ユーザーのロールとアクセス許可
Microsoft Defender for Cloud は Azure のロールベースのアクセス制御 (Azure RBAC) を使用して、組み込みロールを提供します。 これらのロールを Azure のユーザー、グループ、サービスに割り当てることで、ロールで定義されているアクセス権に従ってユーザーにリソースへのアクセス権を付与できます。
Defender for Cloud は、リソースの構成を評価して、セキュリティの問題と脆弱性を特定します。 サブスクリプションまたはリソースが存在するリソース グループのロール (所有者、共同作成者、または閲覧者) が割り当てられている場合、Defender for Cloud ではリソースに関連する情報のみが表示されます。
組み込みロールに加えて、Defender for Cloud に固有のロールが 2 つあります。
- セキュリティ閲覧者: このロールに属しているユーザーには Defender for Cloud に対する読み取り専用のアクセス権があります。 レコメンデーション、警告、セキュリティ ポリシー、セキュリティの状態を閲覧できますが、変更することはできません。
- セキュリティ管理者: このロールに属しているユーザーは、セキュリティ閲覧者と同じアクセス許可を持ち、さらにセキュリティ ポリシーを更新したり、アラートと推奨事項を無視したりすることもできます。
タスクを実行するために必要となる最小限の権限ロールをユーザーに割り当てることをお勧めします。 たとえば、リソースのセキュリティ正常性に関する情報の表示のみが必要で、推奨事項の適用やポリシーの編集などの操作を行う必要がないユーザーには、閲覧者ロールを割り当ててください。
ルールと許可されているアクション
次の表は、Defender for Cloud でのロールと許可されているアクションを示しています。
| 操作 | セキュリティ閲覧者 / Reader |
Security Admin | 共同作成者 / 所有者 | Contributor | 所有者 |
|---|---|---|---|---|---|
| (リソース グループ レベル) | (サブスクリプション レベル) | (サブスクリプション レベル) | |||
| イニシアティブを追加する、または割り当てる (規制コンプライアンス標準を含む) | - | ✔ | - | - | ✔ |
| セキュリティ ポリシーを編集する | - | ✔ | - | - | ✔ |
| Microsoft Defender プランを有効または無効にする | - | ✔ | - | ✔ | ✔ |
| アラートを無視する | - | ✔ | - | ✔ | ✔ |
| リソースに対するセキュリティ推奨事項の適用 (およびFix の使用) |
- | - | ✔ | ✔ | ✔ |
| アラートと推奨事項を表示する | ✔ | ✔ | ✔ | ✔ | ✔ |
| セキュリティの推奨事項を除外する | - | ✔ | - | - | ✔ |
| メール通知を構成する | - | ✔ | ✔ | ✔ | ✔ |
Note
ここで述べられている 3 つのロールは Defender のプランを有効または無効にするのに十分ですが、プランのすべての機能を有効にするには所有者ロールが必要です。
監視コンポーネントのデプロイに必要な特定のロールは、デプロイする拡張機能によって異なります。 コンポーネント監視の詳細についてはこちらをご覧ください。
エージェントと拡張機能を自動的にプロビジョニングするために使用されるロール
セキュリティ管理者ロールが Defender for Cloud プランで使用されるエージェントと拡張機能を自動的にプロビジョニングできるよう、Defender for Cloud は Azure Policy と同様の方法でポリシーの修復を使用します。 修復を使用するには、Defender for Cloud でサブスクリプション レベルでロールを割り当てるサービス プリンシパル (マネージド ID とも呼ばれる) を作成する必要があります。 たとえば、Defender for Containers プランのサービス プリンシパルは次のとおりです。
| サービス プリンシパル | ロール |
|---|---|
| AKS セキュリティ プロファイルをプロビジョニングする Defender for Containers | • Kubernetes 拡張機能共同作成者 • 共同作成者 • Azure Kubernetes Service 共同作成者 • Log Analytics 共同作成者 |
| Arc 対応 Kubernetes をプロビジョニングする Defender for Containers | • Azure Kubernetes Service 共同作成者 • Kubernetes 拡張機能共同作成者 • 共同作成者 • Log Analytics 共同作成者 |
| Kubernetes 用の Azure Policy アドオンをプロビジョニングする Defender for Containers | • Kubernetes 拡張機能共同作成者 • 共同作成者 • Azure Kubernetes Service 共同作成者 |
| Arc 対応 Kubernetes 用の Policy 拡張機能をプロビジョニングする Defender for Containers | • Azure Kubernetes Service 共同作成者 • Kubernetes 拡張機能共同作成者 • 共同作成者 |
AWS でのアクセス許可
アマゾン ウェブ サービス (AWS) コネクタをオンボードすると、Defender for Cloud によってロールが作成され、AWS アカウントにアクセス許可が割り当てられます。 次の表は、AWS アカウントの各プランによって割り当てられるロールとアクセス許可を示しています。
| Defender for Cloud プラン | 作成されるロール | AWS アカウントに割り当てられるアクセス許可 |
|---|---|---|
| Defender CSPM | CspmMonitorAws | AWS リソースのアクセス許可を検出するには、次を除くすべてのリソースの読み取りを行ってください。 "consolidatedbilling:" "freetier:" "invoicing:" "payments:" "billing:" "tax:" "cur:*" |
| Defender CSPM Defender for Servers |
DefenderForCloud-AgentlessScanner | ディスク スナップショットを作成およびクリーンアップするには (タグによってスコープ指定) “CreatedBy”: "Microsoft Defender for Cloud" アクセス許可: "ec2:DeleteSnapshot" "ec2:ModifySnapshotAttribute" "ec2:DeleteTags" "ec2:CreateTags" "ec2:CreateSnapshots" "ec2:CopySnapshot" "ec2:CreateSnapshot" "ec2:DescribeSnapshots" "ec2:DescribeInstanceStatus" EncryptionKeyCreation へのアクセス許可 "kms:CreateKey" "kms:ListKeys" EncryptionKeyManagement "kms:TagResource" へのアクセス許可 "kms:GetKeyRotationStatus" "kms:PutKeyPolicy" "kms:GetKeyPolicy" "kms:CreateAlias" "kms:TagResource" "kms:ListResourceTags" "kms:GenerateDataKeyWithoutPlaintext" "kms:DescribeKey" "kms:RetireGrant" "kms:CreateGrant" "kms:ReEncryptFrom" |
| Defender CSPM Defender for Storage |
SensitiveDataDiscovery | AWS アカウントで S3 バケットを検出するためのアクセス許可、S3 バケット内のデータにアクセスするための Defender for Cloud スキャナーのアクセス許可。 S3 読み取り専用。KMS 復号化 "kms:Decrypt" |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Ciem Discovery のアクセス許可 "sts:AssumeRole" "sts:AssumeRoleWithSAML" "sts:GetAccessKeyInfo" "sts:GetCallerIdentity" "sts:GetFederationToken" "sts:GetServiceBearerToken" "sts:GetSessionToken" "sts:TagSession" |
| Defender for Servers | DefenderForCloud-DefenderForServers | JIT ネットワーク アクセスを構成するためのアクセス許可: "ec2:RevokeSecurityGroupIngress" "ec2:AuthorizeSecurityGroupIngress" "ec2:DescribeInstances" "ec2:DescribeSecurityGroupRules" "ec2:DescribeVpcs" "ec2:CreateSecurityGroup" "ec2:DeleteSecurityGroup" "ec2:ModifyNetworkInterfaceAttribute" "ec2:ModifySecurityGroupRules" "ec2:ModifyInstanceAttribute" "ec2:DescribeSubnets" "ec2:DescribeSecurityGroups" |
| Defender for Containers | DefenderForCloud-Containers-K8s | EKS クラスターを一覧表示し、EKS クラスターからデータを収集するためのアクセス許可。 "eks:UpdateClusterConfig" "eks:DescribeCluster" |
| Defender for Containers | DefenderForCloud-DataCollection | Defender for Cloud によって作成された CloudWatch ログ グループへのアクセス許可 “logs:PutSubscriptionFilter" "logs:DescribeSubscriptionFilters" "logs:DescribeLogGroups" autp "logs:PutRetentionPolicy" Defender for Cloud によって作成された SQS キューを使用するためのアクセス許可 "sqs:ReceiveMessage" "sqs:DeleteMessage" |
| Defender for Containers | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Defender for Cloud によって作成された Kinesis Data Firehose 配信ストリームにアクセスするためのアクセス許可 "firehose:*" |
| Defender for Containers | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Defender for Cloud によって作成された S3 バケットにアクセスするためのアクセス許可 "s3:GetObject" "s3:GetBucketLocation" "s3:AbortMultipartUpload" "s3:GetBucketLocation" "s3:GetObject" "s3:ListBucket" "s3:ListBucketMultipartUploads" "s3:PutObject" |
| Defender for Containers Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | EKS クラスターからデータを収集するためのアクセス許可。 EKS クラスターを更新して IP 制限をサポートし、EKS クラスターの iamidentitymapping を作成する “eks:DescribeCluster” “eks:UpdateClusterConfig*” |
| Defender for Containers Defender CSPM |
MDCContainersImageAssessmentRole | ECR および ECR Public からイメージをスキャンするためのアクセス許可。 AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender for Servers | DefenderForCloud-ArcAutoProvisioning | SSM を使用してすべての EC2 インスタンスに Azure Arc をインストールするアクセス許可 "ssm:CancelCommand" "ssm:DescribeInstanceInformation" "ssm:GetCommandInvocation" "ssm:UpdateServiceSetting" "ssm:GetServiceSetting" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | AWS アカウント内の RDS インスタンスの検出、RDS インスタンス スナップショットの作成のためのアクセス許可 - RDS DB/クラスターをすべて一覧表示する - すべての DB/クラスター スナップショットを一覧表示する - すべての DB/クラスター スナップショットをコピーする - プレフィックス defenderfordatabases を使用して DB/クラスター スナップショットを削除/更新する - すべての KMS キーを一覧表示する - ソース アカウントの RDS に対してのみすべての KMS キーを使用する - タグ プレフィックス DefenderForDatabases を持つ KMS キーを一覧表示する - KMS キーのエイリアスを作成する RDS インスタンスの検出に必要なアクセス許可 "rds:DescribeDBInstances" "rds:DescribeDBClusters" "rds:DescribeDBClusterSnapshots" "rds:DescribeDBSnapshots" "rds:CopyDBSnapshot" "rds:CopyDBClusterSnapshot" "rds:DeleteDBSnapshot" "rds:DeleteDBClusterSnapshot" "rds:ModifyDBSnapshotAttribute" "rds:ModifyDBClusterSnapshotAttribute" "rds:DescribeDBClusterParameters" "rds:DescribeDBParameters" "rds:DescribeOptionGroups" "kms:CreateGrant" "kms:ListAliases" "kms:CreateKey" "kms:TagResource" "kms:ListGrants" "kms:DescribeKey" "kms:PutKeyPolicy" "kms:Encrypt" "kms:CreateGrant" "kms:EnableKey" "kms:CancelKeyDeletion" "kms:DisableKey" "kms:ScheduleKeyDeletion" "kms:UpdateAlias" "kms:UpdateKeyDescription" |
GCP でのアクセス許可
Google Cloud Projects (GCP) コネクタをオンボードすると、Defender for Cloud によってロールが作成され、GCP プロジェクトにアクセス許可が割り当てられます。 次の表は、GCP プロジェクトの各プランによって割り当てられるロールとアクセス許可を示しています。
| Defender for Cloud プラン | 作成されるロール | AWS アカウントに割り当てられるアクセス許可 |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | GCP リソースを検出するには resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy resourcemanager.folders.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable iam.roles.create iam.roles.list iam.serviceAccounts.actAs compute.projects.get compute.projects.setCommonInstanceMetadata" |
| Defender for Servers | microsoft-defender-for-servers azure-arc-for-servers-onboard |
コンピューティング エンジンを取得および一覧表示するための読み取り専用アクセス resources roles/compute.viewer roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| Defender for Database | defender-for-databases-arc-ap | Defender for Database ARC 自動プロビジョニングに対するアクセス許可 roles/compute.viewer roles/iam.workloadIdentityUser roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Defender for Storage |
data-security-posture-storage | GCP ストレージ バケットを検出し、GCP ストレージ バケット内のデータにアクセスするための Defender for Cloud スキャナーのアクセス許可 storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM Defender for Storage |
data-security-posture-storage | GCP ストレージ バケットを検出し、GCP ストレージ バケット内のデータにアクセスするための Defender for Cloud スキャナーのアクセス許可 storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | 組織のリソースに関する詳細を取得するためのアクセス許可。 resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Defender for Servers |
MDCAgentlessScanningRole | エージェントレス ディスク スキャンのアクセス許可: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Defender for Servers |
cloudkms.cryptoKeyEncrypterDecrypter | CMEK で暗号化されたディスクのスキャンをサポートするために、既存の GCP KMS ロールへのアクセス許可が付与されます |
| Defender CSPM Defender for Containers |
mdc-containers-artifact-assess | GAR および GCR からイメージをスキャンするためのアクセス許可。 Roles/artifactregistry.reader Roles/storage.objectViewer |
| Defender for Containers | mdc-containers-k8s-operator | GKE クラスターからデータを収集するためのアクセス許可。 IP 制限をサポートするように GKE クラスターを更新します。 Roles/container.viewer MDCGkeClusterWriteRole container.clusters.update* |
| Defender for Containers | microsoft-defender-containers | Cloud Pub/Sub トピックにログをルーティングするためのログ シンクを作成および管理するためのアクセス許可。 logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender for Containers | ms-defender-containers-stream | ログが pub sub にログを送信できるようにするアクセス許可: pubsub.subscriptions.consume pubsub.subscriptions.get |
次のステップ
この記事では、Defender for Cloud で Azure RBAC を使用してユーザーにアクセス許可を割り当てる方法について説明し、各ロールに許可されているアクションを示しました。 サブスクリプションのセキュリティ状態を監視するために必要なロールの割り当てについて理解したら、セキュリティ ポリシーを編集し、推奨事項を適用して、次の方法を学習してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示