Permissões necessárias para a função CWP na conta AWS
O ESET Cloud Workload Protection (CWP) usa diferentes funções do IAM dependendo do modelo de implantação: conta única ou organização (conta de gerenciamento, conta de membro).
Função de serviço de conta única (implantação de conta única)
A função de serviço CWP (CwppServiceRole) usa uma política gerenciada personalizada (CwppServicePolicy) com permissões mínimas necessárias em vez de políticas gerenciadas AWS para maior segurança. Além disso, a política gerenciada AWS arn:aws:iam::aws:policy/ReadOnlyAccess é anexada a essa função, permitindo acesso somente leitura a todos os recursos AWS. Isso é necessário para os recursos ESET Cloud Workload Protection.
Permissões CwppServicePolicy para a função de serviço de conta única:
Categoria de permissão |
Ações |
Recursos |
Finalidade |
|---|---|---|---|
Acesso ao IAM |
iam:SimulatePrincipalPolicy |
* |
O CWP verificará se as ações necessárias são permitidas antes de executar o Instalador Live nas VMs do cliente. |
Acesso ao SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
O CWP verifica se o Systems Manager (SSM) está habilitado para a instância. O CWP executa comandos nas VMs do cliente para instalar o ESET Management Agent com o Instalador Live e recupera o status de execução do comando. |
Acesso ao S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
O CWP lista e lê os buckets e objetos S3 (inclusive arquivos de relatório AWS CloudTrail). O CWP fornecerá proteção de armazenamento S3. |
Acesso ao S3 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (Bucket CWP CloudTrail S3) |
O CWP removerá o bucket CWP CloudTrail S3 e seu conteúdo. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
O CWP iniciará, interromperá e removerá o CWP CloudTrail. |
Acesso às organizações |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
O CWP recupera os detalhes da conta. |
Acesso ao IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (função de serviço CWP) |
O CWP revoga seu acesso à conta do cliente durante o processo de desimplantação da integração. |
Função de serviço da conta de gerenciamento (implantação da organização)
A função de serviço de gerenciamento CWP (CwppManagementServiceRole) usa uma política gerenciada personalizada (CwppManagementServicePolicy) com permissões mínimas necessárias em vez de políticas gerenciadas AWS para maior segurança. Além disso, a política gerenciada AWS arn:aws:iam::aws:policy/ReadOnlyAccess é anexada a essa função, permitindo acesso somente leitura a todos os recursos AWS para recursos <%CSPM%>.
Permissões CwppManagementServicePolicy para a função de serviço da conta de gerenciamento:
Categoria de permissão |
Ações |
Recursos |
Finalidade |
|---|---|---|---|
Acesso ao IAM |
iam:SimulatePrincipalPolicy |
* |
O CWP verificará se as ações necessárias são permitidas antes de executar o Instalador Live nas VMs do cliente. |
Acesso ao SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
O CWP verifica se o Systems Manager (SSM) está habilitado para a instância. O CWP executa comandos nas VMs do cliente para instalar o ESET Management Agent com o Instalador Live e recupera o status de execução do comando. |
Acesso ao S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
O CWP lista e lê os buckets e objetos S3 (inclusive arquivos de relatório AWS CloudTrail). O CWP fornecerá proteção de armazenamento S3. |
Acesso ao S3 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (Bucket CWP CloudTrail S3) |
O CWP removerá o bucket CWP CloudTrail S3 e seu conteúdo. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP iniciará, interromperá e removerá o CWP CloudTrail. |
Acesso às organizações |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
O CWP recupera os detalhes da conta. |
Acesso ao IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (função de serviço CWP) |
O CWP revoga seu acesso à conta do cliente durante o processo de desimplantação da integração. |
Função de serviço da conta do membro (implantação da organização)
A função de serviço da conta de membro CWP (CwppServiceRole) usa uma política gerenciada personalizada (CwppServicePolicy) com permissões mínimas necessárias em vez de políticas gerenciadas AWS para maior segurança. A função de serviço de conta de membro também inclui a política gerenciada AWS arn:aws:iam::aws:policy/ReadOnlyAccess, permitindo acesso somente leitura a todos os recursos AWS para recursos <%CSPM%>.
Permissões CwppServicePolicy para a função de serviço da conta de membro:
Categoria de permissão |
Ações |
Recursos |
Finalidade |
|---|---|---|---|
Acesso ao IAM |
iam:SimulatePrincipalPolicy |
* |
O CWP verificará se as ações necessárias são permitidas antes de executar o Instalador Live nas VMs do cliente. |
Acesso ao SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP verifica se o Systems Manager (SSM) está habilitado para a instância O CWP executa comandos nas VMs do cliente para instalar o ESET Management Agent com o Instalador Live e recupera o status de execução do comando. |
Acesso ao S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
O CWP lista e lê os buckets e objetos S3 (inclusive arquivos de relatório AWS CloudTrail). O CWP fornecerá proteção de armazenamento S3. |
Acesso ao IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (função de serviço CWP) |
O CWP revoga seu acesso à conta do cliente durante o processo de desimplantação da integração. |