Απαιτούμενα δικαιώματα για τον ρόλο CWP στον λογαριασμό AWS

Αντιγραφή διεύθυνσης URL τρέχοντος άρθρου Κοινοποίηση μέσω email

Αυτό το άρθρο (PDF) Πλήρης τεκμηρίωση (PDF)

Το ESET Cloud Workload Protection (CWP) χρησιμοποιεί διαφορετικούς ρόλους IAM ανάλογα με το μοντέλο ανάπτυξης: μεμονωμένος λογαριασμός ή οργανισμός (λογαριασμός διαχείρισης, λογαριασμός μέλους).

Ρόλος υπηρεσίας ενός λογαριασμού (ανάπτυξη ενός λογαριασμού)

Ο ρόλος υπηρεσίας CWP (CwppServiceRole) χρησιμοποιεί μια προσαρμοσμένη διαχειριζόμενη πολιτική (CwppServicePolicy) με ελάχιστα απαιτούμενα δικαιώματα αντί για διαχειριζόμενες πολιτικές AWS για βελτιωμένη ασφάλεια. Επιπλέον, η διαχειριζόμενη πολιτική AWS arn:aws:iam::aws:policy/ReadOnlyAccess συνδέεται με αυτόν τον ρόλο, επιτρέποντας την πρόσβαση μόνο για ανάγνωση σε όλους τους πόρους AWS. Αυτό απαιτείται για τις λειτουργίες ESET Cloud Workload Protection.

Δικαιώματα CwppServicePolicy για τον ρόλο υπηρεσίας μεμονωμένου λογαριασμού:

Κατηγορία δικαιωμάτων	Ενέργειες	Πόροι	Σκοπός
Πρόσβαση IAM	iam:SimulatePrincipalPolicy	*	Το CWP θα ελέγξει ότι επιτρέπονται οι απαιτούμενες ενέργειες πριν από την εκτέλεση του προγράμματος ζωντανής εγκατάστασης στους εικονικούς υπολογιστές του υπολογιστή-πελάτη.
Πρόσβαση στο SSM	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	Το CWP ελέγχει εάν η Διαχείριση συστημάτων (SSM) είναι ενεργοποιημένη για την παρουσία. Το CWP εκτελεί εντολές στους εικονικούς υπολογιστές του υπολογιστή-πελάτη για την εγκατάσταση του ESET Management Agent με το Πρόγραμμα ζωντανής εγκατάστασης και ανακτά την κατάσταση εκτέλεσης εντολών.
Πρόσβαση στο S3	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	Το CWP παραθέτει και διαβάζει κάδους και αντικείμενα S3 (συμπεριλαμβανομένων των αρχείων καταγραφής του AWS CloudTrail). Το CWP θα παρέχει προστασία αποθήκευσης S3.
Πρόσβαση στο S3	s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions	arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (κάδος S3 CWP CloudTrail)	Το CWP θα καταργήσει τον κάδο S3 CWP CloudTrail και το περιεχόμενό του.
CloudTrail	cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails	arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail)	Το CWP θα πραγματοποιήσει έναρξη, διακοπή και κατάργηση του CWP CloudTrail.
Πρόσβαση σε οργανισμούς	organizations:DescribeAccount organizations:DescribeOrganization	*	Το CWP ανακτά τα στοιχεία του λογαριασμού.
Πρόσβαση IAM	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (ρόλος υπηρεσίας CWP)	Το CWP ανακαλεί την πρόσβασή του στον λογαριασμό του πελάτη κατά τη διεργασία κατάργησης ανάπτυξης της ενοποίησης.

Ρόλος υπηρεσίας λογαριασμού διαχείρισης (ανάπτυξη οργανισμού)

Ο ρόλος υπηρεσίας διαχείρισης του CWP (CwppManagementServiceRole) χρησιμοποιεί μια προσαρμοσμένη διαχειριζόμενη πολιτική (CwppManagementServicePolicy) με ελάχιστα απαιτούμενα δικαιώματα αντί για διαχειριζόμενες πολιτικές AWS για βελτιωμένη ασφάλεια. Επιπλέον, η διαχειριζόμενη πολιτική AWS arn:aws:iam::aws:policy/ReadOnlyAccess συνδέεται με αυτόν τον ρόλο, επιτρέποντας την πρόσβαση μόνο για ανάγνωση σε όλους τους πόρους του AWS για δυνατότητες του <%CSPM%>.

Δικαιώματα CwppManagementServicePolicy για τον ρόλο υπηρεσίας λογαριασμού διαχείρισης:

Κατηγορία δικαιωμάτων	Ενέργειες	Πόροι	Σκοπός
Πρόσβαση IAM	iam:SimulatePrincipalPolicy	*	Το CWP θα ελέγξει ότι επιτρέπονται οι απαιτούμενες ενέργειες πριν από την εκτέλεση του προγράμματος ζωντανής εγκατάστασης στους εικονικούς υπολογιστές του υπολογιστή-πελάτη.
Πρόσβαση στο SSM	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	Το CWP ελέγχει εάν η Διαχείριση συστημάτων (SSM) είναι ενεργοποιημένη για την παρουσία. Το CWP εκτελεί εντολές στους εικονικούς υπολογιστές του υπολογιστή-πελάτη για την εγκατάσταση του ESET Management Agent με το πρόγραμμα ζωντανής εγκατάστασης και ανακτά την κατάσταση εκτέλεσης εντολών.
Πρόσβαση στο S3	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	Το CWP παραθέτει και διαβάζει κάδους και αντικείμενα S3 (συμπεριλαμβανομένων των αρχείων καταγραφής του AWS CloudTrail). Το CWP θα παρέχει προστασία αποθήκευσης S3.
Πρόσβαση στο S3	s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions	arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (κάδος S3 CWP CloudTrail)	Το CWP θα καταργήσει τον κάδο S3 CWP CloudTrail και το περιεχόμενό του.
CloudTrail	cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails	arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail)	Το CWP θα πραγματοποιήσει έναρξη, διακοπή και κατάργηση του CWP CloudTrail.
Πρόσβαση σε οργανισμούς	organizations:DescribeAccount organizations:DescribeOrganization	*	Το CWP ανακτά τα στοιχεία του λογαριασμού.
Πρόσβαση IAM	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (ρόλος υπηρεσίας CWP)	Το CWP ανακαλεί την πρόσβασή του στον λογαριασμό του πελάτη κατά τη διεργασία κατάργησης ανάπτυξης της ενοποίησης.

Ρόλος υπηρεσίας λογαριασμού μέλους (ανάπτυξη οργανισμού)

Ο ρόλος υπηρεσίας λογαριασμού μέλους του CWP (CwppServiceRole) χρησιμοποιεί μια προσαρμοσμένη διαχειριζόμενη πολιτική (CwppServicePolicy) με ελάχιστα απαιτούμενα δικαιώματα αντί για διαχειριζόμενες πολιτικές του AWS για βελτιωμένη ασφάλεια. Ο ρόλος υπηρεσίας λογαριασμού μέλους περιλαμβάνει επίσης τη διαχειριζόμενη πολιτική του AWS arn:aws:iam::aws:policy/ReadOnlyAccess, επιτρέποντας την πρόσβαση μόνο για ανάγνωση σε όλους τους πόρους του AWS για λειτουργίες του <%CSPM%>.

Δικαιώματα CwppServicePolicy για τον ρόλο υπηρεσίας λογαριασμού μέλους:

Κατηγορία δικαιωμάτων	Ενέργειες	Πόροι	Σκοπός
Πρόσβαση IAM	iam:SimulatePrincipalPolicy	*	Το CWP θα ελέγξει ότι επιτρέπονται οι απαιτούμενες ενέργειες πριν από την εκτέλεση του προγράμματος ζωντανής εγκατάστασης στους εικονικούς υπολογιστές του υπολογιστή-πελάτη.
Πρόσβαση στο SSM	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	Το CWP ελέγχει εάν η Διαχείριση συστημάτων (SSM) είναι ενεργοποιημένη για την παρουσία Το CWP εκτελεί εντολές στους εικονικούς υπολογιστές του υπολογιστή-πελάτη για την εγκατάσταση του ESET Management Agent με το πρόγραμμα ζωντανής εγκατάστασης και ανακτά την κατάσταση εκτέλεσης εντολών.
Πρόσβαση στο S3	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	Το CWP παραθέτει και διαβάζει κάδους και αντικείμενα S3 (συμπεριλαμβανομένων των αρχείων καταγραφής του AWS CloudTrail). Το CWP θα παρέχει προστασία αποθήκευσης S3.
Πρόσβαση IAM	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (ρόλος υπηρεσίας CWP)	Το CWP ανακαλεί την πρόσβασή του στον λογαριασμό του πελάτη κατά τη διεργασία κατάργησης ανάπτυξης της ενοποίησης.

˄˅