AWSアカウントのCWPロールに必要な権限
ESET Cloud Workload Protection (CWP)は、展開モデルに応じて、異なるIAMロール(単一アカウントまたは組織(管理アカウント、メンバーアカウント))を使用します。
単一アカウントのサービスロール(単一アカウントの展開)
CWPサービスロール(CwppServiceRole)は、セキュリティを強化するために、AWS管理ポリシーではなく、必要最小限の権限でカスタム管理ポリシー(CwppServicePolicy)を使用します。さらに、AWS管理ポリシーarn:aws:iam::aws:policy/ReadOnlyAccessがこのロールにアタッチされ、すべてのAWSリソースへの読み取り専用アクセスが可能になります。これはESET Cloud Workload Protection機能に必要です。
単一アカウントサービスロールのCwppServicePolicy権限:
権限カテゴリ |
アクション |
リソース |
目的 |
|---|---|---|---|
IAMアクセス |
iam:SimulatePrincipalPolicy |
* |
CWPは、クライアントのVMでライブインストーラーを実行する前に、必要なアクションが許可されていることを確認します。 |
SSMアクセス |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWPは、インスタンスのSystems Manager (SSM)が有効になっているかどうかを確認します。 CWPはクライアントのVMでコマンドを実行し、ライブインストーラーでESET Management Agentをインストールし、コマンド実行ステータスを取得します。 |
S3アクセス |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWPはS3バケットとオブジェクト(AWS CloudTrailログファイルを含む)を一覧表示して読み取ります。CWPはS3ストレージ保護を提供します。 |
S3アクセス |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (CWP CloudTrail S3バケット) |
CWPはCWP CloudTrail S3バケットとその内容を削除します。 |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWPは、CWP CloudTrailを開始、停止、削除します。 |
組織アクセス |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWPはアカウントの詳細を取得します。 |
IAMアクセス |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (CWPサービスロール) |
CWPは統合の展開解除プロセス中に顧客アカウントへのアクセスを取り消します。 |
管理アカウントサービス ロール(組織展開)
CWP管理サービスロール(CwppManagementServiceRole)は、セキュリティを強化するために、AWS管理ポリシーではなく、必要最小限の権限を持つカスタム管理ポリシー(CwppManagementServicePolicy)を使用します。さらに、AWS管理ポリシーarn:aws:iam::aws:policy/ReadOnlyAccessがこのロールにアタッチされ、<%CSPM%>機能のすべてのAWSリソースへの読み取り専用アクセスが可能になります。
管理アカウントサービスロールのCwppManagementServicePolicy権限:
権限カテゴリ |
アクション |
リソース |
目的 |
|---|---|---|---|
IAMアクセス |
iam:SimulatePrincipalPolicy |
* |
CWPは、クライアントのVMでライブインストーラーを実行する前に、必要なアクションが許可されていることを確認します。 |
SSMアクセス |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWPは、インスタンスのSystems Manager (SSM)が有効になっているかどうかを確認します。 CWPはクライアントのVMでコマンドを実行し、ライブインストーラーでESET Management Agentをインストールし、コマンド実行ステータスを取得します。 |
S3アクセス |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWPはS3バケットとオブジェクト(AWS CloudTrailログファイルを含む)を一覧表示して読み取ります。CWPはS3ストレージ保護を提供します。 |
S3アクセス |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (CWP CloudTrail S3バケット) |
CWPはCWP CloudTrail S3バケットとその内容を削除します。 |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWPは、CWP CloudTrailを開始、停止、削除します。 |
組織アクセス |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWPはアカウントの詳細を取得します。 |
IAMアクセス |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (CWPサービスロール) |
CWPは統合の展開解除プロセス中に顧客アカウントへのアクセスを取り消します。 |
メンバーアカウントサービス ロール(組織展開)
CWPメンバーアカウントサービスロール(CwppServiceRole)は、セキュリティを強化するために、AWS管理ポリシーではなく、必要最小限の権限を持つカスタム管理ポリシー(CwppServicePolicy)を使用します。メンバーアカウントのサービスロールには、AWS管理ポリシーarn:aws:iam::aws:policy/ReadOnlyAccessも含まれており、<%CSPM%>機能のすべてのAWSリソースへの読み取り専用アクセスを有効にします。
メンバーアカウントサービスロールのCwppServicePolicy権限:
権限カテゴリ |
アクション |
リソース |
目的 |
|---|---|---|---|
IAMアクセス |
iam:SimulatePrincipalPolicy |
* |
CWPは、クライアントのVMでライブインストーラーを実行する前に、必要なアクションが許可されていることを確認します。 |
SSMアクセス |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWPは、インスタンスのSystems Manager (SSM)が有効になっているかどうかを確認します。 CWPはクライアントのVMでコマンドを実行し、ライブインストーラーでESET Management Agentをインストールし、コマンド実行ステータスを取得します。 |
S3アクセス |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWPはS3バケットとオブジェクト(AWS CloudTrailログファイルを含む)を一覧表示して読み取ります。CWPはS3ストレージ保護を提供します。 |
IAMアクセス |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (CWPサービスロール) |
CWPは統合の展開解除プロセス中に顧客アカウントへのアクセスを取り消します。 |