Роли и разрешения пользователей
Microsoft Defender для облака используется Управление доступом на основе ролей Azure (Azure RBAC) для предоставления встроенных ролей. Эти роли можно назначить пользователям, группам и службам в Azure, чтобы предоставить пользователям доступ к ресурсам в соответствии с доступом, определенным в роли.
Defender for Cloud оценивает конфигурацию ресурсов, чтобы выявить проблемы безопасности и уязвимости. В Defender для облака вы увидите только информацию, связанную с ресурсом, если вы назначаете одну из этих ролей для подписки или для группы ресурсов, в которую входит ресурс: владелец, участник или читатель.
Помимо этих встроенных ролей существуют две специальные роли Defender for Cloud:
- Средство чтения безопасности: пользователь, принадлежащий этой роли, имеет доступ только для чтения к Defender для облака. Пользователь может просматривать рекомендации, оповещения, политику безопасности и состояния безопасности, но не может вносить изменения.
- Администратор безопасности: пользователь, принадлежащий этой роли, имеет тот же доступ, что и средство чтения безопасности, а также может обновлять политику безопасности, а также отклонять оповещения и рекомендации.
Рекомендуется назначить пользователям роли с минимальными разрешениями, необходимыми для выполнения их задач. Например, назначьте роль читателя пользователям, которым нужно только просматривать сведения о работоспособности защиты ресурсов и не нужно выполнять какие-либо действия (к примеру, применять рекомендации или изменять политики).
Роли и разрешенные действия
В следующей таблице показаны роли и разрешенные им действия в Defender for Cloud.
Действие | читатель сведений о безопасности /; Читатель |
Администратор безопасности | Участник / Владелец | Участник | Ответственное лицо |
---|---|---|---|---|---|
(уровень группы ресурсов) | (уровень подписки) | (уровень подписки) | |||
Добавление и назначение инициатив (включая стандарты соответствия нормативным требованиям) | - | ✔ | - | - | ✔ |
Изменение политики безопасности | - | ✔ | - | - | ✔ |
Включение и выключение планов Microsoft Defender | - | ✔ | - | ✔ | ✔ |
Закрытие оповещений | - | ✔ | - | ✔ | ✔ |
Применение рекомендаций по безопасности к ресурсу (и использование исправления) |
- | - | ✔ | ✔ | ✔ |
Просмотр оповещений и рекомендаций | ✔ | ✔ | ✔ | ✔ | ✔ |
Исключение рекомендаций по безопасности | - | ✔ | - | - | ✔ |
Настройка уведомлений по электронной почте | - | ✔ | ✔ | ✔ | ✔ |
Примечание.
Хотя для включения и отключения планов Defender достаточно трех ролей, необходимо включить все возможности плана владельца.
Определенная роль, необходимая для развертывания компонентов мониторинга, зависит от развернутого расширения. Дополнительные сведения о компонентах мониторинга.
Роли, используемые для автоматической подготовки агентов и расширений
Чтобы роль администратора безопасности автоматически подготавливала агенты и расширения, используемые в планах Defender для облака, Defender для облака использует исправление политики аналогичным образом, чтобы Политика Azure. Чтобы использовать исправление, Defender для облака необходимо создать субъекты-службы, также называемые управляемыми удостоверениями, назначающими роли на уровне подписки. Например, субъекты-службы для плана Defender для контейнеров:
Субъект-служба | Роли |
---|---|
Профиль безопасности AKS в Защитнике для контейнеров | • Участник расширения Kubernetes •Сотрудник • участник Служба Azure Kubernetes • Участник Log Analytics |
Защитник для контейнеров с поддержкой Arc Kubernetes | • участник Служба Azure Kubernetes • Участник расширения Kubernetes •Сотрудник • Участник Log Analytics |
Политика Azure подготовки к контейнерам в Defender для Kubernetes | • Участник расширения Kubernetes •Сотрудник • участник Служба Azure Kubernetes |
Расширение политики подготовки Защитника для контейнеров для Kubernetes с поддержкой Arc | • участник Служба Azure Kubernetes • Участник расширения Kubernetes •Сотрудник |
Следующие шаги
В этой статье объясняется, как в Defender for Cloud используется Azure RBAC для назначения разрешений пользователям и определения разрешенных действий для каждой роли. Теперь, когда вы ознакомились с назначениями ролей, необходимых для наблюдения за состоянием безопасности подписки, изменения политик безопасности и применения рекомендаций, вы можете изучить следующие темы.
Кері байланыс
https://aka.ms/ContentUserFeedback.
Жақында қолжетімді болады: 2024 жыл бойы біз GitHub Issues жүйесін мазмұнға арналған кері байланыс механизмі ретінде біртіндеп қолданыстан шығарамыз және оны жаңа кері байланыс жүйесімен ауыстырамыз. Қосымша ақпаратты мұнда қараңыз:Жіберу және пікірді көру