Permissions requises pour le service Azure

Copier l'URL de l'article actuel Envoyer par courriel

Cet article (PDF) Documentation complète (PDF)

Contrôle d’accès basé sur les rôles Azure (RBAC)

Rôle	Portée	Autorisations requises	Raison
Contributeur à l’analyse de journaux	/subscriptions/${subscription_id}	•/read Pour pouvoir lire toutes les ressources de l’abonnement. •Microsoft.Insights/DiagnosticSettings/ Pour pouvoir créer/mettre à jour DiagnosticSettings afin de collecter des journaux de ressources vers Azure EventHub.	Cloud Workload Protection Platform (CWPP) crée et met à jour DiagnosticSettings pour les ressources Azure.
Contributeur pour la machine virtuelle	/subscriptions/${subscription_id}	•Microsoft.Compute/virtualMachines/runCommand/* https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/compute#microsoftcompute	CWPP exécutera des commandes sur les machines virtuelles du client pour installer ESET Endpoint à l’aide du programme d’installation ESET Live Installer.
Contributeur	/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg	•Gérer Azure Event Hub. •Créez des machines virtuelles pour l’analyse (à l’avenir).	Le groupe de ressources eset-cwpp-rg comprendra les ressources gérées par le CWPP. CWPP va créer un Azure Event Hub dans ce groupe de ressources. À l’avenir, CWPP créera des machines virtuelles pour analyser les espaces de stockage et les disques dans le nuage ici.

Rôle

Portée

Autorisations requises

Raison

Contributeur à l’analyse de journaux

/subscriptions/${subscription_id}

•*/read
Pour pouvoir lire toutes les ressources de l’abonnement.

•Microsoft.Insights/DiagnosticSettings/*
Pour pouvoir créer/mettre à jour DiagnosticSettings afin de collecter des journaux de ressources vers Azure EventHub.

Cloud Workload Protection Platform (CWPP) crée et met à jour DiagnosticSettings pour les ressources Azure.

Contributeur pour la machine virtuelle

/subscriptions/${subscription_id}

•Microsoft.Compute/virtualMachines/runCommand/*
https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/compute#microsoftcompute

CWPP exécutera des commandes sur les machines virtuelles du client pour installer ESET Endpoint à l’aide du programme d’installation ESET Live Installer.

Contributeur

/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg

•Gérer Azure Event Hub.

•Créez des machines virtuelles pour l’analyse (à l’avenir).

Le groupe de ressources eset-cwpp-rg comprendra les ressources gérées par le CWPP. CWPP va créer un Azure Event Hub dans ce groupe de ressources. À l’avenir, CWPP créera des machines virtuelles pour analyser les espaces de stockage et les disques dans le nuage ici.

MS Graph

Nom de l’autorisation	Description	Accord de l'administrateur requis	Raison
https://graph.microsoft.com/AuditLog.Read.All	Lire toutes les données des journaux de vérification.	Oui	CWPP lira les journaux Entra et les journaux d’activité à l’aide de l’API Graph.
https://management.azure.com/user_impersonation	Autorisez l’application à accéder à Azure Resource Manager en agissant en tant qu’utilisateur de l’organisation.	Non	En cas d’intégration automatisée de CWPP avec le client Azure du client, CWPP répertoriera les abonnements existants, attribuera les autorisations nécessaires à l’application CWPP (une application Azure multi-clients connectée au client Azure du client au moyen d’un consentement) et créera un groupe de ressources pour les ressources gérées par CWPP.

˄˅