AWS hesabındaki CWP rolü için gerekli izinler
ESET Cloud Workload Protection (CWP), dağıtım modeline bağlı olarak farklı IAM rolleri kullanır: tek hesap veya kuruluş (yönetim hesabı, üye hesabı).
Tek Hesap Hizmeti Rolü (tek hesap dağıtımı)
CWP hizmet rolü (CwppServiceRole), gelişmiş güvenlik için AWS yönetilen ilkeleri yerine gereken en düşük izinlere sahip özel bir yönetilen ilke (CwppServicePolicy) kullanır. Buna ek olarak, AWS yönetilen ilkesi arn:aws:iam::aws:policy/ReadOnlyAccess bu role eklenir ve tüm AWS kaynaklarına salt okunur erişimi etkinleştirir. Bu, ESET Cloud Workload Protection özellikleri için gereklidir.
Tek hesap hizmeti rolü için CwppServicePolicy izinleri:
İzin Kategorisi |
Eylem |
Kaynaklar |
Amaç |
|---|---|---|---|
IAM Erişimi |
iam:SimulatePrincipalPolicy |
* |
CWP, istemcinin VM'lerinde Live Installer'ı çalıştırmadan önce gerekli işlemlere izin verilip verilmediğini denetler. |
SSM Erişimi |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP, örnek için Systems Manager'ın (SSM) etkinleştirilip etkinleştirilmediğini denetler. CWP, Live Installer ile ESET Management Agent'ı yüklemek için istemcinin VM'lerinde komutları çalıştırır ve komut yürütme durumunu alır. |
S3 Erişimi |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP, S3 kovalarını ve nesneleri (AWS CloudTrail günlük dosyaları dahil) listeler ve okur. CWP, S3 depolama koruması sağlar. |
S3 Erişimi |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (CWP CloudTrail S3 kovası) |
CWP, CWP CloudTrail S3 kovasını ve içeriğini siler. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP, CWP CloudTrail hizmetini başlatır, durdurur ve siler. |
Kuruluş Erişimi |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP hesap ayrıntılarını alır. |
IAM Erişimi |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (CWP hizmet rolü) |
CWP, entegrasyon dağıtımını kaldırma işlemi sırasında müşteri hesabına erişimini iptal eder. |
Yönetim Hesabı Hizmet Rolü (kuruluş dağıtımı)
CWP yönetim hizmeti rolü (CwppManagementServiceRole), gelişmiş güvenlik için AWS yönetilen ilkeleri yerine gereken en düşük izinlere sahip özel bir yönetilen ilke (CwppManagementServicePolicy) kullanır. Buna ek olarak, AWS yönetilen ilkesi arn:aws:iam::aws:policy/ReadOnlyAccess bu role eklenir ve <%CSPM%> özellikleri için tüm AWS kaynaklarına salt okunur erişimi etkinleştirir.
Yönetim hesabı hizmet rolü için CwppManagementServicePolicy izinleri:
İzin Kategorisi |
Eylem |
Kaynaklar |
Amaç |
|---|---|---|---|
IAM Erişimi |
iam:SimulatePrincipalPolicy |
* |
CWP, istemcinin VM'lerinde Live Installer'ı çalıştırmadan önce gerekli işlemlere izin verilip verilmediğini denetler. |
SSM Erişimi |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP, örnek için Systems Manager'ın (SSM) etkinleştirilip etkinleştirilmediğini denetler. CWP, Live Installer ile ESET Management Agent'ı yüklemek için istemcinin VM'lerinde komutları çalıştırır ve komut yürütme durumunu alır. |
S3 Erişimi |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP, S3 kovalarını ve nesnelerini (AWS CloudTrail günlük dosyaları dahil) listeler ve okur. CWP, S3 depolama koruması sağlar. |
S3 Erişimi |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (CWP CloudTrail S3 kovası) |
CWP, CWP CloudTrail S3 kovasını ve içeriğini siler. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP, CWP CloudTrail hizmetini başlatır, durdurur ve siler. |
Kuruluş Erişimi |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP hesap ayrıntılarını alır. |
IAM Erişimi |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (CWP hizmet rolü) |
CWP, entegrasyon dağıtımını kaldırma işlemi sırasında müşteri hesabına erişimini iptal eder. |
Üye Hesabı Hizmet Rolü (kuruluş dağıtımı)
CWP üye hesabı hizmeti rolü (CwppServiceRole), gelişmiş güvenlik için AWS yönetilen ilkeleri yerine gereken en düşük izinlere sahip özel bir yönetilen ilke (CwppServicePolicy) kullanır. Ayrıca üye hesabı hizmet rolü, AWS yönetilen ilkesi arn:aws:iam::aws:policy/ReadOnlyAccess iznini de içerir ve <%CSPM%> özellikleri için tüm AWS kaynaklarına salt okunur erişimi etkinleştirir.
Üye hesabı hizmeti rolü için CwppServicePolicy izinleri:
İzin Kategorisi |
Eylem |
Kaynaklar |
Amaç |
|---|---|---|---|
IAM Erişimi |
iam:SimulatePrincipalPolicy |
* |
CWP, istemcinin VM'lerinde Live Installer'ı çalıştırmadan önce gerekli işlemlere izin verilip verilmediğini denetler. |
SSM Erişimi |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP, System Manager'ın (SSM) örnek için etkinleştirilip etkinleştirilmediğini denetler CWP, Live Installer ile ESET Management Agent'ı yüklemek için istemcinin VM'lerinde komutları çalıştırır ve komut yürütme durumunu alır. |
S3 Erişimi |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP, S3 kovalarını ve nesnelerini (AWS CloudTrail günlük dosyaları dahil) listeler ve okur. CWP, S3 depolama koruması sağlar. |
IAM Erişimi |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (CWP hizmet rolü) |
CWP, entegrasyon dağıtımını kaldırma işlemi sırasında müşteri hesabına erişimini iptal eder. |