Autorizzazioni necessarie per il ruolo CWP nell’account AWS
ESET Cloud Workload Protection (CWP) utilizza ruoli IAM diversi a seconda del modello di distribuzione: account singolo o organizzazione (account di gestione, account utente).
Ruolo di servizio account singolo (distribuzione account singolo)
Il ruolo di servizio CWP (CwppServiceRole) utilizza un criterio gestito personalizzato (CwppServicePolicy) con autorizzazioni minime richieste al posto dei criteri gestiti AWS per una maggiore sicurezza. Inoltre, il criterio gestito AWS arn:aws:iam::aws:policy/ReadOnlyAccess è collegato a questo ruolo, consentendo l’accesso di sola lettura a tutte le risorse AWS. È obbligatorio per le funzioni ESET Cloud Workload Protection.
Autorizzazioni CwppServicePolicy per il ruolo di servizio account singolo:
Categoria autorizzazioni |
Azioni |
Risorse |
Scopo |
|---|---|---|---|
Accesso IAM |
iam:SimulatePrincipalPolicy |
* |
CWP verificherà che le azioni richieste siano consentite prima di eseguire Live Installer sulle macchine virtuali client. |
Accesso SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP controlla se Systems Manager (SSM) è abilitato per l’istanza. CWP esegue comandi sulle macchine virtuali del client per installare ESET Management Agent con Live Installer e recupera lo stato di esecuzione dei comandi. |
Accesso S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP elenca e legge i bucket S3 e gli oggetti (inclusi i file di rapporto AWS CloudTrail). CWP forniranno protezione dell’archiviazione S3. |
Accesso S3 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (Bucket CWP CloudTrail S3) |
CWP rimuoverà il bucket CWP CloudTrail S3 e il relativo contenuto. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP avvierà, arresterà e rimuoverà CWP CloudTrail. |
Accesso alle organizzazioni |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP recupera i dettagli dell’account. |
Accesso IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (Ruolo di servizio CWP) |
CWP revoca l’accesso all’account del cliente durante il processo di annullamento della distribuzione dell’integrazione. |
Ruolo di servizio dell’account di gestione (distribuzione dell’organizzazione)
Il ruolo di servizio di gestione CWP (CwppManagementServiceRole) utilizza un criterio gestito personalizzato (CwppManagementServicePolicy) con autorizzazioni minime richieste al posto dei criteri gestiti AWS per una maggiore sicurezza. Inoltre, il criterio gestito AWS arn:aws:iam::aws:policy/ReadOnlyAccess è collegato a questo ruolo, consentendo in tal modo l’accesso di sola lettura a tutte le risorse AWS per le funzioni <%CSPM%>.
Autorizzazioni CwppManagementServicePolicy per il ruolo di servizio dell’account di gestione:
Categoria autorizzazioni |
Azioni |
Risorse |
Scopo |
|---|---|---|---|
Accesso IAM |
iam:SimulatePrincipalPolicy |
* |
CWP verificherà che le azioni richieste siano consentite prima di eseguire Live Installer sulle macchine virtuali client. |
Accesso SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP controlla se Systems Manager (SSM) è abilitato per l’istanza. CWP esegue comandi sulle macchine virtuali del client per installare ESET Management Agent con Live Installer e recupera lo stato di esecuzione dei comandi. |
Accesso S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP elenca e legge bucket S3 e oggetti (inclusi i file di rapporto AWS CloudTrail). CWP fornirà la protezione dell’archiviazione S3. |
Accesso S3 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (Bucket CWP CloudTrail S3) |
CWP rimuoverà il bucket CWP CloudTrail S3 e il relativo contenuto. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP avvierà, arresterà e rimuoverà CWP CloudTrail. |
Accesso alle organizzazioni |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP recupera i dettagli dell’account. |
Accesso IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (Ruolo di servizio CWP) |
CWP revoca l’accesso all’account del cliente durante il processo di annullamento della distribuzione dell’integrazione. |
Ruolo di servizio dell’account utente (distribuzione dell’organizzazione)
Il ruolo di servizio dell’account utente CWP (CwppServiceRole) utilizza un criterio gestito personalizzato (CwppServicePolicy) con autorizzazioni minime richieste invece di criteri gestiti AWS per una maggiore sicurezza. Il ruolo di servizio dell’account utente include anche il criterio gestito arn:aws:iam::aws:policy/ReadOnlyAccess, che consente l’accesso di sola lettura AWS a tutte le risorse AWS per le funzioni <%CSPM%>.
Autorizzazioni CwppServicePolicy per il ruolo di servizio dell’account utente:
Categoria autorizzazioni |
Azioni |
Risorse |
Scopo |
|---|---|---|---|
Accesso IAM |
iam:SimulatePrincipalPolicy |
* |
CWP verificherà che le azioni richieste siano consentite prima di eseguire Live Installer sulle macchine virtuali client. |
Accesso SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP controlla se Systems Manager (SSM) è abilitato per l’istanza CWP esegue comandi sulle macchine virtuali del client per installare ESET Management Agent con Live Installer e recupera lo stato di esecuzione dei comandi. |
Accesso S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP elenca e legge bucket S3 e oggetti (inclusi i file di rapporto AWS CloudTrail). CWP fornirà la protezione dell’archiviazione S3. |
Accesso IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (Ruolo di servizio CWP) |
CWP revoca l’accesso all’account del cliente durante il processo di annullamento della distribuzione dell’integrazione. |