Permisos necesarios en la cuenta de GCP

Copiar la URL del artículo actual Compartir por correo electrónico

Este artículo (PDF) Documentación completa (PDF)

El ID de la cuenta de servicio eset-cwpp-service-account (nombre en pantalla: ESET CWPP Service Account, formato de correo electrónico: eset-cwpp-service-account@eset-cwpp-<hash>.iam.gserviceaccount.com) se crea automáticamente durante el flujo de incorporación de GCP. Tiene permisos de lectura/administración en toda la organización GCP del cliente o en proyectos seleccionados para que CWP pueda detectar e inspeccionar recursos en la nube.

Asignaciones de roles

Rol de IAM	Nivel de organización	Nivel de proyecto	Propósito/por qué es necesario
roles/resourcemanager.organizationViewer	Sí	No	Vista de solo lectura del recurso de la organización. Se requiere para obtener los metadatos y la jerarquía de la organización en el ámbito de la organización.
roles/resourcemanager.folderViewer	Sí	No	Vista de solo lectura de carpetas dentro de la organización. Se requiere para recorrer la jerarquía de carpetas al detectar proyectos en toda la organización.
roles/cloudasset.viewer	Sí	Sí	Acceso de solo lectura al inventario de recursos en la nube. Se requiere para enumerar y detectar todos los recursos de GCP (máquinas virtuales, proyectos).
roles/compute.instanceAdmin.v1	Sí	Sí	Control total de las instancias de Compute Engine. Se requiere para: •enumerar las instancias de VM en todos los proyectos de la organización; •recuperar los detalles de la instancia y el tipo de máquina para el inventario; •agregar o eliminar la etiqueta "cwpp-li-<hash>" en una instancia de máquina virtual durante la implementación de ESET Live Installer: la etiqueta se utiliza como filtro de instancia de asignación de políticas de SO para dirigirse a la máquina virtual específica y se elimina una vez finalizada la instalación.
roles/logging.viewer	Sí	Sí	Acceso de solo lectura a Cloud Logging (registros de auditoría). Se requiere para recopilar y leer las entradas del registro de auditoría.
roles/osconfig.osPolicyAssignmentAdmin	Sí	Sí	Crear, actualizar y eliminar asignaciones de políticas del SO. Se requiere para implementar y administrar las asignaciones de políticas del SO que organizan la instalación de protección de ESET en las máquinas virtuales.
roles/osconfig.osPolicyAssignmentReportViewer	Sí	Sí	Leer los informes de cumplimiento de las asignaciones de directivas del SO. Se requiere para comprobar el estado o la conformidad de las políticas del sistema operativo implementadas.
roles/osconfig.inventoryViewer	Sí	Sí	Leer los datos de inventario del sistema operativo recopilados por VM Manager. Necesario para determinar el sistema operativo (nombre, versión), los detalles y la preparación para la implementación de las máquinas virtuales.

˄˅