使用者角色和權限
適用於雲端的 Microsoft Defender 會使用 Azure 角色型存取控制 (Azure RBAC),以提供內建角色。 您可以將這些角色指派給 Azure 中的使用者、群組和服務,以根據角色中定義的存取權,為使用者提供資源存取權。
適用於雲端的 Defender 會評估資源的設定,以識別安全性問題與弱點。 在適用於雲端的 Defender,只有當您獲指派為資源所屬的訂用帳戶或資源群組的其中一個角色時,才能看到與資源相關的資訊:擁有者、參與者或讀者。
除了這些內建角色,還有兩個特定的「適用於雲端的 Defender」角色:
- 安全性讀者:屬於此角色的使用者擁有適用於雲端的 Defender 的唯讀權限。 使用者可以檢視建議、警示、安全性原則和安全性狀態,但無法進行變更。
- 安全性管理員:屬於此角色的使用者具有與「安全性讀者」相同的存取權,而且還能更新安全性原則,以及解除警示和建議。
我們建議您指派所需的最寬鬆角色,以便使用者完成其工作。 例如,將「讀取者」角色指派給只需要檢視資源安全性狀態的相關資訊,但不採取行動的使用者,例如套用建議或編輯原則。
角色和允許的動作
下表會顯示適用於雲端的 Microsoft Defender 的角色和允許的動作。
| 動作 | 安全性讀取者 / 讀取者 |
安全性系統管理員 | 參與者 / 擁有者 | 參與者 | 負責人 |
|---|---|---|---|---|---|
| (資源群組層級) | (訂閱層級) | (訂閱層級) | |||
| 新增/指派方案 (包括法規遵循標準) | - | ✔ | - | - | ✔ |
| 編輯安全性原則 | - | ✔ | - | - | ✔ |
| 啟用/停用 Microsoft Defender 方案 | - | ✔ | - | ✔ | ✔ |
| 解除警示 | - | ✔ | - | ✔ | ✔ |
| 針對資源 套用安全性建議 (使用修正) |
- | - | ✔ | ✔ | ✔ |
| 檢視警示和建議 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 豁免安全性建議 | - | ✔ | - | - | ✔ |
| 設定電子郵件通知 | - | ✔ | ✔ | ✔ | ✔ |
注意
若要啟用和停用 Defender 方案,上述三個角色應已足夠,但若要啟用方案的所有功能,則需要擁有者角色。
部署監視元件所需的特定角色取決於您要部署的延伸模組。 深入了解監視元件。
用來自動佈建代理程式和延伸模組的角色
若要允許安全性管理員角色自動佈建適用於雲端的 Defender 方案中使用的代理程式和延伸模組,適用於雲端的 Defender 會以與 Azure 原則類似的方式使用原則補救。 若要使用補救,適用於雲端的 Defender 必須建立服務主體,服務主體也稱為在訂用帳戶層級指派角色的受控識別。 例如,適用於容器的 Defender 方案之服務主體如下:
| Service Principal | 角色 |
|---|---|
| 佈建 AKS 安全性設定檔之適用於容器的 Defender | • Kube 延伸模組參與者 • 參與者 • Azure Kubernetes Service 參與者 • Log Analytics 參與者 |
| 佈建已啟用 Arc 的 Kube 所需的適用於容器的 Defender | • Azure Kubernetes Service 參與者 • Kube 延伸模組參與者 • 參與者 • Log Analytics 參與者 |
| 佈建 Kubernetes 的 Azure 原則時所需的適用於容器的 Defender | • Kube 延伸模組參與者 • 參與者 • Azure Kubernetes Service 參與者 |
| 為已啟用 Arc 的 Kubernetes 佈建原則延伸模組之適用於容器的 Defender | • Azure Kubernetes Service 參與者 • Kube 延伸模組參與者 • 參與者 |
AWS 的權限
當您將 Amazon Web Services (AWS) 連接器上線時,適用於雲端的 Defender 將會建立角色,並在 AWS 帳戶上指派權限。 下表顯示 AWS 帳戶上每個方案所指派的角色和權限。
| 適用於雲端的 Defender 方案 | 已建立角色 | 在 AWS 帳戶上指派的權限 |
|---|---|---|
| Defender CSPM | CspmMonitorAws | 若要探索 AWS 資源權限,請閱讀下列所有資源: 合併帳單: 免費方案: 開立發票: 付款: 計費: 稅金: cur:* |
| Defender CSPM 適用於伺服器的 Defender |
DefenderForCloud-AgentlessScanner | 若要建立和清除磁碟快照集(以標記為範圍)「CreatedBy」:「適用於雲端的 Microsoft Defender」權限: ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus EncryptionKeyCreation kms:CreateKey 的權限 kms:ListKeys EncryptionKeyManagement kms:TagResource 的權限 kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Defender CSPM 適用於儲存體的 Defender |
SensitiveDataDiscovery | 在 AWS 帳戶中探索 S3 貯體的權限、適用於雲端的 Defender 掃描程式存取 S3 貯體資料的權限。 S3 唯讀;KMS 解密 kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Ciem Discovery 的權限 sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| 適用於伺服器的 Defender | DefenderForCloud-DefenderForServers | 設定 JIT 網路存取的權限: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| 適用於容器的 Defender | DefenderForCloud-Containers-K8s | 列出 EKS 叢集和從 EKS 叢集收集資料的權限。 eks:UpdateClusterConfig eks:DescribeCluster |
| 適用於容器的 Defender | DefenderForCloud-DataCollection | 適用於雲端的 Defender 所建立之 CloudWatch 記錄群組的權限 “logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups autp logs:PutRetentionPolicy 使用適用於雲端的 Defender 所建立之 SQS 佇列的權限 sqs:ReceiveMessage sqs:DeleteMessage |
| 適用於容器的 Defender | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | 存取適用於雲端的 Defender 所建立的 Kinesis Data Firehose 傳遞資料流的權限 firehose:* |
| 適用於容器的 Defender | DefenderForCloud-Containers-K8s-kinesis-to-s3 | 使用適用於雲端的 Defender 所建立之存取 S3 貯體的權限 s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
| 適用於容器的 Defender Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | 從 EKS 叢集收集資料的權限。 更新 EKS 叢集以支援 IP 限制,並建立 EKS 叢集的 intitymapping “eks:DescribeCluster” “eks:UpdateClusterConfig*” |
| 適用於容器的 Defender Defender CSPM |
MDCContainersImageAssessmentRole | 從 ECR 和 ECR 公用掃描影像的權限。 AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| 適用於伺服器的 Defender | DefenderForCloud-ArcAutoProvisioning | 使用 SSM 在所有 EC2 執行個體上安裝 Azure Arc 的權限 ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | 在 AWS 帳戶中探索 RDS 執行個體的權限、建立 RDS 執行個體快照集, - 列出所有 RDS DB/叢集 - 列出所有 DB/叢集快照集 - 複製所有 DB/叢集快照集 - 使用 defenderfordatabases 前置詞以刪除/更新 DB/叢集快照集 - 列出所有 KMS 金鑰 - 僅針對來源帳戶上的 RDS 使用所有 KMS 金鑰 - 列出具有標籤前置詞 DefenderForDatabases 的 KMS 金鑰 - 建立 KMS 金鑰的別名 探索所需的權限,RDS 執行個體 rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
GCP 的權限
當您將 Google Cloud Projects (GCP) 連接器上線時,適用於雲端的 Defender 將會建立角色,並在您的 GCP 專案上指派權限。 下表顯示 GCP 專案上每個方案所指派的角色和權限。
| 適用於雲端的 Defender 方案 | 已建立角色 | 在 AWS 帳戶上指派的權限 |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | 這些權限可讓 CSPM 角色探索及掃描組織內的資源: 允許角色檢視和組織、專案和資料夾: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy 允許新專案的自動佈建程序,以及移除已刪除的專案: resourcemanager.projects.get resourcemanager.projects.list 允許角色啟用用於探索資源的 Google Cloud 服務: serviceusage.services.enable 用來建立及列出 IAM 角色: iam.roles.create iam.roles.list 允許角色作為服務帳戶,並取得資源的權限: iam.serviceAccounts.actAs 允許角色檢視專案詳細資料並設定一般執行個體中繼資料: compute.projects.get compute.projects.setCommonInstanceMetadata |
| 適用於伺服器的 Defender | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Read-only access to get and list Compute Engine resources compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| 適用於資料庫的 Defender | defender-for-databases-arc-ap | 適用於資料庫 ARC 自動佈建的 Defender 權限 compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM 適用於儲存體的 Defender |
data-security-posture-storage | 適用於雲端的 Defender 掃描程式探索 GCP 儲存體貯體的權限,以存取 GCP 儲存體貯體中的資料 storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM 適用於儲存體的 Defender |
data-security-posture-storage | 適用於雲端的 Defender 掃描程式探索 GCP 儲存體貯體的權限,以存取 GCP 儲存體貯體中的資料 storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | 取得組織資源詳細資料的權限。 resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM 適用於伺服器的 Defender |
MDCAgentlessScanningRole | 無代理程式磁碟掃描的權限: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM 適用於伺服器的 Defender |
cloudkms.cryptoKeyEncrypterDecrypter | 授與現有 GCP KMS 角色權限,以支援掃描使用 CMEK 加密的磁碟 |
| Defender CSPM 適用於容器的 Defender |
mdc-containers-artifact-assess | 從 GAR 和 GCR 掃描影像的權限。 artifactregistry.reader storage.objectViewer |
| 適用於容器的 Defender | mdc-containers-k8s-operator | 從 GKE 叢集收集資料的權限。 更新 GKE 叢集以支援 IP 限制。 container.viewer MDCGkeClusterWriteRole container.clusters.update* |
| 適用於容器的 Defender | microsoft-defender-containers | 建立和管理記錄接收的權限,以將記錄路由傳送至 Cloud Pub/Sub 主題。 logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| 適用於容器的 Defender | ms-defender-containers-stream | 允許記錄傳送記錄至 pub 子帳戶的權限: pubsub.subscriptions.consume pubsub.subscriptions.get |
下一步
本文說明適用於雲端的 Microsoft Defender 如何使用 Azure RBAC,將權限指派給使用者,並識別每個角色允許的動作。 現在,您已熟悉監視您的訂用帳戶的安全性狀態所需的角色指派,編輯安全性原則和套用建議,接著了解如何︰