Erforderliche Berechtigungen im GCP-Konto

URL des aktuellen Artikels kopieren Per E-Mail teilen

Dieser Artikel (PDF) Gesamte Dokumentation (PDF)

Die Dienstkonto-ID eset-cwpp-service-account (Anzeigename: ESET CWPP Service Account, E-Mail-Format: eset-cwpp-service-account@eset-cwpp-<hash>.iam.gserviceaccount.com) wird während des GCP-Onboarding-Prozesses automatisch erstellt. Sie verfügt über Lese- und Verwaltungsrechte für die gesamte GCP-Organisation des Kunden oder ausgewählte Projekte, sodass CWP Cloud-Ressourcen erkennen und überprüfen kann.

Rollenzuweisungen

IAM-Rolle	Organisationsebene	Projektebene	Zweck/Warum es benötigt wird
roles/resourcemanager.organizationViewer	Ja	Nein	Schreibgeschützte Ansicht der Organisationsressource Erforderlich, um Metadaten und die Hierarchie auf Organisationsebene abzurufen
roles/resourcemanager.folderViewer	Ja	Nein	Schreibgeschützte Ansicht der Ordner innerhalb der Organisation Erforderlich, um die Ordnerhierarchie zu durchlaufen, wenn Projekte im gesamten Unternehmen ermittelt werden
roles/cloudasset.viewer	Ja	Ja	Lesezugriff auf das Cloud-Asset-Inventar Erforderlich, um alle GCP-Ressourcen (VMs, Projekte) aufzulisten und zu ermitteln
roles/compute.instanceAdmin.v1	Ja	Ja	Volle Kontrolle über Compute Engine-Instanzen Erforderlich für folgende Zwecke: •Auflisten von VM-Instanzen in allen Projekten der Organisation •Abrufen von Details zu Instanzen und Maschinentypen für die Bestandsaufnahme •Hinzufügen/Entfernen der Bezeichnung „cwpp-li-<hash>“ auf einer VM-Instanz während der Bereitstellung des ESET Live-Installationsprogramms – das Label wird als Instanzfilter für die Zuweisung der Betriebssystemrichtlinie verwendet, um die spezifische VM anzusprechen, und wird nach Abschluss der Installation entfernt.
roles/logging.viewer	Ja	Ja	Schreibgeschützter Zugriff auf Cloud Logging (Audit-Logs) Erforderlich zum Erfassen und Auswerten von Einträgen im Audit-Log
roles/osconfig.osPolicyAssignmentAdmin	Ja	Ja	Zuweisungen von Betriebssystemrichtlinien erstellen, aktualisieren und löschen Erforderlich für die Bereitstellung und Verwaltung von Betriebssystemrichtlinien, die die Installation der ESET Schutzinstallation auf virtuellen Maschinen steuern
roles/osconfig.osPolicyAssignmentReportViewer	Ja	Ja	Lesen Sie die Konformitätsberichte zu Zuweisungen von Betriebssystemrichtlinien. Erforderlich, um die Einhaltung bzw. den Status der bereitgestellten Betriebssystemrichtlinien zu überprüfen.
roles/osconfig.inventoryViewer	Ja	Ja	Lesen Sie die vom VM-Manager erfassten Betriebssystem-Inventardaten. Erforderlich zur Ermittlung des Betriebssystems der VMs (Name, Version), der Details und der Bereitstellungsbereitschaft.

˄˅