Autorisations requises pour le rôle CWP dans le compte AWS
ESET Cloud Workload Protection (CWP) utilise différents rôles IAM selon le modèle de déploiement : compte unique ou organisation (compte de gestion, compte membre).
Rôle de service de compte unique (déploiement de compte unique)
Le rôle de service CWP (CwppServiceRole) utilise une politique gérée personnalisée (CwppServicePolicy) avec des autorisations minimales requises au lieu de politiques gérées AWS pour une sécurité accrue. De plus, la politique gérée de AWS arn:aws:iam::aws:policy/ReadOnlyAccess est attachée à ce rôle, permettant un accès en lecture seule à toutes les ressources AWS. Cela est nécessaire pour les fonctionnalités ESET Cloud Workload Protection.
Autorisations CwppServicePolicy pour le rôle de service de compte unique :
Catégorie d’autorisation |
Actions |
Ressources |
Objectif |
|---|---|---|---|
Accès IAM |
iam:SimulatePrincipalPolicy |
* |
CWP vérifiera que les actions requises sont autorisées avant d’exécuter un programme d’installation Live Installer sur les machines virtuelles du client. |
Accès à SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP vérifie si le gestionnaire système (SSM) est activé pour l’instance. CWP exécute des commandes sur les machines virtuelles du client pour installer ESET Management Agent avec le programme d’installation Live Installer et récupère l’état d’exécution des commandes. |
Accès à S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP énumère et lit les compartiments et les objets S3 (y compris les fichiers journaux AWS CloudTrail). CWP offre une protection de stockage S3. |
Accès à S3 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (Compartiment CWP CloudTrail S3) |
CWP supprimera le compartiment CWP CloudTrail S3 et son contenu. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP va démarrer, arrêter et supprimer CWP CloudTrail. |
Accès aux organisations |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP récupère les détails du compte. |
Accès IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (Rôle de service CWP) |
CWP révoque son accès au compte client lors du processus d’annulation du déploiement de l’intégration. |
Rôle de service de compte de gestion (déploiement organisationnel)
Le rôle de service de gestion CWP (CwppManagementServiceRole) utilise une politique gérée personnalisée (CwppManagementServicePolicy) avec des autorisations minimales requises au lieu des politiques gérées de AWS pour renforcer la sécurité. De plus, la politique de AWS arn:aws:iam::aws:policy/ReadOnlyAccess est liée à ce rôle, permettant un accès en lecture seule à toutes les ressources AWS pour les fonctionnalités <%CSPM%>.
Autorisations de CwppManagementServicePolicy pour le rôle de service de compte de gestion :
Catégorie d’autorisation |
Actions |
Ressources |
Objectif |
|---|---|---|---|
Accès IAM |
iam:SimulatePrincipalPolicy |
* |
CWP vérifiera que les actions requises sont autorisées avant d’exécuter un programme d’installation Live Installer sur les machines virtuelles du client. |
Accès à SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP vérifie si le gestionnaire système (SSM) est activé pour l’instance. CWP exécute des commandes sur les machines virtuelles du client pour installer ESET Management Agent avec le programme d’installation Live Installer et récupère l’état d’exécution des commandes. |
Accès à S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP énumère et lit les compartiments et les objets S3 (y compris les fichiers journaux AWS CloudTrail). CWP offre une protection de stockage S3. |
Accès à S3 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (Compartiment CWP CloudTrail S3) |
CWP supprimera le compartiment CWP CloudTrail S3 et son contenu. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP va démarrer, arrêter et supprimer CWP CloudTrail. |
Accès aux organisations |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP récupère les détails du compte. |
Accès IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (Rôle de service CWP) |
CWP révoque son accès au compte client lors du processus d’annulation du déploiement de l’intégration. |
Rôle de service de compte de membre (déploiement organisationnel)
Le rôle de service de compte de membre CWP (CwppServiceRole) utilise une politique gérée personnalisée (CwppServicePolicy) avec des autorisations minimales requises au lieu des politiques gérées de AWS pour renforcer la sécurité. Le rôle de service de compte de membre inclut également la politique gérée AWS arn : aws : iam : : aws : policy/ReadOnlyAccess, permettant un accès en lecture seule à toutes les ressources AWS pour les fonctionnalités <%CSPM%>.
Autorisations CwppServicePolicy pour le rôle de service de compte de membre :
Catégorie d’autorisation |
Actions |
Ressources |
Objectif |
|---|---|---|---|
Accès IAM |
iam:SimulatePrincipalPolicy |
* |
CWP vérifiera que les actions requises sont autorisées avant d’exécuter un programme d’installation Live Installer sur les machines virtuelles du client. |
Accès à SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP vérifie si le gestionnaire des systèmes (SSM) est activé pour l’instance CWP exécute des commandes sur les machines virtuelles du client pour installer ESET Management Agent avec le programme d’installation Live Installer et récupère l’état d’exécution des commandes. |
Accès à S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP énumère et lit les compartiments et les objets S3 (y compris les fichiers journaux AWS CloudTrail). CWP offre une protection de stockage S3. |
Accès IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (Rôle de service CWP) |
CWP révoque son accès au compte client lors du processus d’annulation du déploiement de l’intégration. |