Požadované povolenia v účte GCP

Skopírovať odkaz na aktuálny článok Odoslať e‑mailom

Tento článok (PDF) Celá dokumentácia (PDF)

Servisný účet s ID eset-cwpp-service-account (zobrazovaný názov: ESET CWPP Service Account, formát e‑mailu: eset-cwpp-service-account@eset-cwpp-<hash>.iam.gserviceaccount.com) sa vytvára automaticky počas procesu úvodného nastavenia v GCP. Tento účet má povolenia na čítanie a správu v rámci celej organizácie zákazníka GCP alebo vybraných projektov, aby riešenie CWP mohlo vyhľadávať a kontrolovať cloudové zdroje.

Priradenie rolí

Rola IAM	Na úrovni organizácie	Na úrovni projektu	Účel/Prečo je to potrebné
roles/resourcemanager.organizationViewer	Áno	Nie	Prístup len na čítanie k zdrojom organizácie. Vyžaduje sa na získanie metadát organizácie a hierarchie na úrovni organizácie.
roles/resourcemanager.folderViewer	Áno	Nie	Prístup len na čítanie k priečinkom v rámci organizácie. Vyžaduje sa na prechádzanie hierarchie priečinkov pri vyhľadávaní projektov v celej organizácii.
roles/cloudasset.viewer	Áno	Áno	Prístup len na čítanie k zoznamu chránených cloudových objektov. Vyžaduje sa na identifikáciu a vytvorenie zoznamu všetkých zdrojov GCP (virtuálne počítače, projekty).
roles/compute.instanceAdmin.v1	Áno	Áno	Úplná kontrola nad inštanciami Compute Engine. Vyžaduje sa na: •získanie zoznamu inštancií virtuálnych počítačov vo všetkých projektoch v organizácii, •načítanie podrobností o inštanciách a typoch zariadení na účely inventára, •pridanie/odstránenie štítku cwpp-li-<hash> na inštancii virtuálneho počítača počas nasadenia ESET Live inštalátora – tento štítok sa používa ako filter inštancií pri priraďovaní politík operačného systému na zacielenie konkrétneho virtuálneho počítača a po dokončení inštalácie sa odstráni.
roles/logging.viewer	Áno	Áno	Prístup len na čítanie k službe Cloud Logging (protokoly auditu). Vyžaduje sa na zber a čítanie záznamov v protokoloch auditu.
roles/osconfig.osPolicyAssignmentAdmin	Áno	Áno	Vytváranie, aktualizácia a rušenie priradení politík operačného systému. Vyžaduje sa na nasadenie a správu priradení politík operačného systému, ktoré koordinujú inštaláciu ochrany ESET na virtuálnych počítačoch.
roles/osconfig.osPolicyAssignmentReportViewer	Áno	Áno	Čítanie reportov o súlade s pravidlami priraďovania politík operačného systému. Vyžaduje sa na kontrolu súladu/stavu nasadených politík operačného systému.
roles/osconfig.inventoryViewer	Áno	Áno	Čítanie údajov inventára operačného systému, ktoré zhromaždil VM Manager. Vyžaduje sa na určenie operačného systému virtuálnych počítačov (názov, verzia), podrobností a pripravenosti na nasadenie ochrany.

˄˅