Необхідні дозволи для ролі CWP в обліковому записі AWS

Скопіювати URL-адресу поточної статті Поділитись електронною поштою

Ця стаття (PDF) Повна документація (PDF)

ESET Cloud Workload Protection (CWP) використовує різні ролі IAM залежно від моделі розгортання: один обліковий запис або організація (обліковий запис керування, обліковий запис учасника).

Роль служби для одного облікового запису (розгортання одного облікового запису)

Для підвищення рівня безпеки для ролі служби CWP (CwppServiceRole) замість керованих політик AWS використовується спеціальна керована політика (CwppServicePolicy) з мінімальними необхідними дозволами. Окрім того, до цієї ролі додається керована політика AWS arn:aws:iam::aws:policy/ReadOnlyAccess, яка надає доступ для читання до всіх ресурсів AWS. Це потрібно для функцій ESET Cloud Workload Protection.

Дозволи CwppServicePolicy для ролі служби з одним обліковим записом:

Категорія дозволів	Дії	Ресурси	Призначення
Доступ до IAM	iam:SimulatePrincipalPolicy	*	CWP перевірить, чи дозволено необхідні дії, перш ніж запускати Live Installer на віртуальних машинах клієнта.
Доступ до SSM	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	CWP перевіряє, чи ввімкнуто System Manager (SSM) для екземпляра. CWP запускає на віртуальних машинах клієнта команди для інсталяції ESET Management Agent із Live Installer і отримує статус виконання команд.
Доступ до S3	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	CWP виводить список і зчитує контейнери й об’єкти S3 (включно з файлами журналу AWS CloudTrail). CWP забезпечить захист сховища S3.
Доступ до S3	s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions	arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (контейнер S3 CWP CloudTrail)	CWP видалить контейнер S3 CWP CloudTrail і його вміст.
CloudTrail	cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails	arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail)	CWP запустить, зупинить і видалить CWP CloudTrail.
Доступ до організацій	organizations:DescribeAccount organizations:DescribeOrganization	*	CWP отримує дані облікового запису.
Доступ до IAM	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (роль служби CWP)	CWP відкликає доступ до облікового запису клієнта під час розгортання інтеграції.

Роль служби для облікових записів керування (розгортання організації)

Для підвищення рівня безпеки для ролі служби керування CWP (CwppManagementServiceRole) замість керованих політик AWS використовується спеціальна керована політика (CwppManagementServicePolicy) з мінімальними необхідними дозволами. Окрім того, до цієї ролі додається керована політика AWS arn:aws:iam::aws:policy/ReadOnlyAccess, яка надає доступ для читання до всіх ресурсів AWS для функцій <%CSPM%>.

Дозволи CwppManagementServicePolicy для ролі служби для облікового запису керування:

Категорія дозволів	Дії	Ресурси	Призначення
Доступ до IAM	iam:SimulatePrincipalPolicy	*	CWP перевірить, чи дозволено необхідні дії, перш ніж запускати Live Installer на віртуальних машинах клієнта.
Доступ до SSM	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	CWP перевіряє, чи ввімкнуто System Manager (SSM) для екземпляра. CWP запускає на віртуальних машинах клієнта команди для інсталяції ESET Management Agent із Live Installer і отримує статус виконання команд.
Доступ до S3	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	CWP виводить список і зчитує контейнери S3 й об’єкти (включно з файлами журналу AWS CloudTrail). CWP забезпечить захист сховища S3.
Доступ до S3	s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions	arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (контейнер S3 CWP CloudTrail)	CWP видалить контейнер S3 CWP CloudTrail і його вміст.
CloudTrail	cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails	arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail)	CWP запустить, зупинить і видалить CWP CloudTrail.
Доступ до організацій	organizations:DescribeAccount organizations:DescribeOrganization	*	CWP отримує дані облікового запису.
Доступ до IAM	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (роль служби CWP)	CWP відкликає доступ до облікового запису клієнта під час розгортання інтеграції.

Роль служби для облікових записів учасників (розгортання організації)

Для підвищення рівня безпеки для ролі служби CWP (CwppServiceRole) для облікових записів учасників замість керованих політик AWS використовується спеціальна керована політика (CwppServicePolicy) з мінімальними необхідними дозволами. Роль служби для облікових записів учасників також включає керовану політику AWS arn:aws:iam::aws:policy/ReadOnlyAccess, що забезпечує доступ для читання до всіх ресурсів AWS для функцій <%CSPM%>.

Дозволи CwppServicePolicy для ролі служби для облікових записів учасників:

Категорія дозволів	Дії	Ресурси	Призначення
Доступ до IAM	iam:SimulatePrincipalPolicy	*	CWP перевірить, чи дозволено необхідні дії, перш ніж запускати Live Installer на віртуальних машинах клієнта.
Доступ до SSM	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	CWP перевіряє, чи ввімкнуто System Manager (SSM) для екземпляра CWP запускає на віртуальних машинах клієнта команди для інсталяції ESET Management Agent із Live Installer і отримує статус виконання команд.
Доступ до S3	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	CWP виводить список і зчитує контейнери S3 й об’єкти (включно з файлами журналу AWS CloudTrail). CWP забезпечить захист сховища S3.
Доступ до IAM	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (роль служби CWP)	CWP відкликає доступ до облікового запису клієнта під час розгортання інтеграції.

˄˅