Wymagane uprawnienia na koncie GCP

Skopiuj adres URL bieżącego artykułu Udostępnij przez e-mail

Ten artykuł (PDF) Cała dokumentacja (PDF)

Identyfikator konta usług eset-cwpp-service-account (nazwa wyświetlana: ESET CWPP Service Account, format e-mail: eset-cwpp-service-account@eset-cwpp-<hash>.iam.gserviceaccount.com) jest tworzony automatycznie podczas procesu wdrażania GCP. Posiada uprawnienia do odczytu/zarządzania w organizacji GCP klienta lub wybranych projektach, dzięki czemu CWP może odkrywać i sprawdzać zasoby chmurowe.

Przypisanie polityk

Rola IAM	Poziom organizacji	Poziom projektu	Cel / dlaczego jest potrzebne
roles/resourcemanager.organizationViewer	Tak	Nie	Widok tylko do odczytu zasobu organizacyjnego. Wymagane do uzyskania metadanych i hierarchii organizacji w zakresie organizacji.
roles/resourcemanager.folderViewer	Tak	Nie	Widok tylko do odczytu folderów wewnątrz organizacji. Wymagane do przemierzania hierarchii folderów podczas odkrywania projektów w całej organizacji.
roles/cloudasset.viewer	Tak	Tak	Dostęp tylko do odczytu do Inwentarza zasobów chmurowych. Wymagane do wyszczególnienia i odkrycia wszystkich zasobów GCP (maszyny wirtualne, projekty).
roles/compute.instanceAdmin.v1	Tak	Tak	Pełna kontrola instancji silnika obliczeniowego. Wymagane do: •tworzenia listy instancji maszyn wirtualnych we wszystkich projektach w organizacji. •pobierania szczegółów instancji i typów maszyn do inwentarza. •dodania/usunięcia etykiety „cwpp-li-<hash>” na instancji maszyny wirtualnej podczas wdrażania ESET Live Installer — etykieta ta służy jako filtr instancji przypisania polityk systemu operacyjnego w celu zwrócenia się do konkretnej maszyny wirtualnej i jest usuwana po zakończeniu instalacji.
roles/logging.viewer	Tak	Tak	Dostęp tylko do odczytu do rejestrowania w chmurze (dzienniki audytu). Wymagane do zbierania i odczytywania wpisów w dziennikach audytu.
roles/osconfig.osPolicyAssignmentAdmin	Tak	Tak	Tworzenie, aktualizowanie i usuwanie przydziałów polityk systemu operacyjnego. Wymagane do wdrażania i zarządzania przydziałami polityk systemów operacyjnych, które orkiestrują instalację ochrony ESET na maszynach wirtualnych.
roles/osconfig.osPolicyAssignmentReportViewer	Tak	Tak	Odczyt raportów zgodności dla przypisań polityk systemu operacyjnego. Wymagane do sprawdzania zgodności/statusu wdrożonych polityk systemu operacyjnego.
roles/osconfig.inventoryViewer	Tak	Tak	Odczyt danych z inwentarza systemu operacyjnego zebranych przez Menedżera maszyn wirtualnych. Wymagane do określenia systemu operacyjnego (nazwy, wersji) maszyny wirtualnej, szczegółów oraz gotowości do wdrożenia.

˄˅