Permisos necesarios para el rol de CWP en la cuenta de AWS
ESET Cloud Workload Protection (CWP) utiliza diferentes roles de IAM en función del modelo de implementación: cuenta única u organización (cuenta de administración, cuenta de miembro).
Rol de servicio de cuenta única (implementación de cuenta única)
Para mejorar la seguridad, el rol de servicio de CWP (CwppServiceRole) utiliza una política administrada personalizada (CwppServicePolicy) con permisos mínimos requeridos en lugar de políticas administradas de AWS. Además, la política administrada de AWS arn:aws:iam::aws:policy/ReadOnlyAccess está asociada a este rol, lo que permite el acceso de solo lectura a todos los recursos de AWS. Es necesario para las funciones de ESET Cloud Workload Protection.
Permisos de CwppServicePolicy para el rol de servicio de cuenta única:
Categoría del permiso |
Acciones |
Recursos |
Finalidad |
|---|---|---|---|
Acceso a IAM |
iam:SimulatePrincipalPolicy |
* |
CWP comprobará que las acciones necesarias estén permitidas antes de ejecutar Live Installer en las máquinas virtuales del cliente. |
Acceso a SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP comprueba si el administrador de sistemas (SSM) está habilitado para la instancia. CWP ejecuta comandos en las máquinas virtuales del cliente para instalar ESET Management Agent con Live Installer y recupera el estado de ejecución del comando. |
Acceso a S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP enumera y lee buckets y objetos de S3 (incluidos los archivos de registro de AWS CloudTrail). CWP proporcionará protección del almacenamiento de S3. |
Acceso a S3 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (bucket de CWP CloudTrail S3) |
CWP eliminará el bucket de CWP CloudTrail S3 y su contenido. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP iniciará, detendrá y eliminará el CWP CloudTrail. |
Acceso a Organizations |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP recupera los detalles de la cuenta. |
Acceso a IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (rol de servicio de CWP) |
CWP revoca su acceso a la cuenta de cliente durante el proceso de anulación de implementación de la integración. |
Rol de servicio de la cuenta de administración (implementación de la organización)
Para mejorar la seguridad, el rol de servicio de administración de CWP (CwppManagementServiceRole) utiliza una política administrada personalizada (CwppManagementServicePolicy) con permisos mínimos requeridos en lugar de políticas administradas de AWS. Además, la política administrada de AWS arn:aws:iam::aws:policy/ReadOnlyAccess está asociada a este rol, lo que permite el acceso de solo lectura a todos los recursos de AWS para las funciones de <%CSPM%>.
Permisos de CwppManagementServicePolicy para el rol de servicio de la cuenta de administración:
Categoría del permiso |
Acciones |
Recursos |
Finalidad |
|---|---|---|---|
Acceso a IAM |
iam:SimulatePrincipalPolicy |
* |
CWP comprobará que las acciones necesarias estén permitidas antes de ejecutar Live Installer en las máquinas virtuales del cliente. |
Acceso a SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP comprueba si el administrador de sistemas (SSM) está habilitado para la instancia. CWP ejecuta comandos en las máquinas virtuales del cliente para instalar ESET Management Agent con Live Installer y recupera el estado de ejecución del comando. |
Acceso a S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP enumera y lee buckets y objetos de S3 (incluidos los archivos de registro de AWS CloudTrail). CWP proporcionará protección del almacenamiento de S3. |
Acceso a S3 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (bucket de CWP CloudTrail S3) |
CWP eliminará el bucket de CWP CloudTrail S3 y su contenido. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP se iniciará, detendrá y eliminará CWP CloudTrail. |
Acceso a Organizations |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP recupera los detalles de la cuenta. |
Acceso a IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (rol de servicio de CWP) |
CWP revoca su acceso a la cuenta de cliente durante el proceso de anulación de implementación de la integración. |
Rol de servicio de la cuenta de miembro (implementación de la organización)
Para mejorar la seguridad, el rol de servicio de la cuenta de miembro de CWP (CwppServiceRole) utiliza una política administrada personalizada (CwppServicePolicy) con permisos mínimos requeridos en lugar de políticas administradas de AWS. El rol de servicio de la cuenta de miembro también incluye la política administrada de AWS arn:aws:iam::aws:policy/ReadOnlyAccess, que permite el acceso de solo lectura a todos los recursos de AWS de las funciones <%CSPM%>.
Permisos de CwppServicePolicy para el rol de servicio de la cuenta de miembro:
Categoría del permiso |
Acciones |
Recursos |
Finalidad |
|---|---|---|---|
Acceso a IAM |
iam:SimulatePrincipalPolicy |
* |
CWP comprobará que las acciones necesarias estén permitidas antes de ejecutar Live Installer en las máquinas virtuales del cliente. |
Acceso a SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP comprueba si el administrador de sistemas (SSM) está habilitado para la instancia. CWP ejecuta comandos en las máquinas virtuales del cliente para instalar ESET Management Agent con Live Installer y recupera el estado de ejecución del comando. |
Acceso a S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP enumera y lee buckets y objetos de S3 (incluidos los archivos de registro de AWS CloudTrail). CWP proporcionará protección del almacenamiento de S3. |
Acceso a IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (rol de servicio de CWP) |
CWP revoca su acceso a la cuenta de cliente durante el proceso de anulación de implementación de la integración. |