Обязательные разрешения для субъекта-службы Azure

Скопировать URL-адрес текущей статьи Поделиться по электронной почте

Эта статья (PDF) Вся документация (PDF)

Управление доступом на основе ролей Azure (RBAC)

Роль	Область	Обязательные разрешения	Причина
Участник аналитики журнала	/subscriptions/${subscription_id}	•/read Чтобы читать все ресурсы в подписке. •Microsoft.Insights/DiagnosticSettings/ Чтобы создавать или обновлять настройки диагностики (DiagnosticSettings) для сбора журналов ресурсов в Azure EventHub.	ESET Cloud Workload Protection (CWP) создаст и обновит настройки диагностики (DiagnosticSettings) для ресурсов Azure.
Участник виртуальной машины	/subscriptions/${subscription_id}	•Microsoft.Compute/virtualMachines/runCommand/* https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/compute#microsoftcompute	CWP выполнит на виртуальных машинах клиента команды для установки ESET Endpoint с помощью интерактивного установщика ESET.
Участник	/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg	•Управление центром событий Azure. •Создание виртуальных машин для сканирования (в будущем).	Группа ресурсов eset-cwpp-rg будет содержать ресурсы, управляемые с помощью CWP. CWP создаст центр событий Azure в этой группе ресурсов. В будущем CWP будет создавать здесь виртуальные машины для сканирования облачных хранилищ/дисков.

Роль

Область

Обязательные разрешения

Причина

Участник аналитики журнала

/subscriptions/${subscription_id}

•*/read
Чтобы читать все ресурсы в подписке.

•Microsoft.Insights/DiagnosticSettings/*
Чтобы создавать или обновлять настройки диагностики (DiagnosticSettings) для сбора журналов ресурсов в Azure EventHub.

ESET Cloud Workload Protection (CWP) создаст и обновит настройки диагностики (DiagnosticSettings) для ресурсов Azure.

Участник виртуальной машины

/subscriptions/${subscription_id}

•Microsoft.Compute/virtualMachines/runCommand/*
https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/compute#microsoftcompute

CWP выполнит на виртуальных машинах клиента команды для установки ESET Endpoint с помощью интерактивного установщика ESET.

Участник

/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg

•Управление центром событий Azure.

•Создание виртуальных машин для сканирования (в будущем).

Группа ресурсов eset-cwpp-rg будет содержать ресурсы, управляемые с помощью CWP. CWP создаст центр событий Azure в этой группе ресурсов. В будущем CWP будет создавать здесь виртуальные машины для сканирования облачных хранилищ/дисков.

MS Graph

Имя разрешения	Описание	Обязательное предоставление согласия администратором	Причина
https://graph.microsoft.com/AuditLog.Read.All	Чтение всех данных журнала аудита.	Да	CWP будет считывать журналы действий с помощью API Graph.
https://management.azure.com/user_impersonation	Разрешение приложению получать доступ к Azure Resource Manager, действуя как пользователь в организации.	Нет	В случае автоматизированной интеграции CWP с арендатором Azure клиента ESET Cloud Workload Protection выведет список существующих подписок, назначит необходимые разрешения приложению ESET Cloud Workload Protection (многопользовательскому приложению Azure, подключенному к арендатору клиента путем подтверждения согласия) и создаст группу ресурсов для управляемых с помощью ESET Cloud Workload Protection ресурсов.

˄˅