ESET PROTECT – Indice

Autorizzazioni necessarie per il ruolo CWP nell’account AWS

ESET Cloud Workload Protection (CWP) utilizza ruoli IAM diversi a seconda del modello di distribuzione: account singolo o organizzazione (account di gestione, account utente).

Ruolo di servizio account singolo (distribuzione account singolo)

Il ruolo di servizio CWP (CwppServiceRole) utilizza un criterio gestito personalizzato (CwppServicePolicy) con autorizzazioni minime richieste al posto dei criteri gestiti AWS per una maggiore sicurezza. Inoltre, il criterio gestito AWS arn:aws:iam::aws:policy/ReadOnlyAccess è collegato a questo ruolo, consentendo l’accesso di sola lettura a tutte le risorse AWS. È obbligatorio per le funzioni ESET Cloud Workload Protection.

Autorizzazioni CwppServicePolicy per il ruolo di servizio account singolo:

Categoria autorizzazioni

Azioni

Risorse

Scopo

Accesso IAM

iam:SimulatePrincipalPolicy

*

CWP verificherà che le azioni richieste siano consentite prima di eseguire Live Installer sulle macchine virtuali client.

Accesso SSM

ssm:DescribeInstanceInformation

ssm:SendCommand

ssm:GetCommandInvocation

*

CWP controlla se Systems Manager (SSM) è abilitato per l’istanza.

CWP esegue comandi sulle macchine virtuali del client per installare ESET Management Agent con Live Installer e recupera lo stato di esecuzione dei comandi.

Accesso S3

s3:ListAllMyBuckets

s3:ListBucket

s3:GetBucketLocation

s3:GetBucketVersioning

s3:GetBucketTagging

s3:GetObject

s3:GetObjectVersion

*

CWP elenca e legge i bucket S3 e gli oggetti (inclusi i file di rapporto AWS CloudTrail). CWP forniranno protezione dell’archiviazione S3.

Accesso S3

s3:DeleteBucket

s3:DeleteObject

s3:DeleteObjectVersion

s3:ListBucketVersions

arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/*

(Bucket CWP CloudTrail S3)

CWP rimuoverà il bucket CWP CloudTrail S3 e il relativo contenuto.

CloudTrail

cloudtrail:StartLogging

cloudtrail:StopLogging

cloudtrail:DeleteTrail

cloudtrail:DescribeTrails

arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail

(CWP CloudTrail)

CWP avvierà, arresterà e rimuoverà CWP CloudTrail.

Accesso alle organizzazioni

organizations:DescribeAccount

organizations:DescribeOrganization

*

CWP recupera i dettagli dell’account.

Accesso IAM

iam:DeleteRole

iam:DetachRolePolicy

iam:DeleteRolePolicy

iam:ListAttachedRolePolicies

iam:ListRolePolicies

iam:UpdateAssumeRolePolicy

arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole

(Ruolo di servizio CWP)

CWP revoca l’accesso all’account del cliente durante il processo di annullamento della distribuzione dell’integrazione.

Ruolo di servizio dell’account di gestione (distribuzione dell’organizzazione)

Il ruolo di servizio di gestione CWP (CwppManagementServiceRole) utilizza un criterio gestito personalizzato (CwppManagementServicePolicy) con autorizzazioni minime richieste al posto dei criteri gestiti AWS per una maggiore sicurezza. Inoltre, il criterio gestito AWS arn:aws:iam::aws:policy/ReadOnlyAccess è collegato a questo ruolo, consentendo in tal modo l’accesso di sola lettura a tutte le risorse AWS per le funzioni <%CSPM%>.

Autorizzazioni CwppManagementServicePolicy per il ruolo di servizio dell’account di gestione:

Categoria autorizzazioni

Azioni

Risorse

Scopo

Accesso IAM

iam:SimulatePrincipalPolicy

*

CWP verificherà che le azioni richieste siano consentite prima di eseguire Live Installer sulle macchine virtuali client.

Accesso SSM

ssm:DescribeInstanceInformation

ssm:SendCommand

ssm:GetCommandInvocation

*

CWP controlla se Systems Manager (SSM) è abilitato per l’istanza.

CWP esegue comandi sulle macchine virtuali del client per installare ESET Management Agent con Live Installer e recupera lo stato di esecuzione dei comandi.

Accesso S3

s3:ListAllMyBuckets

s3:ListBucket

s3:GetBucketLocation

s3:GetBucketVersioning

s3:GetBucketTagging

s3:GetObject

s3:GetObjectVersion

*

CWP elenca e legge bucket S3 e oggetti (inclusi i file di rapporto AWS CloudTrail). CWP fornirà la protezione dell’archiviazione S3.

Accesso S3

s3:DeleteBucket

s3:DeleteObject

s3:DeleteObjectVersion

s3:ListBucketVersions

arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}

arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/*

(Bucket CWP CloudTrail S3)

CWP rimuoverà il bucket CWP CloudTrail S3 e il relativo contenuto.

CloudTrail

cloudtrail:StartLogging

cloudtrail:StopLogging

cloudtrail:DeleteTrail

cloudtrail:DescribeTrails

arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail

(CWP CloudTrail)

CWP avvierà, arresterà e rimuoverà CWP CloudTrail.

Accesso alle organizzazioni

organizations:DescribeAccount

organizations:DescribeOrganization

*

CWP recupera i dettagli dell’account.

Accesso IAM

iam:DeleteRole

iam:DetachRolePolicy

iam:DeleteRolePolicy

iam:ListAttachedRolePolicies

iam:ListRolePolicies

iam:UpdateAssumeRolePolicy

arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole

(Ruolo di servizio CWP)

CWP revoca l’accesso all’account del cliente durante il processo di annullamento della distribuzione dell’integrazione.

Ruolo di servizio dell’account utente (distribuzione dell’organizzazione)

Il ruolo di servizio dell’account utente CWP (CwppServiceRole) utilizza un criterio gestito personalizzato (CwppServicePolicy) con autorizzazioni minime richieste invece di criteri gestiti AWS per una maggiore sicurezza. Il ruolo di servizio dell’account utente include anche il criterio gestito arn:aws:iam::aws:policy/ReadOnlyAccess, che consente l’accesso di sola lettura AWS a tutte le risorse AWS per le funzioni <%CSPM%>.

Autorizzazioni CwppServicePolicy per il ruolo di servizio dell’account utente:

Categoria autorizzazioni

Azioni

Risorse

Scopo

Accesso IAM

iam:SimulatePrincipalPolicy

*

CWP verificherà che le azioni richieste siano consentite prima di eseguire Live Installer sulle macchine virtuali client.

Accesso SSM

ssm:DescribeInstanceInformation

ssm:SendCommand

ssm:GetCommandInvocation

*

CWP controlla se Systems Manager (SSM) è abilitato per l’istanza

CWP esegue comandi sulle macchine virtuali del client per installare ESET Management Agent con Live Installer e recupera lo stato di esecuzione dei comandi.

Accesso S3

s3:ListAllMyBuckets

s3:ListBucket

s3:GetBucketLocation

s3:GetBucketVersioning

s3:GetBucketTagging

s3:GetObject

s3:GetObjectVersion

*

CWP elenca e legge bucket S3 e oggetti (inclusi i file di rapporto AWS CloudTrail). CWP fornirà la protezione dell’archiviazione S3.

Accesso IAM

iam:DeleteRole

iam:DetachRolePolicy

iam:DeleteRolePolicy

iam:ListAttachedRolePolicies

iam:ListRolePolicies

iam:UpdateAssumeRolePolicy

arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole

(Ruolo di servizio CWP)

CWP revoca l’accesso all’account del cliente durante il processo di annullamento della distribuzione dell’integrazione.