Atribuir acesso a proprietários de carga de trabalho

Quando você integra seus ambientes AWS ou GCP, o Defender for Cloud cria automaticamente um conector de segurança como um recurso do Azure dentro da assinatura conectada e do grupo de recursos. O Defender for cloud também cria o provedor de identidade como uma função do IAM necessária durante o processo de integração.

Atribuir permissão aos usuários, em conectores de segurança específicos, abaixo do conector pai? Sim, pode. Você precisa determinar a quais contas da AWS ou projetos do GCP você deseja que os usuários tenham acesso. Ou seja, você precisa identificar os conectores de segurança que correspondem à conta da AWS ou ao projeto GCP ao qual você deseja atribuir acesso aos usuários.

Pré-requisitos

• Uma conta do Azure. Se você ainda não tiver uma conta do Azure, poderá criar sua conta gratuita do Azure hoje.

• Pelo menos um conector de segurança para Azure, AWS ou GCP.

Configurar permissões no conector de segurança

As permissões para conectores de segurança são gerenciadas por meio do RBAC (controle de acesso baseado em função) do Azure. Você pode atribuir funções a usuários, grupos e aplicativos em uma assinatura, grupo de recursos ou nível de recurso.

1. Inicie sessão no portal do Azure.

2. Navegue até as configurações do Microsoft Defender for Cloud>Environment.

3. Localize o conector AWS ou GCP relevante.

4. Atribua permissões aos proprietários da carga de trabalho com Todos os recursos ou a opção Gráfico de Recursos do Azure no portal do Azure.

   Todos os recursos

   1. Procure e selecione Todos os recursos.

      

   2. Selecione Gerir vista>Mostrar tipos ocultos.

      

   3. Selecione o filtro Tipos igual a todos .

   4. Insira securityconnector o campo de valor e adicione uma verificação ao microsoft.security/securityconnectors.

      

   5. Selecione Aplicar.

   6. Selecione o conector de recurso relevante.

   Azure Resource Graph

   1. Procure e selecione Resource Graph Explorer.

      

   2. Copie e cole a seguinte consulta para localizar o conector de segurança:

      AWS

      resources 
      | where type == "microsoft.security/securityconnectors" 
      | extend source = tostring(properties.environmentName)  
      | where source == "AWS" 
      | project name, subscriptionId, resourceGroup, accountId = properties.hierarchyIdentifier, cloud = properties.environmentName  
      

      GCP

      resources 
      | where type == "microsoft.security/securityconnectors" 
      | extend source = tostring(properties.environmentName)  
      | where source == "GCP" 
      | project name, subscriptionId, resourceGroup, projectId = properties.hierarchyIdentifier, cloud = properties.environmentName  
      

   3. Selecione Executar consulta.

   4. Alterne os resultados formatados para Ativado.

      

   5. Selecione a assinatura relevante e o grupo de recursos para localizar o conector de segurança relevante.

5. Selecione Controlo de acesso (IAM) .

   

6. Selecione + Adicionar>Adicionar atribuição de função.

7. Selecione a função desejada.

8. Selecione Seguinte.

9. Selecione + Selecionar membros.

   

10. Pesquise e selecione o usuário ou grupo relevante.

11. Selecione o botão Selecionar.

12. Selecione Seguinte.

13. Selecione Rever + atribuir.

14. Analise as informações.

15. Selecione Rever + atribuir.

Depois de definir a permissão para o conector de segurança, os proprietários da carga de trabalho poderão visualizar recomendações no Defender for Cloud para os recursos da AWS e do GCP associados ao conector de segurança.

Próximo passo

Permissões RBAC