Роли и разрешения пользователей
Microsoft Defender для облака используется Управление доступом на основе ролей Azure (Azure RBAC) для предоставления встроенных ролей. Эти роли можно назначить пользователям, группам и службам в Azure, чтобы предоставить пользователям доступ к ресурсам в соответствии с доступом, определенным в роли.
Defender for Cloud оценивает конфигурацию ресурсов, чтобы выявить проблемы безопасности и уязвимости. В Defender для облака вы увидите только информацию, связанную с ресурсом, если вы назначаете одну из этих ролей для подписки или для группы ресурсов, в которую входит ресурс: владелец, участник или читатель.
Помимо этих встроенных ролей существуют две специальные роли Defender for Cloud:
- Средство чтения безопасности: пользователь, принадлежащий этой роли, имеет доступ только для чтения к Defender для облака. Пользователь может просматривать рекомендации, оповещения, политику безопасности и состояния безопасности, но не может вносить изменения.
- Безопасность Администратор. Пользователь, принадлежащий этой роли, имеет тот же доступ, что и средство чтения безопасности, а также может обновить политику безопасности и закрыть оповещения и рекомендации.
Рекомендуется назначить пользователям роли с минимальными разрешениями, необходимыми для выполнения их задач. Например, назначьте роль читателя пользователям, которым нужно только просматривать сведения о работоспособности защиты ресурсов и не нужно выполнять какие-либо действия (к примеру, применять рекомендации или изменять политики).
Роли и разрешенные действия
В следующей таблице показаны роли и разрешенные им действия в Defender for Cloud.
Действие | читатель сведений о безопасности /; Читатель |
Администратор безопасности | Участник / Владелец | Участник | Ответственное лицо |
---|---|---|---|---|---|
(уровень группы ресурсов) | (уровень подписки) | (уровень подписки) | |||
Добавление и назначение инициатив (включая нормативные стандарты соответствия требованиям) | - | ✔ | - | - | ✔ |
Изменение политики безопасности | - | ✔ | - | - | ✔ |
Включение и выключение планов Microsoft Defender | - | ✔ | - | ✔ | ✔ |
Закрытие оповещений | - | ✔ | - | ✔ | ✔ |
Применение рекомендаций по безопасности к ресурсу (и использование исправления) | - | - | ✔ | ✔ | ✔ |
Просмотр оповещений и рекомендаций | ✔ | ✔ | ✔ | ✔ | ✔ |
Исключение рекомендаций по безопасности | - | ✔ | - | - | ✔ |
Определенная роль, необходимая для развертывания компонентов мониторинга, зависит от развернутого расширения. Дополнительные сведения о компонентах мониторинга.
Роли, используемые для автоматической подготовки агентов и расширений
Чтобы разрешить роль безопасности Администратор автоматически подготавливать агенты и расширения, используемые в планах Defender для облака, Defender для облака использует исправление политики аналогичным образом, чтобы Политика Azure. Чтобы использовать исправление, Defender для облака необходимо создать субъекты-службы, также называемые управляемыми удостоверениями, назначающими роли на уровне подписки. Например, субъекты-службы для плана Defender для контейнеров:
Субъект-служба | Роли |
---|---|
Профиль безопасности AKS в Защитнике для контейнеров | • Участник расширения Kubernetes •Вклад • участник Служба Azure Kubernetes • Участник Log Analytics |
Защитник для контейнеров с поддержкой Arc Kubernetes | • участник Служба Azure Kubernetes • Участник расширения Kubernetes •Вклад • Участник Log Analytics |
Политика Azure подготовки к контейнерам в Defender для Kubernetes | • Участник расширения Kubernetes •Вклад • участник Служба Azure Kubernetes |
Расширение политики подготовки Защитника для контейнеров для Kubernetes с поддержкой Arc | • участник Служба Azure Kubernetes • Участник расширения Kubernetes •Вклад |
Следующие шаги
В этой статье объясняется, как в Defender for Cloud используется Azure RBAC для назначения разрешений пользователям и определения разрешенных действий для каждой роли. Теперь, когда вы ознакомились с назначениями ролей, необходимых для наблюдения за состоянием безопасности подписки, изменения политик безопасности и применения рекомендаций, вы можете изучить следующие темы.