Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln visar de roller och behörigheter som krävs för att installera Komponenter för Defender för containrar i AWS Elastic Kubernetes Service (EKS) och GCP Google Kubernetes Engine (GKE) miljöer.
Behörigheter som krävs
| Defender för Container-funktionen | Komponent | Obligatorisk roll |
|---|---|---|
|
GKE-körningsskydd GKE-arbetsbelastningshärdning Sårbarhetsbedömning för körning (valfritt) |
GKE Arc-etablering (för Defender-agenten och Azure-principagenten) | Azure Arc-roll: Defender Kubernetes-agentoperator Fördefinierad roll i GCP: Kubernetes Engine Admin ELLER Kubernetes Engine Viewer (om endast Agentless threat protection och/eller Kubernetes API-åtkomsttillägg är aktiverade) |
|
EKS-körningsskydd GKE-arbetsbelastningshärdning Sårbarhetsbedömning för körning (valfritt) |
AWS Arc-etablering (för Defender-agenten och Azure-policyagenten) | Azure Arc-roll: Defender Kubernetes-agentoperatör AWS-roll: AzureDefenderKubernetesRole |
| GKE-kontrollplanhärdning – Skydd mot hot utan agent | Provisionering av GKE AuditLogs | Se behörigheter för GCP-skydd utan agenthot |
| Härdning av EKS-kontrollplanet – Skydd mot hot utan agent | Etablering av AWS AuditLogs | Se Behörigheter för AWS-agentlöst hotskydd |
Azure Arc-provisioneringsroll för EKS och GKE
Den inbyggda Azure Arc-rollen Defender Kubernetes Agent Operator för att etablera Defender-agenten och Azure-principagenten har följande behörigheter:
- Microsoft.Authorization/*/read
- Microsoft.Insights/alertRules/*
- Microsoft.Resources/deployments/*
- Microsoft.Resources/subscriptions/resourceGroups/read
- Microsoft.Resources/subscriptions/resourceGroups/write
- Microsoft.Resources/subscriptions/operationresults/read
- Microsoft.Resources/subscriptions/read
- Microsoft.KubernetesConfiguration/extensions/write
- Microsoft.KubernetesConfiguration/extensions/läs
- Microsoft.KubernetesConfiguration/extensions/radera
- Microsoft.KubernetesConfiguration/extensions/operations/read
- Microsoft.Kubernetes/connectedClusters/Write
- Microsoft.Kubernetes/connectedClusters/read
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/listKeys/action
- Microsoft.OperationalInsights/workspaces/sharedkeys/åtgärd
- Microsoft.Kubernetes/registrera/åtgärd
- Microsoft.KubernetesConfiguration/register/action
Behörigheter för AWS Agentless Threat Protection
AzureDefenderKubernetesRole:
- sts:AssumeRole
- sts:AssumeRoleWithWebIdentity
- logs:PutSubscriptionFilter
- loggar:BeskrivPrenumerationsfilter
- logs:DescribeLogGroups
- logs:PutRetentionPolicy
- firehose:*
- iam:PassRole
- eks:UppdateraKlusterKonfig
- eks:DescribeCluster
- eks:CreateAccessEntry
- eks:ListAccessEntries
- eks:AssociateAccessPolicy
- eks:ListAssociatedAccessPolicies
- sqs:*
- s3:*
AzureDefenderKubernetesScubaReaderRole:
- sts:AssumeRole
- sts:AssumeRoleWithWebIdentity
- sqs:ReceiveMessage
- sqs:DeleteMessage
- s3:GetObject
- s3:GetBucketLocation
AzureDefenderCloudWatchToKinesisRole:
- sts:AssumeRole
- firehose:*
AzureDefenderKinesisToS3Role:
- sts:AssumeRole
- s3:AvbrytFlersdeladUppladdning
- s3:GetBucketLocation
- s3:GetObject
- s3:ListBucket
- s3:ListBucketMultipartUploads
- s3:PutObject
MDCContainersAgentlessDiscoveryK8sRole
- sts:AssumeRoleWithWebIdentity
- eks:UpdateClusterConfig
- eks:DescribeCluster
- eks:CreateAccessEntry
- eks:ListAccessEntries
- eks:AssociateAccessPolicy
- eks:ListAssociatedAccessPolicies
MDCContainersImageAssessmentRole
- None needed. The term should remain as "sts:AssumeRoleWithWebIdentity" in Swedish to maintain consistency and accuracy within technical content.
- Behörigheterna för dessa antagna roller: AmazonEC2ContainerRegistryPowerUser & AmazonElasticContainerRegistryPublicPowerUser
Behörigheter för agentlöst hot-skydd i GCP
MicrosoftDefenderContainersDataCollectionRole
- pubsub.subscriptions.consume
- pubsub.subscriptions.get
MicrosoftDefenderContainersRole
- logging.sinks.list
- logging.sinks.get
- logging.sinks.create
- logging.sinks.update
- logging.sinks.delete
- resourcemanager.projects.getIamPolicy
- resourcemanager.organizations.getIamPolicy
- iam.serviceAccounts.get
- iam.workloadIdentityPoolProviders.get (alla loggar som går till Pub/Sub)
MDCCustomRole
- resursmanager.mappar.hämta
- resurshanterare.mappar.lista
- resourcemanager.projects.get
- resourcemanager.projects.list
- serviceusage.services.enable
- iam.roles.create (skapa roller)
- iam.roles.list
- compute.projects.get
- compute.projects.setCommonInstanceMetadata
MDCCspmCustomRole
- resourcemanager.folders.getIamPolicy
- resourcemanager.folders.list
- resourcemanager.organizations.get
- resourcemanager.organizations.getIamPolicy
- storage.buckets.getIamPolicy
MDCGkeContainerInventoryCollectionRole
- container.nodes.proxy
- container.secrets.list
Behörigheter som beviljas i molnmiljöer
När du registrerar AWS- och GCP-molnmiljöer till Defender för molnet via Azure-portalen skapas en anslutningsapp till önskad molnmiljö och du får ett skript som du kan köra i molnmiljön för att skapa de roller och behörigheter som krävs. Skriptet skapas baserat på de inställningar du väljer när du går igenom registreringsprocessen.
Som en del av registreringsprocessen väljer du mellan två behörighetstyper: Standardåtkomst och Åtkomst med minst privilegier:
Standardåtkomst stöder alla aktuella och framtida tillägg för de valda Defender-abonnemangen.
Alternativet Lägsta privilegierad åtkomst ger endast de behörigheter som krävs för att stödja de aktuella tilläggen.
I följande tabeller visas de behörigheter som beviljats vissa Defender for Containers-roller, beroende på vilken behörighetstyp du väljer.
AWS-standardåtkomst
| Rollnamn | Associerade principer/behörigheter | Förmågor |
|---|---|---|
| MDCContainersImageAssessmentRole | AmazonEC2ContainerRegistryPowerUser AWS-behörighetslista AmazonElasticContainerRegistryPublicPowerUser AWS-behörighetslista |
Utvärdering av säkerhetsrisker för agentlösa containrar. |
| MDCContainersAgentlessDiscoveryK8sRole | eks:BeskrivCluster eks:UppdateraKlusterKonfig eks:CreateAccessEntry eks:ListAccessEntries eks:AssociateAccessPolicy eks:ListAssociatedAccessPolicies |
Agentlös upptäckning av Kubernetes. Uppdatera EKS-kluster för att stödja IP-begränsning |
Minst privilegierad åtkomst för AWS
| Rollnamn | Associerade principer/behörigheter | Kapaciteter |
|---|---|---|
| MDCContainersImageAssessmentRole | AmazonEC2ContainerRegistryReadOnly AWS-behörighetslista AmazonElasticContainerRegistryPublicReadOnly AWS-behörighetslista |
Utvärdering av säkerhetsrisker för agentlösa containrar. |
| MDCContainersAgentlessDiscoveryK8sRole | eks:DescribeCluster eks:UpdateClusterConfig |
Agentlös upptäckning av Kubernetes. Uppdatera EKS-kluster för att stödja IP-begränsning |
Standardåtkomst för GCP
| Namn på tjänstkonto | Associerade roller/behörigheter | Förmågor |
|---|---|---|
| mdc-behållare-artefakt-bedömning | Lista över roller/storage.objectUser GCP-behörigheter Behörighetslista för Roles/artifactregistry.writer GCP |
Utvärdering av säkerhetsrisker för agentlösa containrar. |
| mdc-containers-k8s-operator | Behörighetslista för Roller/container.viewer GCP Anpassad roll MDCGkeClusterWriteRole [Anpassad roll] som har behörigheten container.clusters.update. |
Agentlös identifiering av Kubernetes Uppdatera GKE-kluster för att stödja IP-begränsning |
Minst privilegierad åtkomst för GCP
| Namn på tjänstkonto | Associerade roller/behörigheter | Aktuella funktioner |
|---|---|---|
| mdc-behållare-artifakt-bedömning | roller/artifactregistry.reader GCP-behörighetslista Roles/storage.objectViewer GCP-behörigheter lista |
Utvärdering av säkerhetsrisker för agentlösa containrar. |
| mdc-containers-k8s-operator | Behörighetslista för Roller/container.viewer GCP Anpassad roll MDCGkeClusterWriteRole med behörigheten container.clusters.update |
Agentlös upptäckt av Kubernetes. Uppdatera GKE-kluster för att stödja IP-begränsning |