الأذونات المطلوبة لدور CWP في حساب AWS

نسخ عنوان URL الحالي للمقالة مشاركة عبر البريد الإلكتروني

يستخدم ESET Cloud Workload Protection (CWP) أدوار IAM مختلفة وفقاً لنموذج النشر: حساب فردي أو مؤسسة (حساب إدارة، حساب مستخدم).

دور الخدمة للحساب الفردي (نشر حساب فردي)

يستخدم دور خدمة CWP (CwppServiceRole) سياسة مُدارة مخصصة (CwppServicePolicy) بأقل الأذونات المطلوبة بدلاً من سياسات AWS المُدارة لتعزيز الأمان. بالإضافة إلى ذلك، يتم إرفاق سياسة arn:aws:iam::aws:policy/ReadOnlyAccess المُدارة لدى AWS بهذا الدور، ما يتيح إمكانية القراءة فقط في جميع موارد AWS. هذا مطلوب لميزات ESET Cloud Workload Protection.

أذونات CwppServicePolicy لدور خدمة الحساب الفردي:

فئة الأذونات	الإجراءات	الموارد	الغرض
وصول IAM	iam:SimulatePrincipalPolicy	*	سيتحقّق CWP من السماح بالإجراءات المطلوبة قبل تشغيل live installer (برنامج التثبيت المباشر) على الأجهزة الظاهرية الخاصة بالعميل.
وصول SSM	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	يتحقّق CWP مما إذا كان مدير الأنظمة ‏(SSM) مُفعلاً للمثيل. يُشغّل CWP الأوامر على الأجهزة الظاهرية الخاصة بالعميل لتثبيت ESET Management Agent باستخدام Live Installer، ويسترجع حالة تنفيذ الأوامر.
وصول S3	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	يُدرِج CWP حاويات وعناصر S3 وقراءتها (بما في ذلك ملفات سجل AWS CloudTrail). أيضاً سيوفر CWP حماية تخزين S3.
وصول S3	s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions	arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (حاوية CWP CloudTrail S3)	سيحذف CWP حاوية CWP CloudTrail S3 ومحتوياتها.
CloudTrail	cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails	arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail)	سيعمل CWP على بدء CWP CloudTrail وإيقافه وحذفه.
وصول المؤسسات	organizations:DescribeAccount organizations:DescribeOrganization	*	يسترجع CWP تفاصيل الحساب.
وصول IAM	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (دور خدمة CWP)	سيلغي CWP وصوله إلى حساب العميل خلال عملية إزالة نشر التكامل.

دور خدمة حساب الإدارة (نشر المؤسسة)

يستخدم دور خدمة إدارة CWP (CwppManagementServiceRole) سياسة مُدارة مخصصة (CwppManagementServicePolicy) بأقل الأذونات المطلوبة بدلاً من سياسات AWS المُدارة لتعزيز الأمان. بالإضافة إلى ذلك، يتم إرفاق سياسة arn:aws:iam::aws:policy/ReadOnlyAccess المُدارة لدى AWS بهذا الدور، ما يتيح إمكانية القراءة فقط في جميع موارد AWS لميزات <%CSPM%>.

أذونات CwppManagementServicePolicy لدور خدمة حساب الإدارة:

فئة الأذونات	الإجراءات	الموارد	الغرض
وصول IAM	iam:SimulatePrincipalPolicy	*	سيتحقّق CWP من السماح بالإجراءات المطلوبة قبل تشغيل live installer (برنامج التثبيت المباشر) على الأجهزة الظاهرية الخاصة بالعميل.
وصول SSM	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	يتحقّق CWP مما إذا كان مدير الأنظمة ‏(SSM) مُفعلاً للمثيل. يُشغّل CWP الأوامر على الأجهزة الظاهرية الخاصة بالعميل لتثبيت ESET Management Agent باستخدام Live Installer، ويسترجع حالة تنفيذ الأوامر.
وصول S3	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	يُدرِج CWP حاويات وعناصر S3 وقراءتها (بما في ذلك ملفات سجل AWS CloudTrail). أيضاً سيوفر CWP حماية تخزين S3.
وصول S3	s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions	arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (حاوية CWP CloudTrail S3)	سيحذف CWP حاوية CWP CloudTrail S3 ومحتوياتها.
CloudTrail	cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails	arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail)	سيعمل CWP على بدء CWP CloudTrail وإيقافه وحذفه.
وصول المؤسسات	organizations:DescribeAccount organizations:DescribeOrganization	*	يسترجع CWP تفاصيل الحساب.
وصول IAM	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (دور خدمة CWP)	سيلغي CWP وصوله إلى حساب العميل خلال عملية إزالة نشر التكامل.

دور خدمة حساب المستخدم (نشر المؤسسة)

يعتمد دور خدمة حساب المستخدم CWP (CwppServiceRole) على سياسة مُدارة مخصصة (CwppServicePolicy) بأقل الأذونات المطلوبة بدلاً من سياسات AWS المُدارة لتعزيز الأمان. يتضمن دور خدمة حساب المستخدم أيضاً السياسة المُدارة arn:aws:iam::aws:policy/ReadOnlyAccess لدى AWS، ما يتيح إمكانية القراءة فقط في جميع مواردAWS لميزات <%CSPM%>.

أذونات CwppServicePolicy لدور خدمة حساب المستخدم:

فئة الأذونات	الإجراءات	الموارد	الغرض
وصول IAM	iam:SimulatePrincipalPolicy	*	سيتحقّق CWP من السماح بالإجراءات المطلوبة قبل تشغيل live installer (برنامج التثبيت المباشر) على الأجهزة الظاهرية الخاصة بالعميل.
وصول SSM	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	يتحقّق CWP مما إذا كان مدير الأنظمة ‏(SSM) مُفعلاً للمثيل يُشغّل CWP الأوامر على الأجهزة الظاهرية الخاصة بالعميل لتثبيت ESET Management Agent باستخدام Live Installer، ويسترجع حالة تنفيذ الأوامر.
وصول S3	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	يُدرِج CWP حاويات وعناصر S3 وقراءتها (بما في ذلك ملفات سجل AWS CloudTrail). أيضاً سيوفر CWP حماية تخزين S3.
وصول IAM	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (دور خدمة CWP)	سيلغي CWP وصوله إلى حساب العميل خلال عملية إزالة نشر التكامل.

˄˅