Autorizzazioni necessarie per l’entità principale del servizio Azure
Controllo degli accessi in base al ruolo di Azure (RBAC)
Ruolo |
Ambito |
Autorizzazioni necessarie |
Motivo |
|---|---|---|---|
Log Analytics Contributor |
/subscriptions/${subscription_id} |
•*/read Per poter leggere tutte le risorse nell’abbonamento. •Microsoft.Insights/DiagnosticSettings/* Per poter creare/aggiornare DiagnosticSettings per raccogliere i rapporti delle risorse in Azure EventHub. |
ESET Cloud Workload Protection (CWP) creerà e aggiornerà DiagnosticSettings per le risorse Azure. |
Virtual Machine Contributor |
/subscriptions/${subscription_id} |
•Microsoft.Compute/virtualMachines/runCommand/* |
CWP eseguirà i comandi sulle macchine virtuali del client per installare ESET Endpoint utilizzando ESET Live Installer. |
Contributor |
/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg |
•Gestire un hub eventi Azure. •Crea macchine virtuali per il controllo (in futuro). |
Il gruppo di risorse eset-cwpp-rg conterrà risorse gestite da CWP. CWP creerà un hub eventi Azure in questo gruppo di risorse. In futuro, CWP creerà macchine virtuali per eseguire il controllo di archiviazione/dischi cloud qui. |
Grafico MS
Nome autorizzazione |
Descrizione |
È necessario concedere il consenso dell’amministratore |
Motivo |
|---|---|---|---|
Leggere tutti i dati del rapporto di controllo. |
Sì |
CWP leggerà i rapporti Attività utilizzando Graph API. |
|
Consentire all’applicazione di accedere a Azure Resource Manager, agendo come utente nell’organizzazione. |
No |
In caso di integrazione automatica di CWP con il tenant di Azure del client, ESET Cloud Workload Protection elencherà gli abbonamenti esistenti, assegnerà le autorizzazioni necessarie all’applicazione ESET Cloud Workload Protection (un’applicazione multi-tenant di Azure connessa al tenant del client tramite approvazione del consenso) e creerà un gruppo di risorse per le risorse gestite da ESET Cloud Workload Protection. |