Обязательные разрешения для роли CWP в учетной записи AWS
ESET Cloud Workload Protection (CWP) использует различные роли IAM в зависимости от модели развертывания: единая учетная запись или организация (учетная запись управления, учетная запись участника).
Роль службы для одной учетной записи (развертывание в одной учетной записи)
Для повышения безопасности роль службы CWP (CwppServiceRole) использует пользовательскую управляемую политику (CwppServicePolicy) с минимальными обязательными разрешениями вместо управляемых политик AWS. Кроме того, к этой роли прикреплена управляемая политика AWS arn:aws:iam::aws:policy/ReadOnlyAccess, обеспечивающая доступ только для чтения ко всем ресурсам AWS. Это необходимо для функций ESET Cloud Workload Protection.
Разрешения CwppServicePolicy для роли службы для одной учетной записи:
Категория разрешения |
Действия |
Ресурсы |
Цель |
|---|---|---|---|
Доступ к IAM |
iam:SimulatePrincipalPolicy |
* |
Перед запуском интерактивного установщика на клиентских виртуальных машинах CWP проверит, разрешены ли обязательные действия. |
Доступ к SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP проверяет, включено ли средство Systems Manager (SSM) для экземпляра. CWP выполняет команды на виртуальных машинах клиента для установки агента ESET Management Agent с помощью интерактивного установщика и получает данные о состоянии выполнения команд. |
Доступ к S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP добавляет в список и считывает корзины и объекты S3 (в том числе файлы журнала AWS CloudTrail). CWP обеспечивает защиту хранилища S3. |
Доступ к S3 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (корзина CWP CloudTrail S3) |
CWP удалит корзину CWP CloudTrail S3 и ее содержимое. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP запустит, остановит и удалит CWP CloudTrail. |
Доступ к Organizations |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP получает данные учетной записи. |
Доступ к IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (роль службы CWP) |
CWP отзывает свой доступ к учетной записи клиента в процессе отмены интеграции. |
Роль службы в учетной записи управления (развертывание в организации)
Для повышения безопасности роль службы управления CWP (CwppManagementServiceRole) использует пользовательскую управляемую политику (CwppManagementServicePolicy) с минимальными обязательными разрешениями вместо управляемых политик AWS. Кроме того, к этой роли прикреплена управляемая политика AWS arn:aws:iam::aws:policy/ReadOnlyAccess, обеспечивающая доступ только для чтения ко всем ресурсам AWS для функций <%CSPM%>.
Разрешения CwppManagementServicePolicy для роли службы в учетной записи управления:
Категория разрешения |
Действия |
Ресурсы |
Цель |
|---|---|---|---|
Доступ к IAM |
iam:SimulatePrincipalPolicy |
* |
Перед запуском интерактивного установщика на клиентских виртуальных машинах CWP проверит, разрешены ли обязательные действия. |
Доступ к SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP проверяет, включено ли средство Systems Manager (SSM) для экземпляра. CWP выполняет команды на виртуальных машинах клиента для установки агента ESET Management Agent с помощью интерактивного установщика и получает данные о состоянии выполнения команд. |
Доступ к S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP добавляет в список и считывает корзины и объекты S3 (в том числе файлы журнала AWS CloudTrail). CWP обеспечивает защиту хранилища S3. |
Доступ к S3 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (корзина CWP CloudTrail S3) |
CWP удалит корзину CWP CloudTrail S3 и ее содержимое. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP запустит, остановит и удалит CWP CloudTrail. |
Доступ к Organizations |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP получает данные учетной записи. |
Доступ к IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (роль службы CWP) |
CWP отзывает свой доступ к учетной записи клиента в процессе отмены интеграции. |
Роль службы в учетной записи участника (развертывание в организации)
Для повышения безопасности роль службы в учетной записи участника CWP (CwppServiceRole) использует пользовательскую управляемую политику (CwppServicePolicy) с минимальными обязательными разрешениями вместо управляемых политик AWS. Роль службы в учетной записи участника также включает в себя управляемую политику AWS arn:aws:iam::aws:policy/ReadOnlyAccess, обеспечивающую доступ только для чтения ко всем ресурсам AWS для функций <%CSPM%>.
Разрешения CwppServicePolicy для роли службы в учетной записи участника:
Категория разрешения |
Действия |
Ресурсы |
Цель |
|---|---|---|---|
Доступ к IAM |
iam:SimulatePrincipalPolicy |
* |
Перед запуском интерактивного установщика на клиентских виртуальных машинах CWP проверит, разрешены ли обязательные действия. |
Доступ к SSM |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP проверяет, включено ли средство Systems Manager (SSM) для экземпляра. CWP выполняет команды на виртуальных машинах клиента для установки агента ESET Management Agent с помощью интерактивного установщика и получает данные о состоянии выполнения команд. |
Доступ к S3 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP добавляет в список и считывает корзины и объекты S3 (в том числе файлы журнала AWS CloudTrail). CWP обеспечивает защиту хранилища S3. |
Доступ к IAM |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (роль службы CWP) |
CWP отзывает свой доступ к учетной записи клиента в процессе отмены интеграции. |