Wymagane uprawnienia do roli CWP na koncie AWS
ESET Cloud Workload Protection (CWP) wykorzystuje różne role IAM w zależności od modelu wdrożenia: jedno konto lub organizacja (konto zarządzające, konto członka).
Rola usługi jednego konta (wdrożenie jednego konta)
Rola usługi CWP (CwppServiceRole) korzysta z niestandardowej polityki zarządzanej (CwppServicePolicy) z minimalnymi wymaganymi uprawnieniami zamiast polityk zarządzanych AWS dla zwiększenia bezpieczeństwa. Dodatkowo do tej roli dołączona jest polityka zarządzana AWS arn:aws:iam::aws:policy/ReadOnlyAccess umożliwiająca dostęp tylko do odczytu do wszystkich zasobów AWS. Jest to wymagane dla funkcji ESET Cloud Workload Protection.
Uprawnienia CwppServicePolicy dla roli usługi z jednym kontem:
Kategoria uprawnień |
Czynności |
Zasoby |
Cel |
|---|---|---|---|
Dostęp IAM |
iam:SimulatePrincipalPolicy |
* |
CWP sprawdzi, czy wymagane działania są dozwolone przed uruchomieniem instalatora na maszynach wirtualnych klienta. |
Dostęp SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP sprawdza, czy Menedżer systemów (SSM) jest włączony dla danej instancji. CWP uruchamia polecenia na maszynach wirtualnych klienta, aby zainstalować ESET Management Agent za pomocą instalatora na żywo i pobiera status wykonywania poleceń. |
Dostęp S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP wyszczególnia i odczytuje przedziały oraz obiekty S3 (w tym pliki dziennika CloudTrail AWS). CWP zapewni ochronę pamięci masowej S3. |
Dostęp S3 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (przedział S3 CWP CloudTrail) |
CWP usunie przedział S3 CWP CloudTrail i jego zawartość. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP uruchomi, zatrzyma i usunie CWP CloudTrail. |
Dostęp organizacji |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP pobiera dane konta. |
Dostęp IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (rola usługowa CWP) |
CWP odwołuje swój dostęp do konta klienta podczas procesu cofania wdrożenia integracji. |
Rola usługowa konta zarządzania (wdrożenie organizacyjne)
Rola usługi zarządzania CWP (CwppManagementServiceRole) korzysta z niestandardowej polityki zarządzanej (CwppManagementServicePolicy) z minimalnymi wymaganymi uprawnieniami zamiast polityk zarządzanych AWS dla zwiększenia bezpieczeństwa. Dodatkowo do tej roli dołączona jest polityka zarządzana AWS arn:aws:iam::aws:policy/ReadOnlyAccess umożliwiająca dostęp tylko do odczytu do wszystkich zasobów AWS dla funkcji <%CSPM%>.
Uprawnienia CwppManagementServicePolicy dla roli usługi konta zarządzającego:
Kategoria uprawnień |
Czynności |
Zasoby |
Cel |
|---|---|---|---|
Dostęp IAM |
iam:SimulatePrincipalPolicy |
* |
CWP sprawdzi, czy wymagane działania są dozwolone przed uruchomieniem instalatora na maszynach wirtualnych klienta. |
Dostęp SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP sprawdza, czy Menedżer systemów (SSM) jest włączony dla danej instancji. CWP uruchamia polecenia na maszynach wirtualnych klienta, aby zainstalować ESET Management Agent za pomocą instalatora na żywo i pobiera status wykonywania poleceń. |
Dostęp S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP wyszczególnia i odczytuje przedziały oraz obiekty S3 (w tym pliki dziennika CloudTrail AWS). CWP zapewni ochronę pamięci masowej S3. |
Dostęp S3 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (przedział S3 CWP CloudTrail) |
CWP usunie przedział S3 CWP CloudTrail i jego zawartość. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP uruchomi, zatrzyma i usunie CWP CloudTrail. |
Dostęp organizacji |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP pobiera dane konta. |
Dostęp IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (rola usługowa CWP) |
CWP odwołuje swój dostęp do konta klienta podczas procesu cofania wdrożenia integracji. |
Rola usługowa konta członkowskiego (wdrożenie organizacyjne)
Rola konta członkowskiego CWP (CwppServiceRole) korzysta z niestandardowej polityki zarządzanej (CwppServicePolicy) z minimalnymi wymaganymi uprawnieniami zamiast polityk zarządzanych AWS dla zwiększenia bezpieczeństwa. Rola usługi konta członkowskiego obejmuje również zarządzaną politykę AWS arn:aws:iam::aws:policy/ReadOnlyAccess, umożliwiającą dostęp tylko do odczytu do wszystkich zasobów AWS dla funkcji <%CSPM%>.
Uprawnienia CwppServicePolicy dla roli usługi konta członkowskiego:
Kategoria uprawnień |
Czynności |
Zasoby |
Cel |
|---|---|---|---|
Dostęp IAM |
iam:SimulatePrincipalPolicy |
* |
CWP sprawdzi, czy wymagane działania są dozwolone przed uruchomieniem instalatora na maszynach wirtualnych klienta. |
Dostęp SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP sprawdza, czy Menedżer systemów (SSM) jest włączony dla danej instancji CWP uruchamia polecenia na maszynach wirtualnych klienta, aby zainstalować ESET Management Agent za pomocą instalatora na żywo i pobiera status wykonywania poleceń. |
Dostęp S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP wyszczególnia i odczytuje przedziały oraz obiekty S3 (w tym pliki dziennika CloudTrail AWS). CWP zapewni ochronę pamięci masowej S3. |
Dostęp IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (rola usługowa CWP) |
CWP odwołuje swój dostęp do konta klienta podczas procesu cofania wdrożenia integracji. |