Роли и разрешения пользователей

  • Статья

Microsoft Defender для облака используется Управление доступом на основе ролей Azure (Azure RBAC) для предоставления встроенных ролей. Эти роли можно назначить пользователям, группам и службам в Azure, чтобы предоставить пользователям доступ к ресурсам в соответствии с доступом, определенным в роли.

Defender for Cloud оценивает конфигурацию ресурсов, чтобы выявить проблемы безопасности и уязвимости. В Defender для облака вы увидите только информацию, связанную с ресурсом, если вы назначаете одну из этих ролей для подписки или для группы ресурсов, в которую входит ресурс: владелец, участник или читатель.

Помимо этих встроенных ролей существуют две специальные роли Defender for Cloud:

  • Средство чтения безопасности: пользователь, принадлежащий этой роли, имеет доступ только для чтения к Defender для облака. Пользователь может просматривать рекомендации, оповещения, политику безопасности и состояния безопасности, но не может вносить изменения.
  • Безопасность Администратор. Пользователь, принадлежащий этой роли, имеет тот же доступ, что и средство чтения безопасности, а также может обновить политику безопасности и закрыть оповещения и рекомендации.

Рекомендуется назначить пользователям роли с минимальными разрешениями, необходимыми для выполнения их задач. Например, назначьте роль читателя пользователям, которым нужно только просматривать сведения о работоспособности защиты ресурсов и не нужно выполнять какие-либо действия (к примеру, применять рекомендации или изменять политики).

Роли и разрешенные действия

В следующей таблице показаны роли и разрешенные им действия в Defender for Cloud.

Действие читатель сведений о безопасности /;
Читатель		 Администратор безопасности Участник / Владелец Участник Ответственное лицо
(уровень группы ресурсов) (уровень подписки) (уровень подписки)
Добавление и назначение инициатив (включая нормативные стандарты соответствия требованиям) - - -
Изменение политики безопасности - - -
Включение и выключение планов Microsoft Defender - -
Закрытие оповещений - -
Применение рекомендаций по безопасности к ресурсу
(и использование исправления)		 - -
Просмотр оповещений и рекомендаций
Исключение рекомендаций по безопасности - - -

Определенная роль, необходимая для развертывания компонентов мониторинга, зависит от развернутого расширения. Дополнительные сведения о компонентах мониторинга.

Роли, используемые для автоматической подготовки агентов и расширений

Чтобы разрешить роль безопасности Администратор автоматически подготавливать агенты и расширения, используемые в планах Defender для облака, Defender для облака использует исправление политики аналогичным образом, чтобы Политика Azure. Чтобы использовать исправление, Defender для облака необходимо создать субъекты-службы, также называемые управляемыми удостоверениями, назначающими роли на уровне подписки. Например, субъекты-службы для плана Defender для контейнеров:

Субъект-служба Роли
Профиль безопасности AKS в Защитнике для контейнеров • Участник расширения Kubernetes
•Вклад
• участник Служба Azure Kubernetes
• Участник Log Analytics
Защитник для контейнеров с поддержкой Arc Kubernetes • участник Служба Azure Kubernetes
• Участник расширения Kubernetes
•Вклад
• Участник Log Analytics
Политика Azure подготовки к контейнерам в Defender для Kubernetes • Участник расширения Kubernetes
•Вклад
• участник Служба Azure Kubernetes
Расширение политики подготовки Защитника для контейнеров для Kubernetes с поддержкой Arc • участник Служба Azure Kubernetes
• Участник расширения Kubernetes
•Вклад

Следующие шаги

В этой статье объясняется, как в Defender for Cloud используется Azure RBAC для назначения разрешений пользователям и определения разрешенных действий для каждой роли. Теперь, когда вы ознакомились с назначениями ролей, необходимых для наблюдения за состоянием безопасности подписки, изменения политик безопасности и применения рекомендаций, вы можете изучить следующие темы.