Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden de cloud-IAM-rollen en -machtigingen beschreven die nodig zijn voor het onboarden en uitvoeren van Microsoft Defender voor containers in Amazon Elastic Kubernetes Service (EKS) en Google Kubernetes Engine-omgevingen (GKE).
Deze machtigingen zijn van toepassing op cloudconnectors, Azure Arc inrichting, bedreigingsbeveiliging zonder agent en functies voor registerintegratie.
Machtigingen die zijn vereist voor de functie
Azure Arc-inrichtingsrol voor EKS en GKE
De ingebouwde Azure Arc-rol Defender Kubernetes Agent Operator voor het inrichten van de Defender-agent en De Azure Policy-agent heeft de volgende machtigingen:
- Microsoft.Authorization/*/read
- Microsoft.Insights/alertRules/*
- Microsoft.Resources/deployments/*
- Microsoft.Resources/subscriptions/resourceGroups/read
- Microsoft.Resources/subscriptions/resourceGroups/write
- Microsoft.Resources/subscriptions/operationresults/read
- Microsoft.Resources/subscriptions/read
- Microsoft.KubernetesConfiguration/extensions/write
- Microsoft.KubernetesConfiguration/extensions/read
- Microsoft.KubernetesConfiguration/extensies/verwijderen
- Microsoft.KubernetesConfiguration/extensions/operations/read
- Microsoft.Kubernetes/connectedClusters/Write
- Microsoft.Kubernetes/connectedClusters/read
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/listKeys/action
- Microsoft.OperationalInsights/workspaces/sharedkeys/action
- Microsoft.Kubernetes/register/action
- Microsoft.KubernetesConfiguration/register/action
Machtigingen voor beveiliging tegen bedreigingen zonder AWS-agent
AzureDefenderKubernetesRole (standaardrolnaam: MDCContainersK8sRole):
sts:AssumeRole
sts:AssumeRoleWithWebIdentity
logboeken:PutSubscriptionFilter
logs:BeschrijfAbonnementsfilters
logboeken:DescribeLogGroups
logboeken:PutRetentionPolicy
firehose:*
iam:PassRole
eks:UpdateClusterConfig
eks:DescribeCluster
eks:CreateAccessEntry
eks:ListAccessEntries
eks:AssociateAccessPolicy
eks:ListAssociatedAccessPolicies
sqs:*
s3:*
AzureDefenderKubernetesScubaReaderRole (standaardrolnaam: MDCContainersK8sDataCollectionRole):
- sts:AssumeRole
- sts:AssumeRoleWithWebIdentity
- sqs:ReceiveMessage
- sqs:DeleteMessage
- s3:GetObject
- s3:GetBucketLocation
AzureDefenderCloudWatchToKinesisRole (standaardrolnaam: MDCContainersK8sCloudWatchToKinesisRole):
- sts:AssumeRole
- firehose:*
AzureDefenderKinesisToS3Role (standaardrolnaam: MDCContainersK8sKinesisToS3Role):
MDCContainersAgentlessDiscoveryK8sRole
- sts:AssumeRoleWithWebIdentity
- eks:UpdateClusterConfig
- eks:DescribeCluster
- eks:CreateAccessEntry
- eks:ListAccessEntries
- eks:AssociateAccessPolicy
- eks:ListAssociatedAccessPolicies
Rol voor Beoordeling van Beeld in MDC Containers
- sts:AssumeRoleWithWebIdentity
- De machtigingen van deze veronderstelde rollen: AmazonEC2ContainerRegistryPowerUser & AmazonElasticContainerRegistryPublicPowerUser
GCP-machtigingen voor beveiliging tegen bedreigingen zonder agent
MicrosoftDefenderContainersDataCollectionRole
- pubsub.subscriptions.consume
- pubsub.subscriptions.get
MicrosoftDefenderContainersRole
- logging.sinks.list
- logging.sinks.get
- logging.sinks.create
- logging.sinks.bijwerken
- logging.sinks.delete
- resourcemanager.projects.getIamPolicy
- resourcemanager.organizations.getIamPolicy
- iam.serviceAccounts.get
- iam.workloadIdentityPoolProviders.get (alle logbestanden dat naar Pub/Sub gaan)
MDCCustomRole
- resourcemanager.folders.get
- resourcemanager.folders.list
- resourcemanager.projects.get
- resourcemanager.projects.list
- serviceusage.services.enable
- iam.roles.create
- iam.roles.list
- compute.projects.get
- compute.projects.setCommonInstanceMetadata
MDCCspmCustomRole
- resourcemanager.folders.getIamPolicy
- resourcemanager.folders.list
- resourcemanager.organizations.get
- resourcemanager.organizations.getIamPolicy
- storage.buckets.getIamPolicy
MDCGkeContainerInventoryCollectionRole
- container.nodes.proxy
- container.secrets.list
Machtigingen verleend in cloudomgevingen
Wanneer u AWS- of GCP-omgevingen onboardt voor Microsoft Defender voor Cloud, wordt er een implementatiescript gegenereerd om de vereiste IAM-rollen te maken op basis van het geselecteerde toegangsmodel:
- Standaardtoegang ondersteunt alle huidige en toekomstige extensies van de geselecteerde Defender-abonnementen.
- Least Privileged Access verleent alleen de machtigingen die zijn vereist voor de ondersteuning van de momenteel ingeschakelde extensies.
In de volgende tabellen worden de machtigingen weergegeven die zijn verleend aan Defender voor Containers-rollen, afhankelijk van het geselecteerde toegangsmodel.
Standaardtoegang voor AWS
| Rolnaam | Gekoppeld beleid/machtigingen | Capaciteiten |
|---|---|---|
| Rol voor Beoordeling van Beeld in MDC Containers | Lijst met AWS-machtigingen voor AmazonEC2ContainerRegistryPowerUser Lijst met AWS-machtigingen voor AmazonElasticContainerRegistryPublicPowerUser |
Evaluatie van beveiligingsproblemen in containers zonder agent. |
| MDCContainersAgentlessDiscoveryK8sRole | eks:DescribeCluster eks:UpdateClusterConfig eks:CreateAccessEntry eks:ListAccessEntries eks:AssociateAccessPolicy eks:ListAssociatedAccessPolicies |
Detectie zonder agent van Kubernetes. EKS-clusters bijwerken ter ondersteuning van IP-beperking |
AWS-toegang met minimaal vereiste bevoegdheden
| Rolnaam | Gekoppeld beleid/machtigingen | mogelijkheden |
|---|---|---|
| Rol voor Beoordeling van Beeld in MDC Containers | Lijst met AWS-machtigingen voor AmazonEC2ContainerRegistryReadOnly Lijst met AWS-machtigingen voor AmazonElasticContainerRegistryPublicReadOnly |
Evaluatie van beveiligingsproblemen in containers zonder agent. |
| MDCContainersAgentlessDiscoveryK8sRole | eks:DescribeCluster eks:UpdateClusterConfig |
Detectie zonder agent van Kubernetes. EKS-clusters bijwerken ter ondersteuning van IP-beperking |
GCP-standaardtoegang
| Serviceaccountnaam | Gekoppelde rollen/machtigingen | Capaciteiten |
|---|---|---|
| mdc-containers-artifact-evaluatie | Lijst met GCP-machtigingen roles/storage.objectUser Lijst met rollen/artifactregistry.writer GCP-machtigingen |
Evaluatie van beveiligingsproblemen in containers zonder agent. |
| mdc-containers-k8s-operator |
Lijst met GCP-machtigingen voor roles/container.viewer Aangepaste rol MDCGkeClusterWriteRole [Aangepaste rol] met machtiging container.clusters.update |
Detectie van Kubernetes zonder agent GKE-clusters bijwerken ter ondersteuning van IP-beperking |
GCP-toegang met minimale bevoegdheden
| Serviceaccountnaam | Gekoppelde rollen/machtigingen | Huidige capaciteiten |
|---|---|---|
| mdc-containers-artifact-evaluatie |
GCP-machtigingenlijst rollen/artifactregistry.lezer Rollen/storage.objectViewer GCP-machtigingenlijst |
Evaluatie van beveiligingsproblemen in containers zonder agent. |
| mdc-containers-k8s-operator |
Lijst met GCP-machtigingen voor roles/container.viewer Aangepaste rol MDCGkeClusterWriteRole met machtiging container.clusters.update |
Detectie zonder agent van Kubernetes. GKE-clusters bijwerken ter ondersteuning van IP-beperking |