Atribuir acesso aos responsáveis pela carga de trabalho

Quando você integra seus ambientes AWS ou GCP, o Defender para Nuvem cria automaticamente um conector de segurança como um recurso do Azure dentro da assinatura conectada e do grupo de recursos. O Defender para nuvem também cria o provedor de identidade como uma função IAM necessária durante o processo de integração.

Atribuir permissão aos usuários, em conectores de segurança específicos, abaixo do conector pai? Sim, você pode. Você precisa determinar a quais contas do AWS ou projetos GCP você deseja que os usuários tenham acesso. Ou seja, você precisa identificar os conectores de segurança que correspondem à conta do AWS ou ao projeto GCP ao qual você deseja atribuir acesso aos usuários.

Pré-requisitos

• Uma conta do Azure. Caso ainda não tenha uma conta do Azure, crie hoje mesmo sua conta gratuita do Azure.

• Pelo menos um conector de segurança para o Azure, o AWS ou o GCP.

Configurar permissões no conector de segurança

As permissões para conectores de segurança são gerenciadas por meio do RBAC (controle de acesso baseado em função) do Azure. Você pode atribuir funções a usuários, grupos e aplicativos em uma assinatura, grupo de recursos ou nível de recurso.

1. Entre no portal do Azure.

2. Navegue até as configurações do Microsoft Defender para Nuvem>Configurações de ambiente.

3. Localize o conector AWS ou GCP relevante.

4. Atribua permissões aos proprietários da carga de trabalho com todos os recursos ou a opção Azure Resource Graph no portal do Azure.

   Todos os recursos

   1. Pesquise por Todos os recursos e selecione esse item.

      

   2. Selecione Gerenciar exibição>Mostrar tipos ocultos.

      

   3. Selecione o filtro Tipos iguais a todos.

   4. Insira securityconnector no campo de valor e adicione uma verificação ao microsoft.security/securityconnectors.

      

   5. Escolha Aplicar.

   6. Selecione o conector de recursos relevante.

   Gráfico de Recursos do Azure

   1. Pesquise pelo Resource Graph Explorer e selecione-o.

      

   2. Copie e cole a seguinte consulta para localizar o conector de segurança:

      AWS

      resources 
      | where type == "microsoft.security/securityconnectors" 
      | extend source = tostring(properties.environmentName)  
      | where source == "AWS" 
      | project name, subscriptionId, resourceGroup, accountId = properties.hierarchyIdentifier, cloud = properties.environmentName  
      

      GCP

      resources 
      | where type == "microsoft.security/securityconnectors" 
      | extend source = tostring(properties.environmentName)  
      | where source == "GCP" 
      | project name, subscriptionId, resourceGroup, projectId = properties.hierarchyIdentifier, cloud = properties.environmentName  
      

   3. Selecione Executar consulta.

   4. Alterne os resultados formatados para Ativar.

      

   5. Selecione a assinatura e o grupo de recursos relevantes para localizar o conector de segurança relevante.

5. Selecione IAM (Controle de acesso) .

   

6. Selecione +Adicionar>Adicionar atribuição de função.

7. Selecione uma função desejada.

8. Selecione Avançar.

9. Selecione + Selecionar membros.

   

10. Pesquise e selecione o usuário ou grupo relevante.

11. Escolha o botão Selecionar.

12. Selecione Avançar.

13. Selecione Revisar + atribuir.

14. Revise as informações.

15. Selecione Examinar + atribuir.

Depois de definir a permissão para o conector de segurança, os proprietários da carga de trabalho poderão exibir recomendações no Defender para Nuvem para os recursos AWS e GCP associados ao conector de segurança.

Próxima etapa

Permissões RBAC