Požadované povolenia pre rolu CWP v účte AWS

Skopírovať odkaz na aktuálny článok Odoslať e‑mailom

Tento článok (PDF) Celá dokumentácia (PDF)

ESET Cloud Workload Protection (CWP) používa rôzne roly IAM v závislosti od modelu nasadenia: samostatný účet alebo organizácia (správcovský účet, členský účet).

Servisná rola pre samostatný účet (nasadenie do jedného účtu)

Servisná rola CWP (CwppServiceRole) používa vlastnú spravovanú politiku (CwppServicePolicy) s minimálnymi požadovanými povoleniami namiesto spravovaných politík AWS, čo prispieva k vyššej úrovni zabezpečenia. Okrem toho je k tejto role priradená spravovaná politika AWS arn:aws:iam::aws:policy/ReadOnlyAccess, ktorá poskytuje prístup iba na čítanie ku všetkým zdrojom AWS. Tento prístup je potrebný na zabezpečenie funkcií ESET Cloud Workload Protection.

Povolenia politiky CwppServicePolicy pre servisnú rolu samostatného účtu:

Kategória povolení	Akcie	Zdroje	Účel
Prístup IAM	iam:SimulatePrincipalPolicy	*	CWP skontroluje, či sú pred spustením Live inštalátora na virtuálnych počítačoch klienta povolené požadované akcie.
Prístup k SSM	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	CWP skontroluje, či je pre danú inštanciu povolený nástroj Systems Manager (SSM). CWP spúšťa príkazy na virtuálnych počítačoch klienta s cieľom nainštalovať ESET Management Agenta pomocou Live inštalátora a zisťuje stav vykonania týchto príkazov.
Prístup k S3	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	CWP vyhľadáva a číta S3 buckety a objekty (vrátane protokolov AWS CloudTrail). CWP poskytuje ochranu úložiska S3.
Prístup k S3	s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions	arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* S3 bucket CloudTrail pre CWP)	CWP odstráni S3 bucket CloudTrail vytvorený pre CWP spolu s jeho obsahom.
CloudTrail	cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails	arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail)	CWP spustí, zastaví a odstráni CloudTrail vytvorený pre potreby CWP.
Prístup k organizáciám	organizations:DescribeAccount organizations:DescribeOrganization	*	CWP získava podrobnosti o účte.
Prístup IAM	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (servisná rola CWP)	CWP zruší svoj prístup k účtu zákazníka počas procesu zrušenia integrácie.

Servisná rola správcovského účtu (nasadenie v organizácii)

Správcovská servisná rola CWP (CwppManagementServiceRole) používa vlastnú spravovanú politiku (CwppManagementServicePolicy) s minimálnymi požadovanými povoleniami namiesto spravovaných politík AWS, čo prispieva k vyššej úrovni zabezpečenia. Okrem toho je k tejto role priradená spravovaná politika AWS arn:aws:iam::aws:policy/ReadOnlyAccess, ktorá poskytuje prístup iba na čítanie ku všetkým zdrojom AWS potrebný na zabezpečenie funkcií <%CSPM%>.

Povolenia politiky CwppManagementServicePolicy pre servisnú rolu správcovského účtu:

Kategória povolení	Akcie	Zdroje	Účel
Prístup IAM	iam:SimulatePrincipalPolicy	*	CWP skontroluje, či sú pred spustením Live inštalátora na virtuálnych počítačoch klienta povolené požadované akcie.
Prístup k SSM	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	CWP skontroluje, či je pre danú inštanciu povolený nástroj Systems Manager (SSM). CWP spúšťa príkazy na virtuálnych počítačoch klienta s cieľom nainštalovať ESET Management Agenta pomocou Live inštalátora a zisťuje stav vykonania týchto príkazov.
Prístup k S3	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	CWP vyhľadáva a číta S3 buckety a objekty (vrátane protokolov AWS CloudTrail). CWP poskytuje ochranu úložiska S3.
Prístup k S3	s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions	arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* S3 bucket CloudTrail pre CWP)	CWP odstráni S3 bucket CloudTrail vytvorený pre CWP spolu s jeho obsahom.
CloudTrail	cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails	arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail)	CWP spustí, zastaví a odstráni CloudTrail vytvorený pre potreby CWP.
Prístup k organizáciám	organizations:DescribeAccount organizations:DescribeOrganization	*	CWP získava podrobnosti o účte.
Prístup IAM	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (servisná rola CWP)	CWP zruší svoj prístup k účtu zákazníka počas procesu zrušenia integrácie.

Servisná rola členského účtu (nasadenie v organizácii)

Servisná rola členského účtu CWP (CwppServiceRole) používa vlastnú spravovanú politiku (CwppServicePolicy) s minimálnymi požadovanými povoleniami namiesto spravovaných politík AWS, čo prispieva k vyššej úrovni zabezpečenia. K servisnej role členského účtu je zároveň priradená spravovaná politika AWS arn:aws:iam::aws:policy/ReadOnlyAccess, ktorá poskytuje prístup iba na čítanie ku všetkým zdrojom AWS potrebný na zabezpečenie funkcií <%CSPM%>.

Povolenia politiky CwppServicePolicy pre servisnú rolu členského účtu:

Kategória povolení	Akcie	Zdroje	Účel
Prístup IAM	iam:SimulatePrincipalPolicy	*	CWP skontroluje, či sú pred spustením Live inštalátora na virtuálnych počítačoch klienta povolené požadované akcie.
Prístup k SSM	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	CWP skontroluje, či je pre danú inštanciu povolený nástroj Systems Manager (SSM). CWP spúšťa príkazy na virtuálnych počítačoch klienta s cieľom nainštalovať ESET Management Agenta pomocou Live inštalátora a zisťuje stav vykonania týchto príkazov.
Prístup k S3	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	CWP vyhľadáva a číta S3 buckety a objekty (vrátane protokolov AWS CloudTrail). CWP poskytuje ochranu úložiska S3.
Prístup IAM	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (servisná rola CWP)	CWP zruší svoj prístup k účtu zákazníka počas procesu zrušenia integrácie.

˄˅