Erforderliche Berechtigungen für die Rolle „CWP" im AWS-Konto
ESET Cloud Workload Protection (CWP) verwendet je nach Bereitstellungsmodell unterschiedliche IAM-Rollen: Einzelkonto oder Organisation (Verwaltungskonto, Mitgliedskonto).
Dienstrolle für Einzelkonten (Einzelkonten-Bereitstellung)
Die CWP Dienstrolle (CwppServiceRole) verwendet zur erhöhten Sicherheit eine benutzerdefinierte verwaltete Richtlinie (CwppServicePolicy) mit minimalen erforderlichen Berechtigungen anstelle von AWS-verwalteten Richtlinien. Darüber hinaus wird die AWS-verwaltete Richtlinie arn:aws:iam::aws:policy/ReadOnlyAccess dieser Rolle zugeordnet, wodurch die Aktivierung eines schreibgeschützten Zugriffs auf alle AWS-Ressourcen ermöglicht wird. Dies ist erforderlich für ESET Cloud Workload Protection-Funktionen.
CwppServicePolicy-Berechtigungen für die Dienstrolle für Einzelkonten:
Berechtigungskategorie |
Aktionen |
Ressourcen |
Zweck |
|---|---|---|---|
IAM-Zugriff |
iam:SimulatePrincipalPolicy |
* |
CWP prüft, ob die erforderlichen Aktionen zulässig sind, bevor das Live-Installationsprogramm auf den VMs des Kunden ausgeführt wird. |
SSM-Zugriff |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP prüft, ob Systems Manager (SSM) für die Instanz die aktiviert ist. CWP führt Befehle auf den VMs des Kunden aus, um den ESET Management Agent mit dem Live-Installationsprogramm zu installieren, und ruft den Status der Befehlsausführung ab. |
S3-Zugriff |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP listet S3-Buckets und -Objekte auf und liest sie (einschließlich AWS- CloudTrail-Log-Dateien). CWP bietet Schutz für den S3-Speicher. |
S3-Zugriff |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (CWP CloudTrail S3-Bucket) |
CWP löscht CWP CloudTrail S3-Bucket und dessen Inhalt. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP startet, stoppt und löscht die CWP CloudTrail. |
Zugang für Organisationen |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP ruft die Kontodaten ab. |
IAM-Zugriff |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (CWP-Dienstrolle) |
CWP hebt dessen Zugriff auf das Kundenkonto während des Deinstallationsprozesses der Integration auf. |
Dienstrolle für Verwaltungskonten (Bereitstellung in der Organisation)
Die CWP-Verwaltungsdienstrolle (CwppManagementServiceRole) verwendet zur erhöhten Sicherheit eine benutzerdefinierte verwaltete Richtlinie (CwppManagementServicePolicy) mit minimalen erforderlichen Berechtigungen anstelle von AWS-verwalteten Richtlinien. Darüber hinaus wird die AWS-verwaltete Richtlinie arn:aws:iam::aws:policy/ReadOnlyAccess dieser Rolle zugeordnet, wodurch die Aktivierung eines Lesezugriffs auf alle AWS-Ressourcen für <%CSPM%>-Funktionen ermöglicht wird.
CwppManagementServicePolicy-Berechtigungen für die Dienstrolle für Verwaltungskonten:
Berechtigungskategorie |
Aktionen |
Ressourcen |
Zweck |
|---|---|---|---|
IAM-Zugriff |
iam:SimulatePrincipalPolicy |
* |
CWP prüft, ob die erforderlichen Aktionen zulässig sind, bevor das Live-Installationsprogramm auf den VMs des Kunden ausgeführt wird. |
SSM-Zugriff |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP prüft, ob Systems Manager (SSM) für die Instanz die aktiviert ist. CWP führt Befehle auf den VMs des Kunden aus, um den ESET Management Agent mit dem Live-Installationsprogramm zu installieren, und ruft den Status der Befehlsausführung ab. |
S3-Zugriff |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP listet S3-Buckets und Objekte (einschließlich AWS CloudTrail-Log-Dateien) auf und liest sie. CWP bietet S3-Speicherschutz. |
S3-Zugriff |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (CWP CloudTrail S3-Bucket) |
CWP löscht CWP CloudTrail S3-Bucket und dessen Inhalt. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP startet, stoppt und löscht CWP CloudTrail. |
Zugang für Organisationen |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP ruft die Kontodaten ab. |
IAM-Zugriff |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (CWP-Dienstrolle) |
CWP hebt dessen Zugriff auf das Kundenkonto während des Deinstallationsprozesses der Integration auf. |
Dienstrolle für Mitgliederkonten (Bereitstellung für Organisationen)
Die CWP-Dienstrolle für Mitgliederkonten (CwppServiceRole) verwendet zur erhöhten Sicherheit eine benutzerdefinierte verwaltete Richtlinie (CwppServicePolicy) mit minimalen erforderlichen Berechtigungen anstelle von AWS-verwalteten Richtlinien. Die Dienstrolle für Mitgliederkonten umfasst außerdem die AWS verwaltete Richtlinie arn:aws:iam::aws:policy/ReadOnlyAccess, die Lesezugriff auf alle AWS-Ressourcen für <%CSPM%>-Funktionen ermöglicht.
CwppServicePolicy-Berechtigungen für die Dienstrolle für Mitgliederkonten:
Berechtigungskategorie |
Aktionen |
Ressourcen |
Zweck |
|---|---|---|---|
IAM-Zugriff |
iam:SimulatePrincipalPolicy |
* |
CWP prüft, ob die erforderlichen Aktionen zulässig sind, bevor das Live-Installationsprogramm auf den VMs des Kunden ausgeführt wird. |
SSM-Zugriff |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP prüft, ob Systems Manager (SSM) für die Instanz die aktiviert ist. CWP führt Befehle auf den VMs des Kunden aus, um den ESET Management Agent mit dem Live-Installationsprogramm zu installieren, und ruft den Status der Befehlsausführung ab. |
S3-Zugriff |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP listet S3-Buckets und Objekte (einschließlich AWS CloudTrail-Log-Dateien) auf und liest sie. CWP bietet S3-Speicherschutz. |
IAM-Zugriff |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (CWP-Dienstrolle) |
CWP hebt dessen Zugriff auf das Kundenkonto während des Deinstallationsprozesses der Integration auf. |