Permisos necesarios de la cuenta GCP
El ID de la cuenta de servicio eset-cwpp-service-account (nombre para mostrar: ESET CWPP Service Account, formato de correo electrónico: eset-cwpp-service-account@eset-cwpp-<hash>.iam.gserviceaccount.com) se crea automáticamente durante el flujo de incorporación de GCP. Tiene permisos de lectura o administración en toda la organización de GCP del cliente o en proyectos seleccionados para que CWP pueda detectar e inspeccionar recursos en la nube.
Asignaciones de roles
Rol de IAM |
Nivel de la organización |
Nivel del proyecto |
Propósito o motivo por el que es necesario |
|---|---|---|---|
roles/resourcemanager.organizationViewer |
Aceptar |
No |
Vista de solo lectura del recurso de la organización. Necesario para obtener los metadatos y la jerarquía de la organización en su ámbito. |
roles/resourcemanager.folderViewer |
Aceptar |
No |
Vista de solo lectura de carpetas dentro de la organización. Se requiere para recorrer la jerarquía de carpetas al momento de detectar proyectos en toda la organización. |
roles/cloudasset.viewer |
Aceptar |
Aceptar |
Acceso de solo lectura a Cloud Asset Inventory. Necesario para enumerar y detectar todos los recursos de GCP (máquinas virtuales, proyectos). |
roles/compute.instanceAdmin.v1 |
Aceptar |
Aceptar |
Control total de las instancias de Compute Engine. Se requiere para lo siguiente: •enumerar las instancias de VM en todos los proyectos de la organización. •recuperar los detalles de la instancia y el tipo de máquina para el inventario. •agregar o eliminar la etiqueta “cwpp-li-<hash>” en una instancia de máquina virtual durante la implementación del Instalador Live de ESET: la etiqueta se usa como filtro de instancia de la asignación de políticas de sistema operativo para dirigirse a la máquina virtual específica y se elimina una vez que finaliza la instalación. |
roles/logging.viewer |
Aceptar |
Aceptar |
Acceso de solo lectura a Cloud Logging (registros de auditoría). Necesario para recopilar y leer las entradas del registro de auditoría. |
roles/osconfig.osPolicyAssignmentAdmin |
Aceptar |
Aceptar |
Crear, actualizar y eliminar asignaciones de políticas del sistema operativo. Necesario para implementar y administrar las asignaciones de políticas del sistema operativo que organizan la instalación de protección de ESET en las máquinas virtuales. |
roles/osconfig.osPolicyAssignmentReportViewer |
Aceptar |
Aceptar |
Lea los informes de cumplimiento de las asignaciones de la política del sistema operativo. Necesario para comprobar el estado o la conformidad de las políticas del sistema operativo implementadas. |
roles/osconfig.inventoryViewer |
Aceptar |
Aceptar |
Lea los datos de inventario del sistema operativo recopilados por el administrador de máquinas virtuales. Necesario para determinar el sistema operativo (nombre, versión), los detalles y la preparación para la implementación de las máquinas virtuales. |