Požadovaná oprávnění pro roli CWP v účtu AWS

Kopírovat odkaz na aktuální článek Sdílet e-mailem

Tento článek (PDF) Celá dokumentace (PDF)

ESET Cloud Workload Protection (CWP) používá různé role IAM v závislosti na modelu nasazení: jeden účet nebo organizace (správcovský účet, členský účet).

Role služby s jedním účtem (nasazení s jedním účtem)

Role služby CWP (CwppServiceRole) využívá vlastní spravovanou politiku (CwppServicePolicy) s minimálními požadovanými oprávněními namísto spravovaných politik AWS, čímž zvyšuje bezpečnost. Kromě toho je k této roli připojena spravovaná politika AWS arn:aws:iam::aws:policy/ReadOnlyAccess, která umožňuje přístup pouze pro čtení ke všem prostředkům AWS. To je vyžadováno pro fungování ESET Cloud Workload Protection.

Oprávnění CwppServicePolicy pro roli služby s jedním účtem:

Kategorie oprávnění	Akce	Zdroje	Účel
Přístup IAM	iam:SimulatePrincipalPolicy	*	CWP před spuštěním online instalačního balíčku v produkčním prostředí na virtuálních zařízeních klienta ověří, zda jsou požadované akce povoleny.
Přístup SSM	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	CWP zkontroluje, zda je pro danou instanci zapnutý Systems Manager (SSM). CWP spouští příkazy na virtuálních zařízeních klienta za účelem instalace ESET Management Agenta pomocí online instalátoru a načítá stavy provedení příkazů.
Přístup S3	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	CWP vypisuje a načítá S3 buckety (včetně protokolů AWS CloudTrail). CWP zajistí ochranu úložiště S3.
Přístup S3	s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions	arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (CWP CloudTrail S3 bucket)	CWP odstraní CWP CloudTrail S3 bucket a jeho obsah.
CloudTrail	cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails	arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail)	CWP spustí, zastaví a odstraní CWP CloudTrail.
Přístup organizací	organizations:DescribeAccount organizations:DescribeOrganization	*	CWP načte údaje o účtu.
Přístup IAM	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (Role služby CWP)	CWP zruší přístup k zákaznickému účtu při odebírání integrace.

Role služby správcovského účtu (nasazení v rámci organizace)

Role služby správy CWP (CwppManagementServiceRole) využívá vlastní spravovanou politiku (CwppManagementServicePolicy) s minimálními požadovanými oprávněními namísto spravovaných politik AWS, čímž zvyšuje bezpečnost. Kromě toho je k této roli připojena spravovaná politika AWS arn:aws:iam::aws:policy/ReadOnlyAccess, která umožňuje přístup pouze pro čtení ke všem prostředkům AWS pro funkce <%CSPM%>.

Oprávnění CwppManagementServicePolicy pro roli služby správcovského účtu:

Kategorie oprávnění	Akce	Zdroje	Účel
Přístup IAM	iam:SimulatePrincipalPolicy	*	CWP před spuštěním online instalačního balíčku v produkčním prostředí na virtuálních zařízeních klienta ověří, zda jsou požadované akce povoleny.
Přístup SSM	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	CWP zkontroluje, zda je pro danou instanci zapnutý Systems Manager (SSM). CWP spouští příkazy na virtuálních zařízeních klienta za účelem instalace ESET Management Agenta pomocí online instalátoru a načítá stavy provedení příkazů.
Přístup S3	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	CWP vypisuje a načítá S3 buckety a objekty (včetně protokolů AWS CloudTrail). CWP poskytne ochranu úložiště S3.
Přístup S3	s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions	arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (CWP CloudTrail S3 bucket)	CWP odstraní CWP CloudTrail S3 bucket a jeho obsah.
CloudTrail	cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails	arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail)	CWP spustí, zastaví a odstraní CWP CloudTrail.
Přístup organizací	organizations:DescribeAccount organizations:DescribeOrganization	*	CWP načte údaje o účtu.
Přístup IAM	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (Role služby CWP)	CWP zruší přístup k zákaznickému účtu při odebírání integrace.

Role služby členského účtu (nasazení v rámci organizace)

Role služby členského účtu CWP (CwppServiceRole) používá vlastní spravovanou politiku (CwppServicePolicy) minimálními požadovanými oprávněními namísto spravovaných politik AWS, čímž zvyšuje bezpečnost. Role služby členského účtu zahrnuje také spravovanou politiku AWS arn:aws:iam::aws:policy/ReadOnlyAccess, která umožňuje přístup pouze pro čtení ke všem prostředkům AWS pro funkce <%CSPM%>.

Oprávnění CwppServicePolicy pro roli služby členského účtu:

Kategorie oprávnění	Akce	Zdroje	Účel
Přístup IAM	iam:SimulatePrincipalPolicy	*	CWP před spuštěním online instalačního balíčku v produkčním prostředí na virtuálních zařízeních klienta ověří, zda jsou požadované akce povoleny.
Přístup SSM	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	CWP zkontroluje, zda je pro danou instanci zapnutý Systems Manager (SSM) CWP spouští příkazy na virtuálních zařízeních klienta za účelem instalace ESET Management Agenta pomocí online instalátoru a načítá stavy provedení příkazů.
Přístup S3	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	CWP vypisuje a načítá S3 buckety a objekty (včetně protokolů AWS CloudTrail). CWP poskytne ochranu úložiště S3.
Přístup IAM	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (Role služby CWP)	CWP zruší přístup k zákaznickému účtu při odebírání integrace.

˄˅