Autorisations requises pour le rôle CWP dans le compte AWS
ESET Cloud Workload Protection (CWP) utilise différents rôles IAM en fonction du modèle de déploiement : compte unique ou organisation (compte de gestion, compte de membre).
Rôle de service à compte unique (déploiement à compte unique)
Le rôle de service CWP (CwppServiceRole) utilise une politique gérée personnalisée (CwppServicePolicy) avec un minimum d'autorisations requises au lieu de politiques gérées AWS pour une sécurité renforcée. En outre, la politique gérée AWS arn:aws:iam::aws:policy/ReadOnlyAccess est attachée à ce rôle, ce qui permet un accès en lecture seule à toutes les ressources AWS. Cela est nécessaire pour les fonctionnalités ESET Cloud Workload Protection.
Autorisations CwppServicePolicy pour le rôle de service à compte unique :
Catégorie d'autorisation |
Actions |
Ressources |
Objet |
|---|---|---|---|
Accès IAM |
iam:SimulatePrincipalPolicy |
* |
CWP vérifie que les actions requises sont autorisées avant d'exécuter le programme d'installation Live Installer sur les machines virtuelles du client. |
Accès SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP vérifie si Systems Manager (SSM) est activé pour l'instance. CWP exécute des commandes sur les machines virtuelles du client pour installer ESET Management Agent à l'aide du programme d’installation Live Installer et récupère l'état d'exécution des commandes. |
Accès S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP répertorie et lit les compartiments et les objets S3 (y compris les fichiers journaux CloudTrail AWS). CWP assure la protection du stockage S3. |
Accès S3 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (Compartiment CWP CloudTrail S3) |
CWP supprime le compartiment et son contenu CWP CloudTrail S3. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP démarre, arrête et supprime CWP CloudTrail. |
Accès aux organisations |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP récupère les détails du compte. |
Accès IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (Rôle de service CWP) |
CWP révoque son accès au compte client pendant le processus d'annulation du déploiement de l'intégration. |
Rôle de service de compte de gestion (déploiement de l'organisation)
Le rôle de service de gestion CWP (CwppManagementServiceRole) utilise une politique gérée personnalisée (CwppManagementServicePolicy) avec un minimum d'autorisations requises au lieu de politiques gérées AWS pour une sécurité renforcée. En outre, la politique gérée AWS arn:aws:iam::aws:policy/ReadOnlyAccess est attachée à ce rôle, ce qui permet un accès en lecture seule à toutes les ressources AWS pour les fonctionnalités <%CSPM%>.
Autorisations CwppManagementServicePolicy pour le rôle de service de compte de gestion :
Catégorie d'autorisation |
Actions |
Ressources |
Objet |
|---|---|---|---|
Accès IAM |
iam:SimulatePrincipalPolicy |
* |
CWP vérifie que les actions requises sont autorisées avant d'exécuter le programme d'installation Live Installer sur les machines virtuelles du client. |
Accès SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP vérifie si Systems Manager (SSM) est activé pour l'instance. CWP exécute des commandes sur les machines virtuelles du client pour installer ESET Management Agent à l'aide du programme d’installation Live Installer et récupère l'état d'exécution des commandes. |
Accès S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP répertorie et lit les compartiments et les objets S3 (y compris les fichiers journaux CloudTrail AWS). CWP assure la protection du stockage S3. |
Accès S3 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (Compartiment CWP CloudTrail S3) |
CWP supprime le compartiment et son contenu CWP CloudTrail S3. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP démarre, arrête et supprime CWP CloudTrail. |
Accès aux organisations |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP récupère les détails du compte. |
Accès IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (Rôle de service CWP) |
CWP révoque son accès au compte client pendant le processus d'annulation du déploiement de l'intégration. |
Rôle de service du compte de membre (déploiement de l'organisation)
Le rôle de service de compte de membre CWP (CwppServiceRole) utilise une politique gérée personnalisée (CwppServicePolicy) avec un minimum d’autorisations requises au lieu de politiques gérées AWS pour une sécurité renforcée. Le rôle de service de compte de membre inclut également la politique gérée AWS arn:aws:iam::aws:policy/ReadOnlyAccess, qui permet d'accéder en lecture seule à toutes les ressources AWS pour les fonctionnalités <%CSPM%>.
Autorisations CwppServicePolicy pour le rôle de service de compte de membre :
Catégorie d'autorisation |
Actions |
Ressources |
Objet |
|---|---|---|---|
Accès IAM |
iam:SimulatePrincipalPolicy |
* |
CWP vérifie que les actions requises sont autorisées avant d'exécuter le programme d'installation Live Installer sur les machines virtuelles du client. |
Accès SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP vérifie si Systems Manager (SSM) est activé pour l'instance CWP exécute des commandes sur les machines virtuelles du client pour installer ESET Management Agent à l'aide du programme d’installation Live Installer et récupère l'état d'exécution des commandes. |
Accès S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP répertorie et lit les compartiments et les objets S3 (y compris les fichiers journaux CloudTrail AWS). CWP assure la protection du stockage S3. |
Accès IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (Rôle de service CWP) |
CWP révoque son accès au compte client pendant le processus d'annulation du déploiement de l'intégration. |