ESET PROTECT – Tabla de contenido

Permisos necesarios para el rol CWP de la cuenta AWS

ESET Cloud Workload Protection (CWP) usa diferentes roles de IAM en función del modelo de implementación: cuenta única u organización (cuenta de administración, cuenta de miembro).

Rol de servicio de cuenta única (implementación de cuenta única)

Para mejorar la seguridad, el rol de servicio de CWP (CwppServiceRole) usa una política administrada personalizada (CwppServicePolicy) con permisos mínimos requeridos en lugar de políticas administradas de AWS. Además, el arn:aws:iam::aws:policy/ReadOnlyAccess de la política administrada de AWS está asociado a esta función, lo que permite el acceso de solo lectura a todos los recursos de AWS. Esto es necesario para las características de ESET Cloud Workload Protection.

Permisos de CwppServicePolicy para el rol de servicio de cuenta única:

Categoría del permiso

Acciones

Recursos

Finalidad

Acceso a IAM

iam:SimulatePrincipalPolicy

*

CWP comprobará que las acciones necesarias estén permitidas antes de ejecutar el Instalador Live en las máquinas virtuales del cliente.

Acceso a SSM

ssm:DescribeInstanceInformation

ssm:SendCommand

ssm:GetCommandInvocation

*

CWP comprueba si Systems Manager (SSM) está habilitado para la instancia.

CWP ejecuta comandos en las máquinas virtuales del cliente para instalar ESET Management Agent con el Instalador Live y recupera el estado de ejecución del comando.

Acceso a S3

s3:ListAllMyBuckets

s3:ListBucket

s3:GetBucketLocation

s3:GetBucketVersioning

s3:GetBucketTagging

s3:GetObject

s3:GetObjectVersion

*

CWP enumera y lee buckets y objetos de S3 (incluidos los archivos de registro de AWS CloudTrail). CWP proporcionará protección del almacenamiento de S3.

Acceso a S3

s3:DeleteBucket

s3:DeleteObject

s3:DeleteObjectVersion

s3:ListBucketVersions

arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/*

(Bucket de CWP CloudTrail S3)

CWP eliminará el bucket de CWP CloudTrail S3 y su contenido.

CloudTrail

cloudtrail:StartLogging

cloudtrail:StopLogging

cloudtrail:DeleteTrail

cloudtrail:DescribeTrails

arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail

(CWP CloudTrail)

CWP iniciará, detendrá y eliminará CWP CloudTrail.

Acceso a organizaciones

organizations:DescribeAccount

organizations:DescribeOrganization

*

CWP recupera los detalles de la cuenta.

Acceso a IAM

iam:DeleteRole

iam:DetachRolePolicy

iam:DeleteRolePolicy

iam:ListAttachedRolePolicies

iam:ListRolePolicies

iam:UpdateAssumeRolePolicy

arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole

(Rol de servicio de CWP)

CWP revoca su acceso a la cuenta de cliente durante el proceso de anulación de la implementación de la integración.

Rol de servicio de la cuenta de administración (implementación de la organización)

Para mejorar la seguridad, el rol de servicio de administración de CWP (CwppManagementServiceRole) usa una política administrada personalizada (CwppManagementServicePolicy) con permisos mínimos requeridos en lugar de políticas administradas de AWS. Además, el arn:aws:iam::aws:policy/ReadOnlyAccess de la política administrada de AWS está asociado a esta función, lo que permite el acceso de solo lectura a todos los recursos de AWS para las características de <%CSPM%>.

Permisos de CwppManagementServicePolicy para el rol de servicio de la cuenta de administración:

Categoría del permiso

Acciones

Recursos

Finalidad

Acceso a IAM

iam:SimulatePrincipalPolicy

*

CWP comprobará que las acciones necesarias estén permitidas antes de ejecutar el Instalador Live en las máquinas virtuales del cliente.

Acceso a SSM

ssm:DescribeInstanceInformation

ssm:SendCommand

ssm:GetCommandInvocation

*

CWP comprueba si Systems Manager (SSM) está habilitado para la instancia.

CWP ejecuta comandos en las máquinas virtuales del cliente para instalar ESET Management Agent con el Instalador Live y recupera el estado de ejecución del comando.

Acceso a S3

s3:ListAllMyBuckets

s3:ListBucket

s3:GetBucketLocation

s3:GetBucketVersioning

s3:GetBucketTagging

s3:GetObject

s3:GetObjectVersion

*

CWP enumera y lee buckets y objetos de S3 (incluidos los archivos de registro de AWS CloudTrail). CWP proporcionará protección del almacenamiento de S3.

Acceso a S3

s3:DeleteBucket

s3:DeleteObject

s3:DeleteObjectVersion

s3:ListBucketVersions

arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}

arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/*

(Bucket de CWP CloudTrail S3)

CWP eliminará el bucket de CWP CloudTrail S3 y su contenido.

CloudTrail

cloudtrail:StartLogging

cloudtrail:StopLogging

cloudtrail:DeleteTrail

cloudtrail:DescribeTrails

arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail

(CWP CloudTrail)

CWP iniciará, detendrá y eliminará CWP CloudTrail.

Acceso a organizaciones

organizations:DescribeAccount

organizations:DescribeOrganization

*

CWP recupera los detalles de la cuenta.

Acceso a IAM

iam:DeleteRole

iam:DetachRolePolicy

iam:DeleteRolePolicy

iam:ListAttachedRolePolicies

iam:ListRolePolicies

iam:UpdateAssumeRolePolicy

arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole

(Rol de servicio de CWP)

CWP revoca su acceso a la cuenta de cliente durante el proceso de anulación de la implementación de la integración.

Rol de servicio de la cuenta de miembro (implementación de la organización)

Para mejorar la seguridad, el rol de servicio de la cuenta de miembro de CWP (CwppServiceRole) usa una política administrada personalizada (CwppServicePolicy) con permisos mínimos requeridos en lugar de políticas administradas de AWS. En el rol de servicio de la cuenta de miembro, también se incluye el arn:aws:iam::aws:policy/ReadOnlyAccess de la política administrada de AWS, lo que permite el acceso de solo lectura a todos los recursos de AWS para las características de <%CSPM%>.

Permisos de CwppServicePolicy para el rol de servicio de la cuenta de miembro:

Categoría del permiso

Acciones

Recursos

Finalidad

Acceso a IAM

iam:SimulatePrincipalPolicy

*

CWP comprobará que las acciones necesarias estén permitidas antes de ejecutar el Instalador Live en las máquinas virtuales del cliente.

Acceso a SSM

ssm:DescribeInstanceInformation

ssm:SendCommand

ssm:GetCommandInvocation

*

CWP comprueba si Systems Manager (SSM) está habilitado para la instancia.

CWP ejecuta comandos en las máquinas virtuales del cliente para instalar ESET Management Agent con el Instalador Live y recupera el estado de ejecución del comando.

Acceso a S3

s3:ListAllMyBuckets

s3:ListBucket

s3:GetBucketLocation

s3:GetBucketVersioning

s3:GetBucketTagging

s3:GetObject

s3:GetObjectVersion

*

CWP enumera y lee buckets y objetos de S3 (incluidos los archivos de registro de AWS CloudTrail). CWP proporcionará protección del almacenamiento de S3.

Acceso a IAM

iam:DeleteRole

iam:DetachRolePolicy

iam:DeleteRolePolicy

iam:ListAttachedRolePolicies

iam:ListRolePolicies

iam:UpdateAssumeRolePolicy

arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole

(Rol de servicio de CWP)

CWP revoca su acceso a la cuenta de cliente durante el proceso de anulación de la implementación de la integración.