通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

启用权限管理 (CIEM)

  • 项目

Microsoft Defender for Cloud 与 Microsoft Entra 权限管理(权限管理)集成在一起,可提供一种云基础结构权利管理 (CIEM) 安全模型,该模型可帮助组织管理和控制其云基础结构中的用户访问权限和权利。 CIEM 是云原生应用程序保护平台 (CNAPP) 解决方案的关键组件,可洞察谁或什么有权访问特定资源。 它确保访问权限遵循最低权限原则 (PoLP),其中用户或工作负载标识(如应用和服务)仅获得执行其任务所需的最低访问权限级别。 CIEM 还可帮助组织跨多个云环境(包括 Azure、AWS 和 GCP)监视和管理权限。

准备工作

为 Azure 启用权限管理 (CIEM)

在 Azure 帐户上启用 Defender CSPM 计划时,Azure CSPM标准会自动分配给订阅。 Azure CSPM 标准提供云基础结构权利管理 (CIEM) 建议。

禁用权限管理 (CIEM) 后,将不计算 Azure CSPM 标准内的 CIEM 建议。

  1. 登录 Azure 门户

  2. 搜索并选择“Microsoft Defender for Cloud”。

  3. 导航到“环境设置”。

  4. 选择相关订阅。

  5. 找到 Defender CSPM 计划并选择“设置”。

  6. 启用权限管理(CIEM)

    显示权限管理开关所在位置的屏幕截图。

  7. 选择继续

  8. 选择“保存”。

在几个小时内,适用的权限管理 (CIEM) 建议会显示在订阅上。

Azure 建议列表:

  • Azure 过度预配的标识应仅具有必要的权限

  • 应撤销/移除 Azure 环境中未使用的标识

  • 应撤销/移除 Azure 环境中的超级标识

为 AWS 启用权限管理 (CIEM)

在 AWS 帐户上启用 Defender CSPM 计划时,AWS CSPM标准会自动分配给订阅。 AWS CSPM 标准提供云基础结构权利管理 (CIEM) 建议。 禁用权限管理后,将不计算 AWS CSPM 标准内的 CIEM 建议。

  1. 登录 Azure 门户

  2. 搜索并选择“Microsoft Defender for Cloud”。

  3. 导航到“环境设置”。

  4. 选择相关 AWS 帐户。

  5. 找到 Defender CSPM 计划并选择“设置”。

    显示 AWS 帐户和启用的 Defender CSPM 计划以及设置按钮所在位置的屏幕截图。

  6. 启用权限管理(CIEM)

  7. 选择“配置访问权限”

  8. 选择相关的权限类型。

  9. 选择部署方法。

  10. 按照屏幕说明在 AWS 环境中运行更新后的脚本。

  11. 选中“CloudFormation 模板已在 AWS 环境(堆栈)上更新”复选框

    显示复选框在屏幕上的位置的屏幕截图。

  12. 选择“查看并生成”

  13. 选择“更新”

在几个小时内,适用的权限管理 (CIEM) 建议会显示在订阅上。

AWS 建议列表:

  • AWS 过度预配的标识应仅具有必要的权限

  • 应撤销/移除 Azure 环境中未使用的标识

为 GCP 启用权限管理 (CIEM)

在 GCP 项目上启用 Defender CSPM 计划时,GCP CSPM标准会自动分配给订阅。 GCP CSPM 标准提供云基础结构权利管理 (CIEM) 建议。

禁用权限管理 (CIEM) 后,将不计算 GCP CSPM 标准内的 CIEM 建议。

  1. 登录 Azure 门户

  2. 搜索并选择“Microsoft Defender for Cloud”。

  3. 导航到“环境设置”。

  4. 选择相关的 GCP 项目。

  5. 找到 Defender CSPM 计划并选择“设置”。

    显示从何处选择 GCP 项目的 Defender CSPM 计划的屏幕截图。

  6. 将权限管理 (CIEM) 切换为打开

  7. 选择“保存”。

  8. 选择“下一步: 配置访问权限”。

  9. 选择相关的权限类型。

  10. 选择部署方法。

  11. 按照屏幕说明在 GCP 环境中运行更新后的 Cloud Shell 或 Terraform 脚本。

  12. 勾选“我运行了部署模板以使更改生效”复选框

    显示需要选中的复选框的屏幕截图。

  13. 选择“查看并生成”

  14. 选择“更新”

在几个小时内,适用的权限管理 (CIEM) 建议会显示在订阅上。

GCP 建议列表:

  • GCP 过度预配的标识应仅具有必要的权限

  • 应撤销/移除 GCP 环境中未使用的标识

  • 应撤销/移除 GCP 环境中未使用的超级标识

下一步

详细了解 Microsoft Entra 权限管理