Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver de molnbaserade IAM-roller och behörigheter som krävs för att registrera och använda Microsoft Defender för containrar i EKS-miljöer (Amazon Elastic Kubernetes Service) och Google Kubernetes Engine (GKE).
Dessa behörigheter gäller för molnanslutningsprogram, Azure Arc etablering, agentlöst skydd mot hot och funktioner för registerintegrering.
Behörigheter som krävs av funktionen
| Defender för Container-funktionen | Komponent | Obligatorisk roll |
|---|---|---|
|
GKE-körningsskydd GKE-arbetsbelastningshärdning Sårbarhetsbedömning för körning (valfritt) |
GKE Arc-etablering (för Defender-agenten och Azure-principagenten) | Azure Arc-roll: Defender Kubernetes-agentoperator Fördefinierad roll i GCP: Kubernetes Engine Admin ELLER Kubernetes Engine Viewer (om endast Agentless threat protection och/eller Kubernetes API-åtkomsttillägg är aktiverade) |
|
EKS-körningsskydd GKE-arbetsbelastningshärdning Sårbarhetsbedömning för körning (valfritt) |
AWS Arc-etablering (för Defender-agenten och Azure-policyagenten) | Azure Arc-roll: Defender Kubernetes-agentoperator AWS-roll: AzureDefenderKubernetesRole |
| GKE-kontrollplanhärdning – Skydd mot hot utan agent | Provisionering av GKE AuditLogs | Se behörigheter för GCP-skydd utan agenthot |
| Härdning av EKS-kontrollplanet – Skydd mot hot utan agent | Etablering av AWS AuditLogs | Se Behörigheter för AWS-agentlöst hotskydd |
Azure Arc-provisioneringsroll för EKS och GKE
Den inbyggda Azure Arc-rollen Defender Kubernetes Agent Operator för att etablera Defender-agenten och Azure-principagenten har följande behörigheter:
- Microsoft.Authorization/*/read
- Microsoft.Insights/alertRules/*
- Microsoft.Resources/deployments/*
- Microsoft.Resources/subscriptions/resourceGroups/read
- Microsoft.Resources/subscriptions/resourceGroups/write
- Microsoft.Resources/subscriptions/operationresults/read
- Microsoft.Resources/subscriptions/read
- Microsoft.KubernetesConfiguration/extensions/write
- Microsoft.KubernetesConfiguration/extensions/läs
- Microsoft.KubernetesConfiguration/extensions/radera
- Microsoft.KubernetesConfiguration/extensions/operations/read
- Microsoft.Kubernetes/connectedClusters/Write
- Microsoft.Kubernetes/connectedClusters/read
- Microsoft.OperationalInsights/workspaces/write
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/listKeys/action
- Microsoft.OperationalInsights/workspaces/sharedkeys/åtgärd
- Microsoft.Kubernetes/registrera/åtgärd
- Microsoft.KubernetesConfiguration/register/action
Behörigheter för AWS Agentless Threat Protection
AzureDefenderKubernetesRole (standardrollnamn: MDCContainersK8sRole):
sts:AssumeRole
sts:AssumeRoleWithWebIdentity
logs:PutSubscriptionFilter
loggar:BeskrivPrenumerationsfilter
logs:DescribeLogGroups
logs:PutRetentionPolicy
firehose:*
iam:PassRole
eks:UppdateraKlusterKonfig
eks:DescribeCluster
eks:CreateAccessEntry
eks:ListAccessEntries
eks:AssociateAccessPolicy
eks:ListAssociatedAccessPolicies
sqs:*
s3:*
AzureDefenderKubernetesScubaReaderRole (standardrollnamn: MDCContainersK8sDataCollectionRole):
- sts:AssumeRole
- sts:AssumeRoleWithWebIdentity
- sqs:ReceiveMessage
- sqs:DeleteMessage
- s3:GetObject
- s3:GetBucketLocation
AzureDefenderCloudWatchToKinesisRole (standardrollnamn: MDCContainersK8sCloudWatchToKinesisRole):
- sts:AssumeRole
- firehose:*
AzureDefenderKinesisToS3Role (standardrollnamn: MDCContainersK8sKinesisToS3Role):
MDCContainersAgentlessDiscoveryK8sRole
- sts:AssumeRoleWithWebIdentity
- eks:UppdateraKlusterKonfig
- eks:DescribeCluster
- eks:CreateAccessEntry
- eks:ListAccessEntries
- eks:AssociateAccessPolicy
- eks:ListAssociatedAccessPolicies
MDCContainersImageAssessmentRole
- sts:AssumeRoleWithWebIdentity
- Behörigheterna för dessa antagna roller: AmazonEC2ContainerRegistryPowerUser & AmazonElasticContainerRegistryPublicPowerUser
Behörigheter för agentlöst hot-skydd i GCP
MicrosoftDefenderContainersDataCollectionRole
- pubsub.subscriptions.consume
- pubsub.subscriptions.get
MicrosoftDefenderContainersRole
- logging.sinks.list
- logging.sinks.get
- logging.sinks.create
- logging.sinks.update
- logging.sinks.delete
- resourcemanager.projects.getIamPolicy
- resourcemanager.organizations.getIamPolicy
- iam.serviceAccounts.get
- iam.workloadIdentityPoolProviders.get (alla loggar som går till Pub/Sub)
MDCCustomRole
- resursmanager.mappar.hämta
- resurshanterare.mappar.lista
- resourcemanager.projects.get
- resourcemanager.projects.list
- serviceusage.services.enable
- iam.roles.create (skapa roller)
- iam.roles.list
- compute.projects.get
- compute.projects.setCommonInstanceMetadata
MDCCspmCustomRole
- resourcemanager.folders.getIamPolicy
- resurshanterare.mappar.lista
- resourcemanager.organizations.get
- resourcemanager.organizations.getIamPolicy
- storage.buckets.getIamPolicy
MDCGkeContainerInventoryCollectionRole
- container.nodes.proxy
- container.secrets.list
Behörigheter som beviljas i molnmiljöer
När du registrerar AWS- eller GCP-miljöer för att Microsoft Defender för molnet genereras ett distributionsskript för att skapa nödvändiga IAM-roller baserat på den valda åtkomstmodellen:
- Standardåtkomst stöder alla aktuella och framtida tillägg för de valda Defender-abonnemangen.
- Minst privilegierad åtkomst beviljar endast de behörigheter som krävs för att stödja de för närvarande aktiverade tilläggen.
I följande tabeller visas de behörigheter som beviljats för Defender för Containrar-roller, beroende på den valda åtkomstmodellen.
AWS-standardåtkomst
| Rollnamn | Associerade principer/behörigheter | Förmågor |
|---|---|---|
| MDCContainersImageAssessmentRole | AmazonEC2ContainerRegistryPowerUser AWS-behörighetslista AmazonElasticContainerRegistryPublicPowerUser AWS-behörighetslista |
Utvärdering av säkerhetsrisker för agentlösa containrar. |
| MDCContainersAgentlessDiscoveryK8sRole | eks:DescribeCluster eks:UppdateraKlusterKonfig eks:CreateAccessEntry eks:ListAccessEntries eks:AssociateAccessPolicy eks:ListAssociatedAccessPolicies |
Agentlös upptäckning av Kubernetes. Uppdatera EKS-kluster för att stödja IP-begränsning |
Minst privilegierad åtkomst för AWS
| Rollnamn | Associerade principer/behörigheter | Kapaciteter |
|---|---|---|
| MDCContainersImageAssessmentRole | AmazonEC2ContainerRegistryReadOnly AWS-behörighetslista AmazonElasticContainerRegistryPublicReadOnly AWS-behörighetslista |
Utvärdering av säkerhetsrisker för agentlösa containrar. |
| MDCContainersAgentlessDiscoveryK8sRole | eks:DescribeCluster eks:UppdateraKlusterKonfig |
Agentlös upptäckning av Kubernetes. Uppdatera EKS-kluster för att stödja IP-begränsning |
Standardåtkomst för GCP
| Namn på tjänstkonto | Associerade roller/behörigheter | Förmågor |
|---|---|---|
| mdc-behållare-artefakt-bedömning | Lista över roller/storage.objectUser GCP-behörigheter Behörighetslista för Roles/artifactregistry.writer GCP |
Utvärdering av säkerhetsrisker för agentlösa containrar. |
| mdc-containers-k8s-operator | Behörighetslista för Roller/container.viewer GCP Anpassad roll MDCGkeClusterWriteRole [Anpassad roll] som har behörigheten container.clusters.update. |
Agentlös identifiering av Kubernetes Uppdatera GKE-kluster för att stödja IP-begränsning |
Minst privilegierad åtkomst för GCP
| Namn på tjänstkonto | Associerade roller/behörigheter | Aktuella funktioner |
|---|---|---|
| mdc-behållare-artefakt-bedömning | roller/artifactregistry.reader GCP-behörighetslista Roles/storage.objectViewer GCP-behörigheter lista |
Utvärdering av säkerhetsrisker för agentlösa containrar. |
| mdc-containers-k8s-operator | Behörighetslista för Roller/container.viewer GCP Anpassad roll MDCGkeClusterWriteRole med behörigheten container.clusters.update |
Agentlös upptäckning av Kubernetes. Uppdatera GKE-kluster för att stödja IP-begränsning |