使用者角色和權限
適用於雲端的 Microsoft Defender 使用 Azure 角色型存取控制 (Azure RBAC) 來提供內建角色。 您可以將這些角色指派給 Azure 中的使用者、群組和服務,以根據角色中定義的存取權,為使用者提供資源存取權。
適用於雲端的 Defender 會評估您資源的設定,並識別安全性問題與弱點。 在適用於雲端的 Defender,當您將擁有者、參與者或讀取者角色指派給資源所屬訂用帳戶或資源群組時,就能檢視與資源相關的資訊。
除了這些內建角色,還有兩個特定的「適用於雲端的 Defender」角色:
- 安全性讀者:屬於此角色的使用者擁有適用於雲端的 Defender 的唯讀權限。 使用者可以檢視建議、警示、安全性原則和安全性狀態,但無法進行變更。
- 安全性管理員:屬於此角色的使用者具有與「安全性讀者」相同的存取權,而且還能更新安全性原則,以及解除警示和建議。
我們建議指派使用者完成任務所需的最嚴謹角色。
例如,您可以將讀取者角色指派給只需要檢視資源安全性健康情況資訊、不必採取任何行動的使用者。 具有讀取者角色的使用者可以套用建議或編輯原則。
角色和允許的動作
下表會顯示適用於雲端的 Microsoft Defender 的角色和允許的動作。
動作 | 安全性讀取者 / 讀取者 |
安全性系統管理員 | 參與者 / 擁有者 | 參與者 | 負責人 |
---|---|---|---|---|---|
(資源群組層級) | (訂閱層級) | (訂閱層級) | |||
新增/指派方案 (包括法規遵循標準) | - | ✔ | - | - | ✔ |
編輯安全性原則 | - | ✔ | - | - | ✔ |
啟用/停用 Microsoft Defender 方案 | - | ✔ | - | ✔ | ✔ |
解除警示 | - | ✔ | - | ✔ | ✔ |
為資源 套用安全性建議 (使用修正) |
- | - | ✔ | ✔ | ✔ |
檢視警示和建議 | ✔ | ✔ | ✔ | ✔ | ✔ |
豁免安全性建議 | - | ✔ | - | - | ✔ |
設定電子郵件通知 | - | ✔ | ✔ | ✔ | ✔ |
注意
若要啟用和停用 Defender 方案,上述三個角色應已足夠,但若要啟用方案的所有功能,則需要擁有者角色。
部署監視元件所需的特定角色取決於您要部署的延伸模組。 深入了解監視元件。
用來自動佈建代理程式和延伸模組的角色
若要允許安全性管理員角色自動佈建適用於雲端的 Defender 方案中使用的代理程式和延伸模組,適用於雲端的 Defender 會以與 Azure 原則類似的方式使用原則補救。 若要使用補救,適用於雲端的 Defender 必須建立服務主體,服務主體也稱為在訂用帳戶層級指派角色的受控識別。 例如,適用於容器的 Defender 方案之服務主體如下:
Service Principal | 角色 |
---|---|
佈建 Azure Kubernetes 服務 (AKS) 安全性設定檔的適用於容器的 Defender | • Kube 延伸模組參與者 • 參與者 • Azure Kubernetes Service 參與者 • Log Analytics 參與者 |
佈建已啟用 Arc 的 Kube 所需的適用於容器的 Defender | • Azure Kubernetes Service 參與者 • Kube 延伸模組參與者 • 參與者 • Log Analytics 參與者 |
佈建 Kubernetes 的 Azure 原則時所需的適用於容器的 Defender | • Kube 延伸模組參與者 • 參與者 • Azure Kubernetes Service 參與者 |
為已啟用 Arc 的 Kubernetes 佈建原則延伸模組之適用於容器的 Defender | • Azure Kubernetes Service 參與者 • Kube 延伸模組參與者 • 參與者 |
AWS 的權限
將 Amazon Web Services (AWS) 連接器上線時,適用於雲端的 Defender 會建立角色並指派 AWS 帳戶權限。 下表顯示 AWS 帳戶上每個方案所指派的角色和權限。
適用於雲端的 Defender 方案 | 已建立角色 | 在 AWS 帳戶上指派的權限 |
---|---|---|
Defender 雲端安全性態勢管理 (CSPM) | CspmMonitorAws | 若要探索 AWS 資源權限,請閱讀下列所有資源: 合併帳單: 免費方案: 開立發票: 付款: 計費: 稅金: cur:* |
Defender CSPM 適用於伺服器的 Defender |
DefenderForCloud-AgentlessScanner | 若要建立和清除磁碟快照集(以標記為範圍)「CreatedBy」:「適用於雲端的 Microsoft Defender」權限: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus EncryptionKeyCreation kms:CreateKey 的權限 kms:ListKeys EncryptionKeyManagement kms:TagResource 的權限 kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
Defender CSPM 適用於儲存體的 Defender |
SensitiveDataDiscovery | 在 AWS 帳戶中探索 S3 貯體的權限、適用於雲端的 Defender 掃描程式存取 S3 貯體資料的權限。 S3 唯讀;KMS 解密 kms:Decrypt |
CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Ciem Discovery 的權限 sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
適用於伺服器的 Defender | DefenderForCloud-DefenderForServers | 設定 JIT 網路存取的權限: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
適用於容器的 Defender | DefenderForCloud-Containers-K8s | 列出 EKS 叢集和從 EKS 叢集收集資料的權限。 eks:UpdateClusterConfig eks:DescribeCluster |
適用於容器的 Defender | DefenderForCloud-DataCollection | 適用於雲端的 Defender 所建立之 CloudWatch 記錄群組的權限 “logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups autp logs:PutRetentionPolicy 使用適用於雲端的 Defender 所建立之 SQS 佇列的權限 sqs:ReceiveMessage sqs:DeleteMessage |
適用於容器的 Defender | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | 存取適用於雲端的 Defender 所建立的 Kinesis Data Firehose 傳遞資料流的權限 firehose:* |
適用於容器的 Defender | DefenderForCloud-Containers-K8s-kinesis-to-s3 | 使用適用於雲端的 Defender 所建立之存取 S3 貯體的權限 s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
適用於容器的 Defender Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | 從 EKS 叢集收集資料的權限。 更新 EKS 叢集以支援 IP 限制,並建立 EKS 叢集的 intitymapping “eks:DescribeCluster” “eks:UpdateClusterConfig*” |
適用於容器的 Defender Defender CSPM |
MDCContainersImageAssessmentRole | 從 ECR 和 ECR 公用掃描影像的權限。 AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
適用於伺服器的 Defender | DefenderForCloud-ArcAutoProvisioning | 使用 SSM 在所有 EC2 執行個體上安裝 Azure Arc 的權限 ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
Defender CSPM | DefenderForCloud-DataSecurityPostureDB | 在 AWS 帳戶中探索 RDS 執行個體的權限、建立 RDS 執行個體快照集, - 列出所有 RDS DB/叢集 - 列出所有 DB/叢集快照集 - 複製所有 DB/叢集快照集 - 使用 defenderfordatabases 前置詞以刪除/更新 DB/叢集快照集 - 列出所有 KMS 金鑰 - 僅針對來源帳戶上的 RDS 使用所有 KMS 金鑰 - 列出具有標籤前置詞 DefenderForDatabases 的 KMS 金鑰 - 建立 KMS 金鑰的別名 探索所需的權限,RDS 執行個體 rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
GCP 的權限
將 Google Cloud Platforms (GCP) 連接器上線時,適用於雲端的 Defender 會建立角色並指派 GCP 專案權限。 下表顯示 GCP 專案上每個方案所指派的角色和權限。
適用於雲端的 Defender 方案 | 已建立角色 | 在 AWS 帳戶上指派的權限 |
---|---|---|
Defender CSPM | MDCCspmCustomRole | 這些權限可讓 CSPM 角色探索及掃描組織內的資源: 允許角色檢視組織、專案和資料夾: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy 允許對新專案執行自動佈建流程,並移除已刪除的專案: resourcemanager.projects.get resourcemanager.projects.list 允許角色啟用用於探索資源的 Google Cloud 服務: serviceusage.services.enable 用來建立及列出 IAM 角色: iam.roles.create iam.roles.list 允許角色作為服務帳戶,並取得資源的權限: iam.serviceAccounts.actAs 允許角色檢視專案詳細資料並設定一般執行個體中繼資料: compute.projects.get compute.projects.setCommonInstanceMetadata |
適用於伺服器的 Defender | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Read-only access to get and list Compute Engine resources compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
適用於資料庫的 Defender | defender-for-databases-arc-ap | 適用於資料庫 ARC 自動佈建的 Defender 權限 compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
Defender CSPM 適用於儲存體的 Defender |
data-security-posture-storage | 適用於雲端的 Defender 掃描程式探索 GCP 儲存體貯體的權限,以存取 GCP 儲存體貯體中的資料 storage.objects.list storage.objects.get storage.buckets.get |
Defender CSPM 適用於儲存體的 Defender |
data-security-posture-storage | 適用於雲端的 Defender 掃描程式探索 GCP 儲存體貯體的權限,以存取 GCP 儲存體貯體中的資料 storage.objects.list storage.objects.get storage.buckets.get |
Defender CSPM | microsoft-defender-ciem | 取得組織資源詳細資料的權限。 resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
Defender CSPM 適用於伺服器的 Defender |
MDCAgentlessScanningRole | 無代理程式磁碟掃描的權限: compute.disks.createSnapshot compute.instances.get |
Defender CSPM 適用於伺服器的 Defender |
cloudkms.cryptoKeyEncrypterDecrypter | 授與現有 GCP KMS 角色權限,以支援掃描使用 CMEK 加密的磁碟 |
Defender CSPM 適用於容器的 Defender |
mdc-containers-artifact-assess | 從 GAR 和 GCR 掃描影像的權限。 artifactregistry.reader storage.objectViewer |
適用於容器的 Defender | mdc-containers-k8s-operator | 從 GKE 叢集收集資料的權限。 更新 GKE 叢集以支援 IP 限制。 container.viewer MDCGkeClusterWriteRole: container.clusters.update* MDCGkeContainerResponseActionsRole: container.pods.update container.networkPolicies.create container.networkPolicies.update container.networkPolicies.delete |
適用於容器的 Defender | microsoft-defender-containers | 建立和管理記錄接收的權限,以將記錄路由傳送至 Cloud Pub/Sub 主題。 logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
適用於容器的 Defender | ms-defender-containers-stream | 允許記錄傳送記錄至 pub 子帳戶的權限: pubsub.subscriptions.consume pubsub.subscriptions.get |
下一步
本文說明適用於雲端的 Defender 如何使用 Azure 角色型存取控制為使用者指派權限,並指出每種角色可進行的操作。 現在,您已熟悉監視您的訂用帳戶的安全性狀態所需的角色指派,編輯安全性原則和套用建議,接著了解如何︰