Azure 서비스에 필요한 권한

Azure 역할 기반 접근 제어(RBAC)

역할	범위	필수 권한	이유
로그 분석 기여자	/subscriptions/${subscription_id}	•/read 구독에 포함된 모든 리소스를 읽을 수 있도록 합니다. •Microsoft.Insights/DiagnosticSettings/ Azure EventHub에 리소스 로그를 수집하기 위한 DiagnosticSettings를 생성/업데이트할 수 있도록 합니다.	Cloud Workload Protection Platform(CWPP)은 Azure 리소스에 대한 DiagnosticSettings를 생성하고 업데이트합니다.
가상 컴퓨터 기여자	/subscriptions/${subscription_id}	•Microsoft.Compute/virtualMachines/runCommand/* https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/compute#microsoftcompute	CWPP는 클라이언트의 가상 컴퓨터에서 명령을 실행하여 ESET Live Installer를 통해 ESET Endpoint를 설치합니다.
기여자	/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg	•Azure Event Hub를 관리합니다. •(향후) 검사를 위한 가상 컴퓨터를 생성합니다.	eset-cwpp-rg 리소스 그룹에는 CWPP에서 관리되는 리소스가 포함됩니다. CWPP는 이 리소스 그룹에 Azure Event Hub를 생성합니다. 향후 CWPP는 클라우드 스토리지/디스크를 검사하기 위한 가상 컴퓨터를 생성합니다.

역할

범위

필수 권한

이유

로그 분석 기여자

/subscriptions/${subscription_id}

•*/read
구독에 포함된 모든 리소스를 읽을 수 있도록 합니다.

•Microsoft.Insights/DiagnosticSettings/*
Azure EventHub에 리소스 로그를 수집하기 위한 DiagnosticSettings를 생성/업데이트할 수 있도록 합니다.

Cloud Workload Protection Platform(CWPP)은 Azure 리소스에 대한 DiagnosticSettings를 생성하고 업데이트합니다.

가상 컴퓨터 기여자

/subscriptions/${subscription_id}

CWPP는 클라이언트의 가상 컴퓨터에서 명령을 실행하여 ESET Live Installer를 통해 ESET Endpoint를 설치합니다.

기여자

/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg

•Azure Event Hub를 관리합니다.

•(향후) 검사를 위한 가상 컴퓨터를 생성합니다.

eset-cwpp-rg 리소스 그룹에는 CWPP에서 관리되는 리소스가 포함됩니다. CWPP는 이 리소스 그룹에 Azure Event Hub를 생성합니다. 향후 CWPP는 클라우드 스토리지/디스크를 검사하기 위한 가상 컴퓨터를 생성합니다.

권한 이름	설명	관리자 동의가 필요함	이유
https://graph.microsoft.com/AuditLog.Read.All	모든 감사 로그 데이터를 읽습니다.	예	CWPP는 Graph API를 사용하여 Entra 로그와 활동 로그를 읽습니다.
https://management.azure.com/user_impersonation	조직 내 사용자 자격으로 애플리케이션이 Azure Resource Manager에 접근하도록 허용합니다.	아니요	CWPP가 클라이언트의 Azure 테넌트와 자동으로 통합되는 경우 CWPP는 기존 구독 목록을 표시하고, CWPP 애플리케이션(동의 승인을 통해 클라이언트 테넌트에 연결된 Azure 다중 테넌트 애플리케이션)에 필요한 권한을 할당하고, CWPP에서 관리되는 리소스를 위한 리소스 그룹을 생성합니다.

˄˅