ESET PROTECT – Tabla de contenido

Permisos necesarios de la cuenta GCP

El ID de la cuenta de servicio eset-cwpp-service-account (nombre para mostrar: ESET CWPP Service Account, formato de correo electrónico: eset-cwpp-service-account@eset-cwpp-<hash>.iam.gserviceaccount.com) se crea automáticamente durante el flujo de incorporación de GCP. Tiene permisos de lectura o administración en toda la organización de GCP del cliente o en proyectos seleccionados para que CWP pueda detectar e inspeccionar recursos en la nube.

Asignaciones de roles

Rol de IAM

Nivel de la organización

Nivel del proyecto

Propósito o motivo por el que es necesario

roles/resourcemanager.organizationViewer

Aceptar

No

Vista de solo lectura del recurso de la organización. Necesario para obtener los metadatos y la jerarquía de la organización en su ámbito.

roles/resourcemanager.folderViewer

Aceptar

No

Vista de solo lectura de carpetas dentro de la organización. Se requiere para recorrer la jerarquía de carpetas al momento de detectar proyectos en toda la organización.

roles/cloudasset.viewer

Aceptar

Aceptar

Acceso de solo lectura a Cloud Asset Inventory. Necesario para enumerar y detectar todos los recursos de GCP (máquinas virtuales, proyectos).

roles/compute.instanceAdmin.v1

Aceptar

Aceptar

Control total de las instancias de Compute Engine. Se requiere para lo siguiente:

enumerar las instancias de VM en todos los proyectos de la organización.

recuperar los detalles de la instancia y el tipo de máquina para el inventario.

agregar o eliminar la etiqueta “cwpp-li-<hash>” en una instancia de máquina virtual durante la implementación del Instalador Live de ESET: la etiqueta se usa como filtro de instancia de la asignación de políticas de sistema operativo para dirigirse a la máquina virtual específica y se elimina una vez que finaliza la instalación.

roles/logging.viewer

Aceptar

Aceptar

Acceso de solo lectura a Cloud Logging (registros de auditoría). Necesario para recopilar y leer las entradas del registro de auditoría.

roles/osconfig.osPolicyAssignmentAdmin

Aceptar

Aceptar

Crear, actualizar y eliminar asignaciones de políticas del sistema operativo. Necesario para implementar y administrar las asignaciones de políticas del sistema operativo que organizan la instalación de protección de ESET en las máquinas virtuales.

roles/osconfig.osPolicyAssignmentReportViewer

Aceptar

Aceptar

Lea los informes de cumplimiento de las asignaciones de la política del sistema operativo. Necesario para comprobar el estado o la conformidad de las políticas del sistema operativo implementadas.

roles/osconfig.inventoryViewer

Aceptar

Aceptar

Lea los datos de inventario del sistema operativo recopilados por el administrador de máquinas virtuales. Necesario para determinar el sistema operativo (nombre, versión), los detalles y la preparación para la implementación de las máquinas virtuales.