Обязательные разрешения в учетной записи GCP
Идентификатор учетной записи службы eset-cwpp-service-account (отображаемое имя: ESET CWPP Service Account, формат электронной почты: eset-cwpp-service-account@eset-cwpp-<hash>.iam.gserviceaccount.com) создается автоматически во время процесса подключения GCP. Он имеет разрешения на чтение и управление в организации GCP клиента или в выбранных проектах, поэтому CWP может обнаруживать и проверять облачные ресурсы.
Назначение ролей
Роль IAM |
Уровень организации |
Уровень проекта |
Назначение/причина необходимости |
|---|---|---|---|
roles/resourcemanager.organizationViewer |
Да |
Нет |
Представление только для чтения ресурса организации. Требуется для получения метаданных и иерархии организации на уровне организации. |
roles/resourcemanager.folderViewer |
Да |
Нет |
Представление только для чтения папок внутри организации. Требуется для обхода иерархии папок при обнаружении проектов в масштабах всей организации. |
roles/cloudasset.viewer |
Да |
Да |
Доступ только для чтения к Cloud Asset Inventory. Требуется для создания списка и обнаружения всех ресурсов GCP (виртуальных машин, проектов). |
roles/compute.instanceAdmin.v1 |
Да |
Да |
Полный контроль над экземплярами Compute Engine. Требуется для следующих целей: •Создание списка экземпляров виртуальных машин во всех проектах в организации. •Получение сведений о типе экземпляра и компьютера для инвентаризации. •Добавление и удаление метки "cwpp-li-<hash>" на экземпляре виртуальной машины во время развертывания интерактивного установщика ESET. Эта метка используется как фильтр экземпляра в назначении политики ОС для таргетинга конкретной виртуальной машины и удаляется по завершении установки. |
roles/logging.viewer |
Да |
Да |
Доступ только для чтения к Cloud Logging (журналы аудита). Требуется для сбора и чтения записей журнала аудита. |
roles/osconfig.osPolicyAssignmentAdmin |
Да |
Да |
Создание, обновление и удаление назначений политик ОС. Требуется для развертывания назначений политик ОС и управления ими. Эти назначения управляют установкой защиты ESET на виртуальных машинах. |
roles/osconfig.osPolicyAssignmentReportViewer |
Да |
Да |
Чтение отчетов о соответствии требованиям для назначений политик ОС. Требуется для проверки соответствия требованиям или состояния развернутых политик ОС. |
roles/osconfig.inventoryViewer |
Да |
Да |
Чтение данных инвентаризации ОС, собранных диспетчером виртуальных машин. Требуется для определения ОС виртуальных машин (имени, версии), сведений о них и готовности к развертыванию. |