Назначение доступа владельцам рабочих нагрузок

При подключении сред AWS или GCP Defender для облака автоматически создает соединитель безопасности в качестве ресурса Azure в подключенной подписке и группе ресурсов. Defender для облака также создает поставщика удостоверений в качестве роли IAM, необходимой во время процесса подключения.

Назначьте пользователям разрешение на определенные соединители безопасности под родительским соединителем? Да, вы можете. Необходимо определить, к каким учетным записям AWS или проектам GCP требуется доступ пользователей. Это означает, что необходимо определить соединители безопасности, соответствующие учетной записи AWS или проекту GCP, которому требуется назначить доступ пользователей.

Необходимые компоненты

• Учетная запись Azure. Если у вас еще нет учетной записи Azure, можно создать ее прямо сейчас.

• По крайней мере один соединитель безопасности для Azure, AWS или GCP.

Настройка разрешений в соединителе безопасности

Разрешения для соединителей безопасности управляются с помощью управления доступом на основе ролей Azure (RBAC). Роли можно назначать пользователям, группам и приложениям на уровне подписки, группы ресурсов или ресурсов.

1. Войдите на портал Azure.

2. Перейдите к разделу Microsoft Defender для облака>Параметры среды.

3. Найдите соответствующий соединитель AWS или GCP.

4. Назначьте разрешения владельцам рабочих нагрузок со всеми ресурсами или параметром Azure Resource Graph в портал Azure.

   Все ресурсы

   1. Найдите и выберите Все ресурсы.

      

   2. Выберите "Управление представлением>Показать скрытые типы".

      

   3. Выберите типы, равные всем фильтрам.

   4. Введите securityconnector поле значения и добавьте в нее microsoft.security/securityconnectorsфлажок.

      

   5. Выберите Применить.

   6. Выберите соответствующий соединитель ресурсов.

   Azure Resource Graph

   1. Найдите и выберите обозреватель Resource Graph.

      

   2. Скопируйте и вставьте следующий запрос, чтобы найти соединитель безопасности:

      AWS

      resources 
      | where type == "microsoft.security/securityconnectors" 
      | extend source = tostring(properties.environmentName)  
      | where source == "AWS" 
      | project name, subscriptionId, resourceGroup, accountId = properties.hierarchyIdentifier, cloud = properties.environmentName  
      

      GCP

      resources 
      | where type == "microsoft.security/securityconnectors" 
      | extend source = tostring(properties.environmentName)  
      | where source == "GCP" 
      | project name, subscriptionId, resourceGroup, projectId = properties.hierarchyIdentifier, cloud = properties.environmentName  
      

   3. Выберите Запустить запрос.

   4. Переключите форматированные результаты на "Вкл.".

      

   5. Выберите соответствующую подписку и группу ресурсов, чтобы найти соответствующий соединитель безопасности.

5. Выберите Управление доступом (IAM).

   

6. Выберите + Добавить>Добавить назначение ролей.

7. Выберите нужную роль.

8. Выберите Далее.

9. Выберите + Выбрать участников.

   

10. Найдите и выберите соответствующего пользователя или группы.

11. Выберите кнопку Выбрать.

12. Выберите Далее.

13. Выберите Проверить + назначить.

14. Проверьте сведения.

15. Выберите Проверить + назначить.

После настройки разрешения соединителя безопасности владельцы рабочих нагрузок смогут просматривать рекомендации в Defender для облака для ресурсов AWS и GCP, связанных с соединителем безопасности.

Следующий шаг

Разрешения RBAC