Роли и разрешения пользователей
Microsoft Defender для облака используется Управление доступом на основе ролей Azure (Azure RBAC) для предоставления встроенных ролей. Эти роли можно назначить пользователям, группам и службам в Azure, чтобы предоставить пользователям доступ к ресурсам в соответствии с доступом, определенным в роли.
Defender for Cloud оценивает конфигурацию ресурсов, чтобы выявить проблемы безопасности и уязвимости. В Defender для облака вы увидите только информацию, связанную с ресурсом, если вы назначаете одну из этих ролей для подписки или для группы ресурсов, в которую входит ресурс: владелец, участник или читатель.
Помимо этих встроенных ролей существуют две специальные роли Defender for Cloud:
- Средство чтения безопасности: пользователь, принадлежащий этой роли, имеет доступ только для чтения к Defender для облака. Пользователь может просматривать рекомендации, оповещения, политику безопасности и состояния безопасности, но не может вносить изменения.
- Администратор безопасности: пользователь, принадлежащий этой роли, имеет тот же доступ, что и средство чтения безопасности, а также может обновлять политику безопасности, а также отклонять оповещения и рекомендации.
Рекомендуется назначить пользователям роли с минимальными разрешениями, необходимыми для выполнения их задач. Например, назначьте роль читателя пользователям, которым нужно только просматривать сведения о работоспособности защиты ресурсов и не нужно выполнять какие-либо действия (к примеру, применять рекомендации или изменять политики).
Роли и разрешенные действия
В следующей таблице показаны роли и разрешенные им действия в Defender for Cloud.
| Действие | читатель сведений о безопасности /; Читатель |
Администратор безопасности | Участник / Владелец | Участник | Ответственное лицо |
|---|---|---|---|---|---|
| (уровень группы ресурсов) | (уровень подписки) | (уровень подписки) | |||
| Добавление и назначение инициатив (включая стандарты соответствия нормативным требованиям) | - | ✔ | - | - | ✔ |
| Изменение политики безопасности | - | ✔ | - | - | ✔ |
| Включение и выключение планов Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Закрытие оповещений | - | ✔ | - | ✔ | ✔ |
| Применение рекомендаций по безопасности к ресурсу (и использование исправления) |
- | - | ✔ | ✔ | ✔ |
| Просмотр оповещений и рекомендаций | ✔ | ✔ | ✔ | ✔ | ✔ |
| Исключение рекомендаций по безопасности | - | ✔ | - | - | ✔ |
| Настройка уведомлений по электронной почте | - | ✔ | ✔ | ✔ | ✔ |
Примечание.
Хотя для включения и отключения планов Defender достаточно трех ролей, необходимо включить все возможности плана владельца.
Определенная роль, необходимая для развертывания компонентов мониторинга, зависит от развернутого расширения. Дополнительные сведения о компонентах мониторинга.
Роли, используемые для автоматической подготовки агентов и расширений
Чтобы роль администратора безопасности автоматически подготавливала агенты и расширения, используемые в планах Defender для облака, Defender для облака использует исправление политики аналогичным образом, чтобы Политика Azure. Чтобы использовать исправление, Defender для облака необходимо создать субъекты-службы, также называемые управляемыми удостоверениями, назначающими роли на уровне подписки. Например, субъекты-службы для плана Defender для контейнеров:
| Субъект-служба | Роли |
|---|---|
| Профиль безопасности AKS в Защитнике для контейнеров | • Участник расширения Kubernetes •Сотрудник • участник Служба Azure Kubernetes • Участник Log Analytics |
| Защитник для контейнеров с поддержкой Arc Kubernetes | • участник Служба Azure Kubernetes • Участник расширения Kubernetes •Сотрудник • Участник Log Analytics |
| Политика Azure подготовки к контейнерам в Defender для Kubernetes | • Участник расширения Kubernetes •Сотрудник • участник Служба Azure Kubernetes |
| Расширение политики подготовки Защитника для контейнеров для Kubernetes с поддержкой Arc | • участник Служба Azure Kubernetes • Участник расширения Kubernetes •Сотрудник |
Разрешения на AWS
При подключении соединителя Amazon Web Services (AWS) Defender для облака создаст роли и назначит разрешения для учетной записи AWS. В следующей таблице показаны роли и разрешения, назначенные каждым планом в учетной записи AWS.
| план Defender для облака | Созданная роль | Разрешение, назначенное учетной записи AWS |
|---|---|---|
| Defender CSPM | CspmMonitorAws | Чтобы обнаружить разрешения ресурсов AWS, ознакомьтесь со всеми ресурсами, кроме следующих: "консолидация:" "freetier:" "выставление счетов": "платежи": "выставление счетов": "tax:" "cur:*" |
| CSPM в Защитнике Defender для серверов |
DefenderForCloud-AgentlessScanner | Чтобы создать и очистить моментальные снимки дисков (в области по тегу) "CreateBy": "Microsoft Defender для облака" Разрешения: "ec2:DeleteSnapshot" "ec2:ModifySnapshotAttribute" "ec2:DeleteTags" "ec2:CreateTags" "ec2:CreateSnapshots" "ec2:CopySnapshot" "ec2:CreateSnapshot" "ec2:DescribeSnapshots" "ec2:DescribeInstanceStatus" Разрешение на ШифрованиеKeyCreation "kms:CreateKey" "kms:ListKeys" Разрешения для EncryptionKeyManagement "kms:TagResource" "kms:GetKeyRotationStatus" "kms:PutKeyPolicy" "kms:GetKeyPolicy" "kms:CreateAlias" "kms:TagResource" "kms:ListResourceTags" "kms:GenerateDataKeyWithoutPlaintext" "kms:DescribeKey" "kms:RetireGrant" "kms:CreateGrant" "kms:ReEncryptFrom" |
| CSPM в Защитнике Defender для хранилища |
SensitiveDataDiscovery | Разрешения на обнаружение контейнеров S3 в учетной записи AWS, разрешение сканера Defender для облака для доступа к данным в контейнерах S3. Только для чтения S3; KMS расшифровывает "kms:Decrypt" |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Разрешения для обнаружения Ciem "sts:AssumeRole" "sts:AssumeRoleWithSAML" "sts:GetAccessKeyInfo" "sts:GetCallerIdentity" "sts:GetFederationToken" "sts:GetServiceBearerToken" "sts:GetSessionToken" "sts:TagSession" |
| Defender для серверов | DefenderForCloud-DefenderForServers | Разрешения для настройки доступа к сети JIT: "ec2:RevokeSecurityGroupIngress" "ec2:AuthorizeSecurityGroupIngress" "ec2:DescribeInstances" "ec2:DescribeSecurityGroupRules" "ec2:DescribeVpcs" "ec2:CreateSecurityGroup" "ec2:DeleteSecurityGroup" "ec2:ModifyNetworkInterfaceAttribute" "ec2:ModifySecurityGroupRules" "ec2:ModifyInstanceAttribute" "ec2:DescribeSubnets" "ec2:DescribeSecurityGroups" |
| Defender для контейнеров | DefenderForCloud-Containers-K8s | Разрешения для перечисления кластеров EKS и сбора данных из кластеров EKS. "eks:UpdateClusterConfig" "eks:DescribeCluster" |
| Defender для контейнеров | DefenderForCloud-DataCollection | Разрешения для группы журналов CloudWatch, созданной Defender для облака Logs:PutSubscriptionFilter "logs:DescribeSubscriptionFilters" "logs:DescribeLogGroups" autp "logs:PutRetentionPolicy" Разрешения на использование очереди SQS, созданной Defender для облака "sqs:ReceiveMessage" "sqs:DeleteMessage" |
| Defender для контейнеров | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Разрешения на доступ к потоку доставки Kinesis Data Firehose, созданному Defender для облака "firehose:*" |
| Defender для контейнеров | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Разрешения на доступ к контейнеру S3, созданному Defender для облака "s3:GetObject" "s3:GetBucketLocation" "s3:AbortMultipartUpload" "s3:GetBucketLocation" "s3:GetObject" "s3:ListBucket" "s3:ListBucketMultipartUploads" "s3:PutObject" |
| Defender для контейнеров Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | Разрешения на сбор данных из кластеров EKS. Обновление кластеров EKS для поддержки ограничения IP-адресов и создания ioopntitymapping для кластеров EKS "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
| Defender для контейнеров Defender CSPM |
MDCContainersImageAssessmentRole | Разрешения на сканирование изображений из ECR и ecR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender для серверов | DefenderForCloud-ArcAutoProvisioning | Разрешения на установку Azure Arc на всех экземплярах EC2 с помощью SSM "ssm:CancelCommand" "ssm:DescribeInstanceInformation" "ssm:GetCommandInvocation" "ssm:UpdateServiceSetting" "ssm:GetServiceSetting" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Разрешение на обнаружение экземпляров RDS в учетной записи AWS, создание моментального снимка экземпляра RDS; — список всех DBS/кластеров RDS — вывод списка всех моментальных снимков базы данных и кластера — копирование всех моментальных снимков базы данных и кластера — удаление или обновление моментального снимка базы данных или кластера с префиксом Defenderfordatabases — вывод списка всех ключей KMS — Используйте все ключи KMS только для RDS в исходной учетной записи. — вывод списка ключей KMS с префиксом тега DefenderForDatabases — создание псевдонима для ключей KMS Разрешения, необходимые для обнаружения экземпляров RDS "rds:DescribeDBInstances" "rds:DescribeDBClusters" "rds:DescribeDBClusterSnapshots" "rds:DescribeDBSnapshots" "rds:CopyDBSnapshot" "rds:CopyDBClusterSnapshot" "rds:DeleteDBSnapshot" "rds:DeleteDBClusterSnapshot" "rds:ModifyDBSnapshotAttribute" "rds:ModifyDBClusterSnapshotAttribute" "rds:DescribeDBClusterParameters" "rds:DescribeDBParameters" "rds:DescribeOptionGroups" "kms:CreateGrant" "kms:ListAliases" "kms:CreateKey" "kms:TagResource" "kms:ListGrants" "kms:DescribeKey" "kms:PutKeyPolicy" "kms:Encrypt" "kms:CreateGrant" "kms:EnableKey" "kms:CancelKeyDeletion" "kms:DisableKey" "kms:ScheduleKeyDeletion" "kms:UpdateAlias" "kms:UpdateKeyDescription" |
Разрешения на GCP
При подключении соединителя Google Cloud Projects (GCP) Defender для облака создаст роли и назначит разрешения для проекта GCP. В следующей таблице показаны роли и разрешения, назначенные каждым планом в проекте GCP.
| план Defender для облака | Созданная роль | Разрешение, назначенное учетной записи AWS |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | Обнаружение ресурсов GCP resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy resourcemanager.folders.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable iam.role.create iam.role.list iam.serviceAccounts.actAs compute.projects.get compute.projects.setCommonInstanceMetadata" |
| Defender для серверов | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Доступ только для чтения для получения и перечисления подсистемы вычислений роли ресурсов или compute.viewer role/iam.serviceAccountTokenCreator role/osconfig.osPolicyAssignmentAdmin role/osconfig.osPolicyAssignmentReportViewer |
| Defender для базы данных | defender-for-database-arc-ap | Разрешения на автоматическую подготовку в Defender для баз данных ARC role/compute.viewer role/iam.workloadIdentityUser role/iam.serviceAccountTokenCreator role/osconfig.osPolicyAssignmentAdmin role/osconfig.osPolicyAssignmentReportViewer |
| CSPM в Защитнике Defender для хранилища |
хранилище данных с безопасностью | Разрешение сканера Defender для облака для обнаружения контейнеров хранилища GCP для доступа к данным в контейнерах хранилища GCP storage.objects.list storage.objects.get storage.buckets.get |
| CSPM в Защитнике Defender для хранилища |
хранилище данных с безопасностью | Разрешение сканера Defender для облака для обнаружения контейнеров хранилища GCP для доступа к данным в контейнерах хранилища GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Разрешения для получения сведений о ресурсе организации. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| CSPM в Защитнике Defender для серверов |
MDCAgentlessScanningRole | Разрешения для сканирования дисков без агента: compute.disks.createSnapshot compute.instances.get |
| CSPM в Защитнике Defender для серверов |
cloudkms.cryptoKeyEncrypterDecrypter | Разрешения для существующей роли GCP KMS предоставляются для поддержки сканирования дисков, зашифрованных с помощью CMEK |
| CSPM в Защитнике Defender для контейнеров |
mdc-containers-artifact-assess | Разрешение на сканирование изображений из GAR и GCR. Role/artifactregistry.reader Role/storage.objectViewer |
| Defender для контейнеров | оператор mdc-containers-k8s-operator | Разрешения на сбор данных из кластеров GKE. Обновите кластеры GKE для поддержки ограничения IP-адресов. Role/container.viewer MDCGkeClusterWriteRole container.clusters.update* |
| Defender для контейнеров | контейнеры Microsoft-Defender | Разрешения для создания приемника журналов и управления ими для маршрутизации журналов в раздел Cloud Pub/Sub. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender для контейнеров | ms-defender-containers-stream | Разрешения для ведения журнала для отправки журналов в вложенный файл pub: pubsub.subscriptions.consume pubsub.subscriptions.get |
Следующие шаги
В этой статье объясняется, как в Defender for Cloud используется Azure RBAC для назначения разрешений пользователям и определения разрешенных действий для каждой роли. Теперь, когда вы ознакомились с назначениями ролей, необходимых для наблюдения за состоянием безопасности подписки, изменения политик безопасности и применения рекомендаций, вы можете изучить следующие темы.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по