Potrebne dozvole za CWP ulogu u AWS računu
ESET Cloud Workload Protection (CWP) koristi različite IAM uloge ovisno o modelu instalacije: jedan račun ili organizacija (upravljački račun, račun člana).
Uloga usluge s jednim računom (instalacija jednog računa)
Uloga CWP usluge (CwppServiceRole) koristi prilagođenu upravljanu politiku (CwppServicePolicy) s minimalnim potrebnim dozvolama umjesto AWS upravljanih politika radi poboljšane sigurnosti. Osim toga, upravljana AWS politika arn:aws:iam::aws:policy/ReadOnlyAccess je vezana uz ovu ulogu, omogućujući pristup svim AWS resursima samo za čitanje. To je obavezno za ESET Cloud Workload Protection značajke.
CwppServicePolicy Dozvole za ulogu usluge jedinstvenog računa:
Kategorija dozvola |
Radnje |
Resursi |
Svrha |
|---|---|---|---|
IAM pristup |
iam:SimulatePrincipalPolicy |
* |
CWP provjerit će jesu li potrebne radnje dopuštene prije pokretanja aktivnog instalacijskog programa na klijentovim VM-ovima. |
SSM pristup |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP provjerava je li Systems Manager (SSM) omogućen za instancu. CWP izvršava naredbe na klijentovim VM-ovima za instalaciju ESET Management Agenta s aktivnim instalacijskim programom i dohvaća status izvršavanja naredbi. |
S3 pristup |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP navodi i čita S3 bucketove i objekte (uključujući AWS CloudTrail dnevnike). CWP pruža zaštitu S3 memorije. |
S3 pristup |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (CWP CloudTrail S3 kanta) |
CWP Izbrisat CWP CloudTrail S3 će kantu i njezin sadržaj. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP će početi, zaustaviti i izbrisati CWP CloudTrail. |
Pristup organizacijama |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP Preuzima podatke o računu. |
IAM pristup |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (CWP uslužna uloga) |
CWP povlači pristup korisničkom računu tijekom procesa integracije i dedeployiranja. |
Uloga usluge upravljačkog računa (organizacijska instalacija)
Uloga CWP upravljačke usluge (CwppManagementServiceRole) koristi prilagođenu upravljanu politiku (CwppManagementServicePolicy) s minimalnim potrebnim dozvolama umjesto AWS upravljanih politika radi poboljšane sigurnosti. Osim toga, upravljana AWS politika arn:aws:iam::aws:policy/ReadOnlyAccess je vezana uz ovu ulogu, omogućujući pristup samo za čitanje svim AWS resursima za <%CSPM%> značajke.
CwppManagementServicePolicy Dozvole za ulogu usluge upravljačkog računa:
Kategorija dozvola |
Radnje |
Resursi |
Svrha |
|---|---|---|---|
IAM pristup |
iam:SimulatePrincipalPolicy |
* |
CWP provjerit će jesu li potrebne radnje dopuštene prije pokretanja aktivnog instalacijskog programa na klijentovim VM-ovima. |
SSM pristup |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP provjerava je li Systems Manager (SSM) omogućen za instancu. CWP izvršava naredbe na klijentovim VM-ovima za instalaciju ESET Management Agenta s Live Installerom i dohvaća status izvršavanja naredbi. |
S3 pristup |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP navodi i čita S3 spremnike i objekte (uključujući AWS CloudTrail dnevnike). CWP pruža S3 zaštitu pohrane. |
S3 pristup |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (CWP CloudTrail S3 kanta) |
CWP Izbrisat CWP CloudTrail S3 će kantu i njezin sadržaj. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP će početi, zaustaviti i obrisati CWP CloudTrail. |
Pristup organizacijama |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP Preuzima podatke o računu. |
IAM pristup |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (CWP uslužna uloga) |
CWP povlači pristup korisničkom računu tijekom procesa integracije i dedeployiranja. |
Uloga usluge za račun članova (organizacijska instalacija)
Uloga CWP usluge računa članova (CwppServiceRole) koristi prilagođenu upravljanu politiku (CwppServicePolicy) s minimalnim potrebnim dozvolama umjesto AWS upravljanih politika za poboljšanu sigurnost. Uloga usluge za račun članova također uključuje AWS upravljanu politiku arn:aws:iam::aws:policy/ReadOnlyAccess, omogućujući pristup samo za čitanje svim AWS resursima za <%CSPM%> značajke.
CwppServicePolicy Dozvole za ulogu usluge računa članova:
Kategorija dozvola |
Radnje |
Resursi |
Svrha |
|---|---|---|---|
IAM pristup |
iam:SimulatePrincipalPolicy |
* |
CWP provjerit će jesu li potrebne radnje dopuštene prije pokretanja aktivnog instalacijskog programa na klijentovim VM-ovima. |
SSM pristup |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP provjerava je li Systems Manager (SSM) omogućen za instancu CWP izvršava naredbe na klijentovim VM-ovima za instalaciju ESET Management Agenta s Live Installerom i dohvaća status izvršavanja naredbi. |
S3 pristup |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP navodi i čita S3 spremnike i objekte (uključujući AWS CloudTrail dnevnike). CWP pruža S3 zaštitu pohrane. |
IAM pristup |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (CWP uslužna uloga) |
CWP povlači pristup korisničkom računu tijekom procesa integracije i dedeployiranja. |