编辑

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

有关 Defender for Cloud 中权限的常见问题

  • 常见问题解答

Microsoft Defender for Cloud 中的权限如何工作?

Microsoft Defender for Cloud 使用 Azure 基于角色的访问控制 (Azure RBAC) 提供可在 Azure 中分配给用户、组和服务的内置角色

Defender for Cloud 会评估资源的配置以识别安全问题和漏洞。 在 Defender for Cloud 中,仅当分配有资源所属的订阅或资源组的“所有者”、“参与者”或“读取者”角色,才能看到与资源相关的信息。

请参阅 Microsoft Defender for Cloud 中的权限,详细了解 Defender for Cloud 中的角色和允许的操作。

哪些用户可以修改安全策略?

只有安全管理员或者订阅的所有者或参与者才能修改安全策略。

若要了解如何配置安全策略,请参阅在 Microsoft Defender for Cloud 中设置安全策略

无代理扫描使用了哪些权限?

此处列出了 Defender for Cloud 用于对 Azure、AWS 和 GCP 环境执行无代理扫描的角色和权限。 在 Azure 中,当你启用无代理扫描后,这些权限会自动添加到你的订阅。 在 AWS 中,这些权限将添加到 AWS 连接器中的 CloudFormation 堆栈,在 GCP 中,这些权限将添加到 GCP 连接器中的载入脚本。

  • Azure 权限 - 内置角色“VM 扫描程序操作员”拥有对快照过程所需的 VM 磁盘的只读权限。 权限的详细列表如下:

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/disks/diskEncryptionSets/read
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

    当启用了 CMK 加密磁盘的覆盖范围时,将使用以下附加权限:

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/wrap/action
    • Microsoft.KeyVault/vaults/keys/unwrap/action

  • AWS 权限 - 启用无代理扫描后,角色“VmScanner”将分配给扫描程序。 此角色仅具有最小权限集,用于创建和清理快照(按标记划定范围),并验证 VM 的当前状态。 详细权限包括:

    Attribute
    SID VmScannerDeleteSnapshotAccess
    操作 ec2:DeleteSnapshot
    条件 "StringEquals":{"ec2:ResourceTag/CreatedBy”:
    "Microsoft Defender for Cloud"}
    资源 arn:aws:ec2:::snapshot/
    效果 Allow
    Attribute
    SID VmScannerAccess
    操作 ec2:ModifySnapshotAttribute
    ec2:DeleteTags
    ec2:CreateTags
    ec2:CreateSnapshots
    ec2:CopySnapshots
    ec2:CreateSnapshot
    条件
    资源 arn:aws:ec2:::instance/
    arn:aws:ec2:::snapshot/
    arn:aws:ec2:::volume/
    效果 Allow
    Attribute
    SID VmScannerVerificationAccess
    操作 ec2:DescribeSnapshots
    ec2:DescribeInstanceStatus
    条件
    资源 *
    效果 Allow
    Attribute
    SID VmScannerEncryptionKeyCreation
    操作 kms:CreateKey
    条件
    资源 *
    效果 Allow
    Attribute
    SID VmScannerEncryptionKeyManagement
    操作 kms:TagResource
    kms:GetKeyRotationStatus
    kms:PutKeyPolicy
    kms:GetKeyPolicy
    kms:CreateAlias
    kms:ListResourceTags
    条件
    资源 arn:aws:kms::${AWS::AccountId}:key/
    arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
    效果 Allow
    Attribute
    SID VmScannerEncryptionKeyUsage
    操作 kms:GenerateDataKeyWithoutPlaintext
    kms:DescribeKey
    kms:RetireGrant
    kms:CreateGrant
    kms:ReEncryptFrom
    条件
    资源 arn:aws:kms::${AWS::AccountId}:key/
    效果 允许

  • GCP 权限:在载入期间 - 使用获取实例状态和创建快照所需的最低权限创建新的自定义角色。 在此基础上,授予对现有 GCP KMS 角色的权限,以支持扫描使用 CMEK 加密的磁盘。 这些角色为:

    • roles/MDCAgentlessScanningRole 授予使用 compute.disks.createSnapshot、compute.instances.get 权限的 Defender for Cloud 服务帐户
    • roles/cloudkms.cryptoKeyEncrypterDecrypter 授予 Defender for Cloud 的计算引擎服务代理

将数据导出到 Azure 事件中心时所需的最低 SAS 策略权限是什么?

发送是所需的最低 SAS 策略权限。 有关分步说明,请参阅此文章中的步骤 1:创建具有发送权限的事件中心命名空间和事件中心