Permisos necesarios para el rol CWP de la cuenta AWS
ESET Cloud Workload Protection (CWP) usa diferentes roles de IAM en función del modelo de implementación: cuenta única u organización (cuenta de administración, cuenta de miembro).
Rol de servicio de cuenta única (implementación de cuenta única)
Para mejorar la seguridad, el rol de servicio de CWP (CwppServiceRole) usa una política administrada personalizada (CwppServicePolicy) con permisos mínimos requeridos en lugar de políticas administradas de AWS. Además, el arn:aws:iam::aws:policy/ReadOnlyAccess de la política administrada de AWS está asociado a esta función, lo que permite el acceso de solo lectura a todos los recursos de AWS. Esto es necesario para las características de ESET Cloud Workload Protection.
Permisos de CwppServicePolicy para el rol de servicio de cuenta única:
Categoría del permiso |
Acciones |
Recursos |
Finalidad |
|---|---|---|---|
Acceso a IAM |
iam:SimulatePrincipalPolicy |
* |
CWP comprobará que las acciones necesarias estén permitidas antes de ejecutar el Instalador Live en las máquinas virtuales del cliente. |
Acceso a SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP comprueba si Systems Manager (SSM) está habilitado para la instancia. CWP ejecuta comandos en las máquinas virtuales del cliente para instalar ESET Management Agent con el Instalador Live y recupera el estado de ejecución del comando. |
Acceso a S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP enumera y lee buckets y objetos de S3 (incluidos los archivos de registro de AWS CloudTrail). CWP proporcionará protección del almacenamiento de S3. |
Acceso a S3 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (Bucket de CWP CloudTrail S3) |
CWP eliminará el bucket de CWP CloudTrail S3 y su contenido. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP iniciará, detendrá y eliminará CWP CloudTrail. |
Acceso a organizaciones |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP recupera los detalles de la cuenta. |
Acceso a IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (Rol de servicio de CWP) |
CWP revoca su acceso a la cuenta de cliente durante el proceso de anulación de la implementación de la integración. |
Rol de servicio de la cuenta de administración (implementación de la organización)
Para mejorar la seguridad, el rol de servicio de administración de CWP (CwppManagementServiceRole) usa una política administrada personalizada (CwppManagementServicePolicy) con permisos mínimos requeridos en lugar de políticas administradas de AWS. Además, el arn:aws:iam::aws:policy/ReadOnlyAccess de la política administrada de AWS está asociado a esta función, lo que permite el acceso de solo lectura a todos los recursos de AWS para las características de <%CSPM%>.
Permisos de CwppManagementServicePolicy para el rol de servicio de la cuenta de administración:
Categoría del permiso |
Acciones |
Recursos |
Finalidad |
|---|---|---|---|
Acceso a IAM |
iam:SimulatePrincipalPolicy |
* |
CWP comprobará que las acciones necesarias estén permitidas antes de ejecutar el Instalador Live en las máquinas virtuales del cliente. |
Acceso a SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP comprueba si Systems Manager (SSM) está habilitado para la instancia. CWP ejecuta comandos en las máquinas virtuales del cliente para instalar ESET Management Agent con el Instalador Live y recupera el estado de ejecución del comando. |
Acceso a S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP enumera y lee buckets y objetos de S3 (incluidos los archivos de registro de AWS CloudTrail). CWP proporcionará protección del almacenamiento de S3. |
Acceso a S3 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (Bucket de CWP CloudTrail S3) |
CWP eliminará el bucket de CWP CloudTrail S3 y su contenido. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP iniciará, detendrá y eliminará CWP CloudTrail. |
Acceso a organizaciones |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP recupera los detalles de la cuenta. |
Acceso a IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (Rol de servicio de CWP) |
CWP revoca su acceso a la cuenta de cliente durante el proceso de anulación de la implementación de la integración. |
Rol de servicio de la cuenta de miembro (implementación de la organización)
Para mejorar la seguridad, el rol de servicio de la cuenta de miembro de CWP (CwppServiceRole) usa una política administrada personalizada (CwppServicePolicy) con permisos mínimos requeridos en lugar de políticas administradas de AWS. En el rol de servicio de la cuenta de miembro, también se incluye el arn:aws:iam::aws:policy/ReadOnlyAccess de la política administrada de AWS, lo que permite el acceso de solo lectura a todos los recursos de AWS para las características de <%CSPM%>.
Permisos de CwppServicePolicy para el rol de servicio de la cuenta de miembro:
Categoría del permiso |
Acciones |
Recursos |
Finalidad |
|---|---|---|---|
Acceso a IAM |
iam:SimulatePrincipalPolicy |
* |
CWP comprobará que las acciones necesarias estén permitidas antes de ejecutar el Instalador Live en las máquinas virtuales del cliente. |
Acceso a SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP comprueba si Systems Manager (SSM) está habilitado para la instancia. CWP ejecuta comandos en las máquinas virtuales del cliente para instalar ESET Management Agent con el Instalador Live y recupera el estado de ejecución del comando. |
Acceso a S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP enumera y lee buckets y objetos de S3 (incluidos los archivos de registro de AWS CloudTrail). CWP proporcionará protección del almacenamiento de S3. |
Acceso a IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (Rol de servicio de CWP) |
CWP revoca su acceso a la cuenta de cliente durante el proceso de anulación de la implementación de la integración. |