Autorisations requises dans le compte GCP
L’identifiant du compte de service eset-cwpp-service-account (nom d’affichage : ESET CWPP Service Account, format du courriel : eset-cwpp-service-account@eset-cwpp-<hash>.iam.gserviceaccount.com) est créé automatiquement lors du processus d’intégration GCP. Il dispose d’autorisations de lecture/gestion à travers l’organisation GCP du client ou des projets sélectionnés pour que CWP puisse découvrir et inspecter les ressources infonuagiques.
Attributions de rôles
Rôle de l’IAM |
Au niveau de l’organisation |
Au niveau du projet |
Objectif / Pourquoi c’est nécessaire |
|---|---|---|---|
roles/resourcemanager.organizationViewer |
Oui |
Non |
Vue en lecture seule de la ressource organisation. Nécessaire pour récupérer les métadonnées et la hiérarchie de l’organisation au niveau de l’organisation. |
roles/resourcemanager.folderViewer |
Oui |
Non |
Vue en lecture seule des dossiers à l’intérieur de l’organisation. Nécessaire pour parcourir la hiérarchie des dossiers lors de la recherche de projets à l’échelle de l’organisation. |
roles/cloudasset.viewer |
Oui |
Oui |
Accès en lecture seule à Cloud Asset Inventory. Nécessaire pour répertorier et identifier toutes les ressources GCP (machines virtuelles, projets). |
roles/compute.instanceAdmin.v1 |
Oui |
Oui |
Contrôle total des instances du moteur de calcul. Nécessaire pour : •énumérer les instances de machine virtuelle dans tous les projets de l’organisation. •récupérer les détails de l’instance et du type de machine pour l’inventaire. •ajouter/retirer l’étiquette « cwpp-li-<hash> » sur une instance de machine virtuelle lors du déploiement du programme d’installation ESET Live installer; l’étiquette est utilisée comme filtre d’instance d’attribution de politique d’exploitation pour cibler la machine virtuelle spécifique, et est retirée après l’installation. |
roles/logging.viewer |
Oui |
Oui |
Accès en lecture seule à Cloud Logging (journaux de vérification). Necessaire pour collecter et lire les journaux de vérification. |
roles/osconfig.osPolicyAssignmentAdmin |
Oui |
Oui |
Créer, mettre à jour et supprimer des affectations de politiques de système d’exploitation. Necessaire pour déployer et gérer les attributions de politiques du système d’exploitation qui orchestrent l’installation de la protection ESET sur les machines virtuelles. |
roles/osconfig.osPolicyAssignmentReportViewer |
Oui |
Oui |
Lecture des rapports de conformité pour les attributions de politiques de système d’exploitation. Necessaire pour vérifier la conformité/l’état des politiques du système d’exploitation déployé. |
roles/osconfig.inventoryViewer |
Oui |
Oui |
Lecture des données d’inventaire du système d’exploitation recueillies par le gestionnaire des machines virtuelles. Necessaire pour déterminer le système d’exploitation des machines virtuelles (nom, version), les détails et la préparation au déploiement. |