Azureサービスプリンシパルに必要な権限
Azureロールベースのアクセス制御(RBAC)
役割 |
スコープ |
必要な権限 |
原因 |
|---|---|---|---|
Log Analytics共同作成者 |
/subscriptions/${subscription_id} |
•*/read サブスクリプション内のすべてのリソースを読み取れるようにするため。 •Microsoft.Insights/DiagnosticSettings/* リソースログを Azure EventHubに収集するためにDiagnosticSettingsを作成/更新できるようにするため。 |
ESET Cloud Workload Protection (CWP)は、AzureリソースのDiagnosticSettingsを作成および更新します。 |
仮想マシン共同作成者 |
/subscriptions/${subscription_id} |
•Microsoft.Compute/virtualMachines/runCommand/* |
CWPは、クライアントの仮想マシンでコマンドを実行し、ESETライブインストーラーを使用してESET エンドポイントをインストールします。 |
共同作成者 |
/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg |
•Azure Event Hubを管理します。 •(今後)検査するために仮想マシンを作成します。 |
eset-cwpp-rgリソースグループには、CWPマネージドリソースが含まれます。CWPは、このリソースグループにAzureイベントハブを作成します。今後、CWPはここでクラウドストレージ/ディスクを検査する仮想マシンを作成します。 |
MSグラフ
権限名 |
説明 |
管理者の同意の付与が必要です |
原因 |
|---|---|---|---|
すべての監査ログデータを読み取ります。 |
はい |
CWPは、Graph APIを使用してアクティビティログを読み取ります。 |
|
アプリケーションが組織内のユーザーとしてAzure Resource Managerにアクセスできるようにします。 |
いいえ |
CWPとクライアントのAzureテナントの自動統合の場合、ESET Cloud Workload Protectionは既存のサブスクリプションを一覧表示し、必要な権限をESET Cloud Workload Protectionアプリケーション(同意を承認することでクライアントのテナントに接続されるAzureマルチテナントアプリケーション)に割り当て、ESET Cloud Workload Protectionマネージドリソースのリソースグループを作成します。 |