使用者角色和權限
適用於雲端的 Microsoft Defender 會使用 Azure 角色型存取控制 (Azure RBAC),以提供內建角色。 您可以將這些角色指派給 Azure 中的使用者、群組和服務,以根據角色中定義的存取權,為使用者提供資源存取權。
適用於雲端的 Defender 會評估資源的設定,以識別安全性問題與弱點。 在適用於雲端的 Defender,只有當您獲指派為資源所屬的訂用帳戶或資源群組的其中一個角色時,才能看到與資源相關的資訊:擁有者、參與者或讀者。
除了這些內建角色,還有兩個特定的「適用於雲端的 Defender」角色:
- 安全性讀者:屬於此角色的使用者擁有適用於雲端的 Defender 的唯讀權限。 使用者可以檢視建議、警示、安全性原則和安全性狀態,但無法進行變更。
- 安全性管理員:屬於此角色的使用者具有與「安全性讀者」相同的存取權,而且還能更新安全性原則,以及解除警示和建議。
我們建議您指派所需的最寬鬆角色,以便使用者完成其工作。 例如,將「讀取者」角色指派給只需要檢視資源安全性狀態的相關資訊,但不採取行動的使用者,例如套用建議或編輯原則。
角色和允許的動作
下表會顯示適用於雲端的 Microsoft Defender 的角色和允許的動作。
| 動作 | 安全性讀取者 / 讀取者 |
安全性系統管理員 | 參與者 / 擁有者 | 參與者 | 擁有者 |
|---|---|---|---|---|---|
| (資源群組層級) | (訂閱層級) | (訂閱層級) | |||
| 新增/指派方案 (包括法規遵循標準) | - | ✔ | - | - | ✔ |
| 編輯安全性原則 | - | ✔ | - | - | ✔ |
| 啟用/停用 Microsoft Defender 方案 | - | ✔ | - | ✔ | ✔ |
| 解除警示 | - | ✔ | - | ✔ | ✔ |
| 針對資源 套用安全性建議 (使用修正) |
- | - | ✔ | ✔ | ✔ |
| 檢視警示和建議 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 豁免安全性建議 | - | ✔ | - | - | ✔ |
| 設定電子郵件通知 | - | ✔ | ✔ | ✔ | ✔ |
注意
若要啟用和停用 Defender 方案,上述三個角色應已足夠,但若要啟用方案的所有功能,則需要擁有者角色。
部署監視元件所需的特定角色取決於您要部署的延伸模組。 深入了解監視元件。
用來自動佈建代理程式和延伸模組的角色
若要允許安全性管理員角色自動佈建適用於雲端的 Defender 方案中使用的代理程式和延伸模組,適用於雲端的 Defender 會以與 Azure 原則類似的方式使用原則補救。 若要使用補救,適用於雲端的 Defender 必須建立服務主體,服務主體也稱為在訂用帳戶層級指派角色的受控識別。 例如,適用於容器的 Defender 方案之服務主體如下:
| Service Principal | 角色 |
|---|---|
| 佈建 AKS 安全性設定檔之適用於容器的 Defender | • Kube 延伸模組參與者 • 參與者 • Azure Kubernetes Service 參與者 • Log Analytics 參與者 |
| 佈建已啟用 Arc 的 Kube 所需的適用於容器的 Defender | • Azure Kubernetes Service 參與者 • Kube 延伸模組參與者 • 參與者 • Log Analytics 參與者 |
| 佈建 Kubernetes 的 Azure 原則時所需的適用於容器的 Defender | • Kube 延伸模組參與者 • 參與者 • Azure Kubernetes Service 參與者 |
| 為已啟用 Arc 的 Kubernetes 佈建原則延伸模組之適用於容器的 Defender | • Azure Kubernetes Service 參與者 • Kube 延伸模組參與者 • 參與者 |
AWS 的權限
當您將 Amazon Web Services (AWS) 連接器上線時,適用於雲端的 Defender 將會建立角色,並在 AWS 帳戶上指派權限。 下表顯示 AWS 帳戶上每個方案所指派的角色和權限。
| 適用於雲端的 Defender 方案 | 已建立角色 | 在 AWS 帳戶上指派的權限 |
|---|---|---|
| Defender CSPM | CspmMonitorAws | 若要探索 AWS 資源權限,請閱讀下列所有資源: 「合併帳單:」 「免費方案:」 「開立發票:」 「付款:」 「計費:」 「稅金:」 「cur:*」 |
| Defender CSPM 適用於伺服器的 Defender |
DefenderForCloud-AgentlessScanner | 若要建立和清除磁碟快照集(以標記為範圍)「CreatedBy」:「適用於雲端的 Microsoft Defender」權限: "ec2:DeleteSnapshot" "ec2:ModifySnapshotAttribute" "ec2:DeleteTags" "ec2:CreateTags" "ec2:CreateSnapshots" "ec2:CopySnapshot" "ec2:CreateSnapshot" "ec2:DescribeSnapshots" "ec2:DescribeInstanceStatus" EncryptionKeyCreation "kms:CreateKey" 的權限 "kms:ListKeys" EncryptionKeyManagement "kms:TagResource" 的權限 "kms:GetKeyRotationStatus" "kms:PutKeyPolicy" "kms:GetKeyPolicy" "kms:CreateAlias" "kms:TagResource" "kms:ListResourceTags" "kms:GenerateDataKeyWithoutPlaintext" "kms:DescribeKey" "kms:RetireGrant" "kms:CreateGrant" "kms:ReEncryptFrom" |
| Defender CSPM 適用於儲存體的 Defender |
SensitiveDataDiscovery | 在 AWS 帳戶中探索 S3 貯體的權限、適用於雲端的 Defender 掃描程式存取 S3 貯體資料的權限。 S3 唯讀;KMS 解密 "kms:Decrypt" |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Ciem Discovery 的權限 "sts:AssumeRole" "sts:AssumeRoleWithSAML" "sts:GetAccessKeyInfo" "sts:GetCallerIdentity" "sts:GetFederationToken" "sts:GetServiceBearerToken" "sts:GetSessionToken" "sts:TagSession" |
| 適用於伺服器的 Defender | DefenderForCloud-DefenderForServers | 設定 JIT 網路存取的權限: "ec2:RevokeSecurityGroupIngress" "ec2:AuthorizeSecurityGroupIngress" "ec2:DescribeInstances" "ec2:DescribeSecurityGroupRules" "ec2:DescribeVpcs" "ec2:CreateSecurityGroup" "ec2:DeleteSecurityGroup" "ec2:ModifyNetworkInterfaceAttribute" "ec2:ModifySecurityGroupRules" "ec2:ModifyInstanceAttribute" "ec2:DescribeSubnets" "ec2:DescribeSecurityGroups" |
| 適用於容器的 Defender | DefenderForCloud-Containers-K8s | 列出 EKS 叢集和從 EKS 叢集收集資料的權限。 "eks:UpdateClusterConfig" "eks:DescribeCluster" |
| 適用於容器的 Defender | DefenderForCloud-DataCollection | 適用於雲端的 Defender 所建立之 CloudWatch 記錄群組的權限 “logs:PutSubscriptionFilter" "logs:DescribeSubscriptionFilters" "logs:DescribeLogGroups" autp "logs:PutRetentionPolicy" 使用適用於雲端的 Defender 所建立之 SQS 佇列的權限 "sqs:ReceiveMessage" "sqs:DeleteMessage" |
| 適用於容器的 Defender | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | 存取適用於雲端的 Defender 所建立的 Kinesis Data Firehose 傳遞資料流的權限 "firehose:*" |
| 適用於容器的 Defender | DefenderForCloud-Containers-K8s-kinesis-to-s3 | 使用適用於雲端的 Defender 所建立之存取 S3 貯體的權限 "s3:GetObject" "s3:GetBucketLocation" "s3:AbortMultipartUpload" "s3:GetBucketLocation" "s3:GetObject" "s3:ListBucket" "s3:ListBucketMultipartUploads" "s3:PutObject" |
| 適用於容器的 Defender Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | 從 EKS 叢集收集資料的權限。 更新 EKS 叢集以支援 IP 限制,並建立 EKS 叢集的 intitymapping “eks:DescribeCluster” “eks:UpdateClusterConfig*” |
| 適用於容器的 Defender Defender CSPM |
MDCContainersImageAssessmentRole | 從 ECR 和 ECR 公用掃描影像的權限。 AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| 適用於伺服器的 Defender | DefenderForCloud-ArcAutoProvisioning | 使用 SSM 在所有 EC2 執行個體上安裝 Azure Arc 的權限 "ssm:CancelCommand" "ssm:DescribeInstanceInformation" "ssm:GetCommandInvocation" "ssm:UpdateServiceSetting" "ssm:GetServiceSetting" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" "ssm:GetAutomationExecution" "ec2:DescribeIamInstanceProfileAssociations" "ec2:DisassociateIamInstanceProfile" "ec2:DescribeInstances" "ssm:StartAutomationExecution" "iam:GetInstanceProfile" "iam:ListInstanceProfilesForRole" |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | 在 AWS 帳戶中探索 RDS 執行個體的權限、建立 RDS 執行個體快照集, - 列出所有 RDS DB/叢集 - 列出所有 DB/叢集快照集 - 複製所有 DB/叢集快照集 - 使用 defenderfordatabases 前置詞以刪除/更新 DB/叢集快照集 - 列出所有 KMS 金鑰 - 僅針對來源帳戶上的 RDS 使用所有 KMS 金鑰 - 列出具有標籤前置詞 DefenderForDatabases 的 KMS 金鑰 - 建立 KMS 金鑰的別名 探索所需的權限,RDS 執行個體 "rds:DescribeDBInstances" "rds:DescribeDBClusters" "rds:DescribeDBClusterSnapshots" "rds:DescribeDBSnapshots" "rds:CopyDBSnapshot" "rds:CopyDBClusterSnapshot" "rds:DeleteDBSnapshot" "rds:DeleteDBClusterSnapshot" "rds:ModifyDBSnapshotAttribute" "rds:ModifyDBClusterSnapshotAttribute" "rds:DescribeDBClusterParameters" "rds:DescribeDBParameters" "rds:DescribeOptionGroups" "kms:CreateGrant" "kms:ListAliases" "kms:CreateKey" "kms:TagResource" "kms:ListGrants" "kms:DescribeKey" "kms:PutKeyPolicy" "kms:Encrypt" "kms:CreateGrant" "kms:EnableKey" "kms:CancelKeyDeletion" "kms:DisableKey" "kms:ScheduleKeyDeletion" "kms:UpdateAlias" "kms:UpdateKeyDescription" |
GCP 的權限
當您將 Google Cloud Projects (GCP) 連接器上線時,適用於雲端的 Defender 將會建立角色,並在您的 GCP 專案上指派權限。 下表顯示 GCP 專案上每個方案所指派的角色和權限。
| 適用於雲端的 Defender 方案 | 已建立角色 | 在 AWS 帳戶上指派的權限 |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | 探索 GCP 資源 resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy resourcemanager.folders.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable iam.roles.create iam.roles.list iam.serviceAccounts.actAs compute.projects.get compute.projects.setCommonInstanceMetadata" |
| 適用於伺服器的 Defender | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Read-only access to get and list Compute Engine resources roles/compute.viewer roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| 適用於資料庫的 Defender | defender-for-databases-arc-ap | 適用於資料庫 ARC 自動佈建的 Defender 權限 roles/compute.viewer roles/iam.workloadIdentityUser roles/iam.serviceAccountTokenCreator roles/osconfig.osPolicyAssignmentAdmin roles/osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM 適用於儲存體的 Defender |
data-security-posture-storage | 適用於雲端的 Defender 掃描程式探索 GCP 儲存體貯體的權限,以存取 GCP 儲存體貯體中的資料 storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM 適用於儲存體的 Defender |
data-security-posture-storage | 適用於雲端的 Defender 掃描程式探索 GCP 儲存體貯體的權限,以存取 GCP 儲存體貯體中的資料 storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | 取得組織資源詳細資料的權限。 resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM 適用於伺服器的 Defender |
MDCAgentlessScanningRole | 無代理程式磁碟掃描的權限: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM 適用於伺服器的 Defender |
cloudkms.cryptoKeyEncrypterDecrypter | 授與現有 GCP KMS 角色權限,以支援掃描使用 CMEK 加密的磁碟 |
| Defender CSPM 適用於容器的 Defender |
mdc-containers-artifact-assess | 從 GAR 和 GCR 掃描影像的權限。 Roles/artifactregistry.reader Roles/storage.objectViewer |
| 適用於容器的 Defender | mdc-containers-k8s-operator | 從 GKE 叢集收集資料的權限。 更新 GKE 叢集以支援 IP 限制。 Roles/container.viewer MDCGkeClusterWriteRole container.clusters.update* |
| 適用於容器的 Defender | microsoft-defender-containers | 建立和管理記錄接收的權限,以將記錄路由傳送至 Cloud Pub/Sub 主題。 logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| 適用於容器的 Defender | ms-defender-containers-stream | 允許記錄傳送記錄至 pub 子帳戶的權限: pubsub.subscriptions.consume pubsub.subscriptions.get |
下一步
本文說明適用於雲端的 Microsoft Defender 如何使用 Azure RBAC,將權限指派給使用者,並識別每個角色允許的動作。 現在,您已熟悉監視您的訂用帳戶的安全性狀態所需的角色指派,編輯安全性原則和套用建議,接著了解如何︰
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: