GCP 계정에 필요한 권한
서비스 계정 ID eset-cwpp-service-account(표시 이름: ESET CWPP Service Account, 이메일 형식: eset-cwpp-service-account@eset-cwpp-<hash>.iam.gserviceaccount.com)는 GCP 온보딩 흐름 중에 자동으로 생성됩니다. 고객의 GCP 조직 또는 선택한 프로젝트 전반의 읽기/관리 권한이 있으므로 CWP이 클라우드 리소스를 발견하고 검사할 수 있습니다.
정책 할당
IAM 역할 |
조직 수준 |
프로젝트 수준 |
목적/필요성 |
|---|---|---|---|
roles/resourcemanager.organizationViewer |
예 |
아니요 |
조직 리소스에 대한 읽기 전용 보기입니다. 조직 범위에서 조직 메타데이터 및 계층 구조를 가져오는 데 필요합니다. |
roles/resourcemanager.folderViewer |
예 |
아니요 |
조직 내 폴더에 대한 읽기 전용 보기입니다. 조직 전체의 프로젝트를 발견할 때 폴더 계층 구조를 탐색하는 데 필요합니다. |
roles/cloudasset.viewer |
예 |
예 |
클라우드 자산 인벤토리에 대한 읽기 전용 접근 권한입니다. 모든 GCP 리소스(VM, 프로젝트)를 나열하고 발견하는 데 필요합니다. |
roles/compute.instanceAdmin.v1 |
예 |
예 |
Compute Engine 인스턴스를 완전히 제어합니다. 다음에 필요합니다. •조직 내 모든 프로젝트의 VM 인스턴스를 나열합니다. •인벤토리의 인스턴스 및 컴퓨터 유형 상세 정보를 검색합니다. •ESET Live Installer 배포 중에 VM 인스턴스에서 "cwpp-li-<hash>" 레이블을 추가/제거합니다. 이 레이블은 특정 VM을 대상으로 하는 OS 정책 할당 인스턴스 필터로 사용되며 설치가 완료되면 제거됩니다. |
roles/logging.viewer |
예 |
예 |
클라우드 로깅(감사 로그)에 대한 읽기 전용 접근 권한입니다. 감사 로그 항목을 수집하고 읽는 데 필요합니다. |
roles/osconfig.osPolicyAssignmentAdmin |
예 |
예 |
OS 정책 할당을 생성, 업데이트 및 제거합니다. VM에서 ESET 보호 기능 설치를 오케스트레이션하는 OS 정책 할당을 배포하고 관리하는 데 필요합니다. |
roles/osconfig.osPolicyAssignmentReportViewer |
예 |
예 |
OS 정책 할당에 대한 규정 준수 보고서를 읽습니다. 배포된 OS 정책의 정책 준수/상태를 확인하는 데 필요합니다. |
roles/osconfig.inventoryViewer |
예 |
예 |
VM Manager에서 수집한 OS 인벤토리 데이터를 읽습니다. VM의 OS(이름, 버전), 상세 정보 및 배포 준비 상태를 확인하는 데 필요합니다. |