Autorisations requises dans le compte GCP

Copier l'URL de l'article actuel Partager par e-mail

Cet article (PDF) Documentation complète (PDF)

L'ID de compte de service eset-cwpp-service-account (nom d’affichage : ESET CWPP Service Account, format d’e-mail : eset-cwpp-service-account@eset-cwpp-<hash>.iam.gserviceaccount.com) est créé automatiquement pendant le flux d'intégration GCP. Il dispose d'autorisations de lecture/gestion dans l'organisation GCP du client ou des projets sélectionnés pour que CWP puisse découvrir et inspecter les ressources cloud.

Affectations de rôle

Rôle IAM	Niveau de l'organisation	Au niveau du projet	Object/Pourquoi est-il nécessaire ?
roles/resourcemanager.organizationViewer	Oui	Non	Affichage en lecture seule de la ressource d'organisation. Nécessaire pour obtenir les métadonnées et la hiérarchie de l'organisation à l'échelle de l'organisation.
roles/resourcemanager.folderViewer	Oui	Non	Affichage en lecture seule des dossiers au sein de l'organisation. Nécessaire pour parcourir la hiérarchie des dossiers lors de la découverte des projets dans toute l'organisation.
roles/cloudasset.viewer	Oui	Oui	Accès en lecture seule à l'inventaire des ressources cloud. Nécessaire pour répertorier et découvrir toutes les ressources GCP (machines virtuelles, projets).
roles/compute.instanceAdmin.v1	Oui	Oui	Contrôle total des instances Compute Engine. Nécessaire pour : •répertorier les instances de machine virtuelle dans tous les projets de l'organisation. •récupérer les détails de l'instance et du type de machine pour l'inventaire. •ajouter/supprimer l'étiquette « cwpp-li-<hash> » sur une instance de machine virtuelle pendant le déploiement d'ESET Live Installer : cette étiquette sert de filtre d'instance dans l'attribution des politiques du système d'exploitation pour cibler la machine virtuelle spécifique, et elle est supprimée une fois l'installation terminée.
roles/logging.viewer	Oui	Oui	Accès en lecture seule à Cloud Logging (journaux de vérification). Nécessaire pour collecter et lire les entrées des journaux de vérification.
roles/osconfig.osPolicyAssignmentAdmin	Oui	Oui	Créer, mettre à jour et supprimer des affectations de politiques de système d'exploitation. Nécessaire pour déployer et gérer les affectations de politiques de système d'exploitation qui orchestrent l'installation de la protection ESET sur les machines virtuelles.
roles/osconfig.osPolicyAssignmentReportViewer	Oui	Oui	Lire les rapports de conformité relatif aux affectations de politiques de système d'exploitation. Nécessaire pour vérifier la conformité/l'état des politiques de système d'exploitation déployées.
roles/osconfig.inventoryViewer	Oui	Oui	Lire les données d'inventaire du système d'exploitation collectées par VM Manager. Nécessaire pour déterminer le système d'exploitation (nom, version), les détails et l'état de préparation au déploiement des machines virtuelles.

˄˅