الأذونات المطلوبة في حساب GCP
يتم إنشاء معرّف حساب الخدمة eset-cwpp-service-account (اسم العرض: ESET CWPP Service Account، تنسيق البريد الإلكتروني: eset-cwpp-service-account@eset-cwpp-<hash>.iam.gserviceaccount.com) تلقائياً خلال عملية إعداد GCP. يمتلك هذا الحساب أذونات قراءة/إدارة في مؤسسة GCP الخاصة بالعميل أو المشاريع المحددة، بحيث يمكن لـ CWP اكتشاف موارد السحابة وفحصها.
تعيينات الأدوار
دور IAM |
على مستوى المؤسسة |
على مستوى المشروع |
الغرض/سبب الحاجة |
|---|---|---|---|
roles/resourcemanager.organizationViewer |
نعم |
لا |
عرض للقراءة فقط لمورد المؤسسة. مطلوب للحصول على البيانات الوصفية للمؤسسة والهيكل الهرمي على مستوى المؤسسة. |
roles/resourcemanager.folderViewer |
نعم |
لا |
عرض للقراءة فقط للمجلدات داخل المؤسسة. مطلوب لاجتياز التسلسل الهرمي للمجلدات عند اكتشاف المشاريع عبر المؤسسة بالكامل. |
roles/cloudasset.viewer |
نعم |
نعم |
لإمكانية القراءة فقط لجرد الأصول السحابية. مطلوب لإدراج واكتشاف جميع موارد GCP (الأجهزة الظاهرية والمشاريع). |
roles/compute.instanceAdmin.v1 |
نعم |
نعم |
تحكم كامل في مثيلات محرّك الحوسبة. مطلوب من أجل:
|
roles/logging.viewer |
نعم |
نعم |
إمكانية القراءة فقط لـ Cloud Logging (سجلات التدقيق). مطلوب لجمع إدخالات سجلات التدقيق وقراءتها. |
roles/osconfig.osPolicyAssignmentAdmin |
نعم |
نعم |
إنشاء وتحديث وحذف تعيينات سياسة نظام التشغيل. مطلوب لنشر وإدارة تعيينات سياسة نظام التشغيل التي تنسّق تثبيت حماية ESET على الأجهزة الظاهرية. |
roles/osconfig.osPolicyAssignmentReportViewer |
نعم |
نعم |
قراءة تقارير التوافق الخاصة بتعيينات سياسة نظام التشغيل. مطلوب للتحقق من توافق/حالة سياسات أنظمة التشغيل المنشورة. |
roles/osconfig.inventoryViewer |
نعم |
نعم |
قراءة بيانات جرد نظام التشغيل التي يجمعها مدير الأجهزة الظاهرية. مطلوب لتحديد نظام تشغيل الأجهزة الظاهرية (الاسم، الإصدار) والتفاصيل ومدى الجاهزية للنشر. |