判斷存取控制需求

本文是一系列的一部分，可在您使用適用於雲端的 Microsoft Defender 來設計跨多重雲端資源的雲端安全性態勢管理 (CSPM) 和雲端工作負載保護 (CWP) 解決方案時提供指導。

Goal

了解在您的多重雲端部署上所需的權限和存取控制。

開始使用

作為多重雲端解決方案設計的一部分，您應該檢閱將提供使用者使用的多重雲端資源的存取需求。 當您規劃時，請回答下列問題、記下筆記，並清楚了解答案的原因。

• 誰應該可以存取多重雲端資源的建議和警示？
• 您的多重雲端資源和環境是否由不同的小組所擁有？ 如果是，每個小組是否需要相同的存取層級？
• 您需要限制特定使用者和群組對特定資源的存取權嗎？ 如果是，如何限制 Azure、AWS 和 GCP 資源的存取權？
• 您的組織是否需要將身分識別和存取管理 (IAM 權限) 繼承至資源群組層級？
• 您是否需要判斷下列人員的任何 IAM 需求：
  • 實作 JIT 受攻擊面縮小 VM 和 AWS EC2？
  • 定義自適性應用程式控制 (應用程式擁有者定義的存取權)？
  • 安全性作業？

有了清楚的答案，您便可以找出適用於雲端的 Defender 存取需求。 其他需考量的事項：

• 適用於雲端的 Defender 多重雲端功能支援 IAM 權限的繼承。
• 無論使用者對於 AWS/GCP 連接器所在資源群組層級擁有的權限為何，都會針對多重雲端建議和安全性警示自動繼承。

下一步

在本文中，您已了解如何在設計多重雲端安全性解決方案時判斷存取控制需求。 請繼續進行下一個步驟，以判斷多重雲端相依性。