Layer raccomandazione. È possibile correggere questa raccomandazione applicando i criteri seguenti:

    {  
      "Id": "ExamplePolicy",  
      "Version": "2012-10-17",  
      "Statement": [  
        {  
          "Sid": "AllowSSLRequestsOnly",  
          "Action": "s3:*",  
          "Effect": "Deny",  
          "Resource": [  
            "<S3_Bucket ARN>",  
            "<S3_Bucket ARN>/*"  
          ],  
          "Condition": {  
            "Bool": {  
              "aws:SecureTransport": "false"  
            }  
          },  
          "Principal": "*"  
        }  
      ]  
    }  
    

Rimuovere connettori 'classici'

Se sono presenti connettori esistenti creati con l'esperienza classica dei connettori cloud, rimuoverli prima:

  1. Accedere al portale di Azure.

  2. Passare a Defender perle impostazioni dell'ambiente cloud>.

  3. Selezionare l'opzione per tornare all'esperienza dei connettori classici.

    Tornare all'esperienza classica dei connettori cloud in Defender for Cloud.

  4. Per ogni connettore, selezionare il pulsante a tre punti ... alla fine della riga e selezionare Elimina.

  5. In AWS eliminare il ruolo ARN o le credenziali create per l'integrazione.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Richiede Microsoft Defender per server piano 2
Autorizzazioni e ruoli obbligatori: Proprietario nella sottoscrizione di Azure pertinente
Anche un utente con il ruolo Collaboratore può connettere un account AWS se un proprietario fornisce i dettagli dell'entità servizio
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Azure China 21Vianet)

Connettere l'account AWS

Seguire la procedura seguente per creare il connettore cloud AWS.

Passaggio 1. Configurare AWS Security Hub:

  1. Per visualizzare le raccomandazioni sulla sicurezza per più aree, ripetere la procedura seguente per ogni area rilevante.

    Importante

    Se si usa un account di gestione AWS, ripetere i tre passaggi seguenti per configurare l'account di gestione e tutti gli account membri connessi in tutte le aree pertinenti

    1. Abilitare AWS Config.
    2. Abilitare AWS Security Hub.
    3. Verificare che i dati vengano trasmessi all'hub di sicurezza. Quando si abilita l'hub di sicurezza per la prima volta, possono essere necessarie diverse ore prima che i dati diventino disponibili.

Passaggio 2. Configurare l'autenticazione per Defender for Cloud in AWS

Esistono due modi per consentire a Defender for Cloud di eseguire l'autenticazione in AWS:

  • Creare un ruolo IAM per Defender for Cloud (Consigliato) - Metodo più sicuro
  • Utente AWS per Defender for Cloud - Opzione meno sicura se non si dispone di IAM abilitata

Creare un ruolo IAM per Defender for Cloud

  1. Nella console di Amazon Web Services, in Sicurezza, Conformità identità &selezionare IAM. Servizi AWS.

  2. Selezionare Roles (Ruoli) e Create role (Crea ruolo).

  3. Selezionare Another AWS account (Un altro account AWS).

  4. Immettere i dettagli seguenti:

    • ID account : immettere l'ID account Microsoft (158177204117) come illustrato nella pagina del connettore AWS in Defender for Cloud.
    • Require External ID (Richiedi ID esterno): questa opzione deve essere selezionata.
    • ID esterno : immettere l'ID sottoscrizione come illustrato nella pagina del connettore AWS in Defender for Cloud.
  5. Selezionare Avanti.

  6. Nella sezione Collega criteri di autorizzazione selezionare i criteri gestiti di AWS seguenti:

    • SecurityAudit (arn:aws:iam::aws:policy/SecurityAudit)
    • AmazonSSMAutomationRole (arn:aws:iam::aws:policy/service-role/AmazonSSMAutomationRole)
    • AWSSecurityHubReadOnlyAccess (arn:aws:iam::aws:policy/AWSSecurityHubReadOnlyAccess)
  7. Aggiungere tag, se necessario. L'aggiunta di tag all'utente non influisce sulla connessione.

  8. Selezionare Avanti.

  9. Nell'elenco di ruoli scegliere il ruolo creato

  10. Salvare il valore ARN (Amazon Resource Name) per un momento successivo.

Creare un utente AWS per Defender for Cloud

  1. Aprire la scheda Users (Utenti) e selezionare Add user (Aggiungi utente).

  2. Nel passaggio Dettagli immettere un nome utente per Defender for Cloud e assicurarsi di selezionare Accesso a livello di codice per il tipo di accesso AWS.

  3. Selezionare Next Permissions (Autorizzazioni successive).

  4. Selezionare Attach existing policies directly (Collega direttamente i criteri esistenti) e applicare i criteri seguenti:

    • SecurityAudit
    • AmazonSSMAutomationRole
    • AWSSecurityHubReadOnlyAccess
  5. Selezionare Avanti: Tag. Aggiungere tag, se necessario. L'aggiunta di tag all'utente non influisce sulla connessione.

  6. Selezionare Review (Verifica).

  7. Salvare il file CSV generato con Access key ID (ID chiave di accesso) e Secret access key (Chiave di accesso segreta) per un momento successivo.

  8. Esaminare il riepilogo e selezionare Crea utente.

Passaggio 3. Configurare SSM Agent

AWS Systems Manager è necessario per l'automazione di attività nelle risorse di AWS. Se le istanze di EC2 non includono SSM Agent, seguire le istruzioni rilevanti fornite da Amazon:

Passaggio 4. Completare i prerequisiti di Azure Arc

  1. Assicurarsi che siano registrati i provider di risorse di Azure appropriati:

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
  2. Creare un'entità servizio per l'onboarding su larga scala. Come Proprietario della sottoscrizione da usare per l'onboarding, creare un'entità servizio per l'onboarding di Azure Arc, come illustrato in Creare un'entità servizio per l'onboarding su larga scala.

Passaggio 5. Connettere AWS a Defender for Cloud

  1. Dal menu di Defender for Cloud aprire Impostazioni ambiente e selezionare l'opzione per tornare all'esperienza dei connettori classici.

    Tornare all'esperienza classica dei connettori cloud in Defender for Cloud.

  2. Selezionare Aggiungi un account AWS. Aggiungere il pulsante dell'account AWS nella pagina Connettori multicloud di Defender for Cloud

  3. Configurare le opzioni disponibili nella scheda Autenticazione AWS:

    1. Immettere un Nome visualizzato per il connettore.
    2. Verificare che la sottoscrizione sia corretta. Si tratta della sottoscrizione che includerà il connettore e le raccomandazioni di AWS Security Hub.
    3. A seconda dell'opzione di autenticazione, si è scelto nel passaggio 2. Configurare l'autenticazione per Defender for Cloud in AWS:
  4. Selezionare Avanti.

  5. Configurare le opzioni disponibili nella scheda Configurazione di Azure Arc:

    Defender for Cloud individua le istanze di EC2 nell'account AWS connesso e usa SSM per eseguirne l'onboarding in Azure Arc.

    Suggerimento

    Per l'elenco dei sistemi operativi supportati, vedere Quali sistemi operativi sono supportati per le istanze di EC2? nelle domande frequenti.

    1. Selezionare il Gruppo di risorse e l'Area di Azure in cui verrà eseguito l'onboarding delle istanze individuate di AWS EC2 nella sottoscrizione selezionata.

    2. Immettere l'ID entità servizio e il Segreto client entità servizio per Azure Arc come illustrato in Creare un'entità servizio per l'onboarding su larga scala

    3. Se il computer si connette a Internet tramite un server proxy, specificare l'indirizzo IP del server proxy o il nome e il numero di porta usato dal computer per comunicare con il server proxy. Immettere il valore nel formato http://<proxyURL>:<proxyport>

    4. Selezionare Rivedi e crea.

      Verificare le informazioni di riepilogo

      Nella sezione Tag saranno elencati tutti i tag di Azure creati automaticamente per ogni istanza di EC2 sottoposta a onboarding, con i rispettivi dettagli rilevanti per facilitarne il riconoscimento in Azure.

      Per altre informazioni sui tag di Azure, vedere Usare i tag per organizzare le risorse di Azure e la gerarchia di gestione.

Passaggio 6. Conferma

Quando il connettore viene creato correttamente e l'hub di sicurezza DI AWS è stato configurato correttamente:

  • Defender for Cloud analizza l'ambiente per le istanze di AWS EC2, l'onboarding in Azure Arc, consentendo di installare l'agente di Log Analytics e fornire raccomandazioni sulla protezione e sulla sicurezza delle minacce.
  • Il servizio Defender for Cloud analizza le nuove istanze DI AWS EC2 ogni 6 ore e li carica in base alla configurazione.
  • Gli standard CIS per AWS verranno visualizzati nel dashboard di conformità alle normative di Defender for Cloud.
  • Se è abilitato il criterio di Security Hub, le raccomandazioni verranno visualizzate nel portale di Defender for Cloud e nel dashboard di conformità alle normative 5-10 minuti dopo il completamento dell'onboarding.

Risorse e raccomandazioni AWS nella pagina raccomandazioni di Defender for Cloud

Monitoraggio delle risorse di AWS

Come si può vedere nello screenshot precedente, la pagina delle raccomandazioni sulla sicurezza di Defender for Cloud visualizza le risorse AWS. È possibile usare il filtro degli ambienti per sfruttare le funzionalità multicloud di Defender for Cloud: visualizzare le raccomandazioni per le risorse Azure, AWS e GCP insieme.

Per visualizzare tutte le raccomandazioni attive per le risorse in base al tipo di risorsa, usare la pagina di inventario delle risorse di Defender for Cloud e filtrare il tipo di risorsa AWS in cui si è interessati:

screenshot del filtro del tipo di risorsa della pagina dell'inventario asset che mostra le opzioni AWS.

Domande frequenti - AWS in Defender for Cloud

Quali sistemi operativi sono supportati per le istanze di EC2?

Per un elenco delle AMI con l'agente SSM preinstallato, vedere questa pagina nella documentazione AWS.

Per altri sistemi operativi, l'agente SSM deve essere installato manualmente usando le istruzioni seguenti:

Per il piano CSPM, quali autorizzazioni IAM sono necessarie per individuare le risorse AWS?

Per individuare le risorse AWS sono necessarie le autorizzazioni IAM seguenti:

DataCollector Autorizzazioni AWS
API Gateway apigateway:GET
Ridimensionamento automatico dell'applicazione application-autoscaling:Describe*
Ridimensionamento automatico autoscaling-plans:Describe*
autoscaling:Describe*
Gestione certificati acm-pca:Describe*
acm-pca:List*
acm:Describe*
acm:List*
CloudFormation cloudformation:Describe*
cloudformation:List*
CloudFront cloudfront:DescribeFunction
cloudfront:GetDistribution
cloudfront:GetDistributionConfig
cloudfront:List*
CloudTrail cloudtrail:Describe*
cloudtrail:GetEventSelectors
cloudtrail:List*
cloudtrail:LookupEvents
CloudWatch cloudwatch:Describe*
cloudwatch:List*
Log di CloudWatch logs:DescribeLogGroups
logs:DescribeMetricFilters
CodeBuild codebuild:DescribeCodeCoverages
codebuild:DescribeTestCases
codebuild:List*
Servizio di configurazione config:Describe*
config:List*
DMS : servizio di migrazione del database dms:Describe*
dms:List*
DAX dax:Describe*
DynamoDB dynamodb:Describe*
dynamodb:List*
Ec2 ec2:Describe*
ec2:GetEbsEncryptionByDefault
Ecr ecr:Describe*
ecr:List*
ECS ecs:Describe*
ecs:List*
EFS elasticfilesystem:Describe*
EKS eks:Describe*
eks:List*
Elastic Beanstalk elasticbeanstalk:Describe*
elasticbeanstalk:List*
ELB : bilanciamento del carico elastico (v1/2) elasticloadbalancing:Describe*
Ricerca elastica es:Describe*
es:List*
EMR : riduzione della mappa elastica elasticmapreduce:Describe*
elasticmapreduce:GetBlockPublicAccessConfiguration
elasticmapreduce:List*
elasticmapreduce:View*
GuardDuty guardduty:DescribeOrganizationConfiguration
guardduty:DescribePublishingDestination
guardduty:List*
IAM iam:Generate*
iam:Get*
iam:List*
iam:Simulate*
Servizio di gestione delle chiavi kms:Describe*
kms:List*
Lambda lambda:GetPolicy
lambda:List*
Firewall di rete network-firewall:DescribeFirewall
network-firewall:DescribeFirewallPolicy
network-firewall:DescribeLoggingConfiguration
network-firewall:DescribeResourcePolicy
network-firewall:DescribeRuleGroup
network-firewall:DescribeRuleGroupMetadata
network-firewall:ListFirewallPolicies
network-firewall:ListFirewalls
network-firewall:ListRuleGroups
network-firewall:ListTagsForResource
Servizi desktop remoto rds:Describe*
rds:List*
Redshift redshift:Describe*
S3 e S3Control s3:DescribeJob
s3:GetEncryptionConfiguration
s3:GetBucketPublicAccessBlock
s3:GetBucketTagging
s3:GetBucketLogging
s3:GetBucketAcl
s3:GetBucketLocation
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetAccountPublicAccessBlock
s3:GetObjectAcl
s3:GetObjectTagging
s3:List*
SageMaker sagemaker:Describe*
sagemaker:GetSearchSuggestions
sagemaker:List*
sagemaker:Search
Responsabile segreto secretsmanager:Describe*
secretsmanager:List*
Servizio di notifica semplice - SNS sns:Check*
sns:List*
Ssm ssm:Describe*
ssm:List*
Sqs sqs:List*
sqs:Receive*
STS sts:GetCallerIdentity
WAF waf-regional:Get*
waf-regional:List*
waf:List*
wafv2:CheckCapacity
wafv2:Describe*
wafv2:List*

Altre informazioni

È possibile consultare i blog seguenti:

Passaggi successivi

La connessione dell'account AWS fa parte dell'esperienza multicloud disponibile in Microsoft Defender for Cloud. Per informazioni correlate, vedere le pagine seguenti: