AWS 帐户中的 CWP 角色所需的权限

ESET Cloud Workload Protection (CWP) 根据部署模型使用不同的 IAM 角色：单个帐户或组织（管理帐户、成员帐户）。

单帐户服务角色（单帐户部署）

CWP 服务角色 (CwppServiceRole) 使用具有最低所需权限的自定义托管策略 (CwppServicePolicy)，而不是使用 AWS 托管策略，从而增强安全性。此外，AWS 托管策略 arn:aws:iam::aws:policy/ReadOnlyAccess 将附加到此角色，从而启用对所有 AWS 资源的只读访问权限。这对 ESET Cloud Workload Protection 功能是必需的。

单个帐户服务角色的 CwppServicePolicy 权限：

权限类别	操作	资源	用途
IAM 访问	iam:SimulatePrincipalPolicy	*	CWP 将在客户端的 VM 上运行 Live 安装程序之前检查是否允许所需的操作。
SSM 访问	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	CWP 检查是否为实例启用了 Systems Manager (SSM)。 CWP 在客户端的 VM 上运行命令，以安装带有 Live 安装程序的 ESET Management Agent 并检索命令执行状态。
S3 访问	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	CWP 列出并读取 S3 存储桶和对象（包括 AWS CloudTrail 日志文件）。CWP 将提供 S3 存储保护。
S3 访问	s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions	arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* （CWP CloudTrail S3 存储桶）	CWP 将删除 CWP CloudTrail S3 存储桶及其内容。
CloudTrail	cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails	arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail)	CWP 将启动、停止和删除 CWP CloudTrail。
组织访问	organizations:DescribeAccount organizations:DescribeOrganization	*	CWP 可检索帐户详细信息。
IAM 访问	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole （CWP 服务角色）	CWP 可在集成取消部署过程中撤销其对客户帐户的访问权限。

管理帐户服务角色（组织部署）

CWP 管理服务角色 (CwppManagementServiceRole) 使用具有最低所需权限的自定义托管策略 (CwppManagementServicePolicy)，而不是使用 AWS 托管策略，从而增强安全性。此外，AWS 托管策略 arn:aws:iam::aws:policy/ReadOnlyAccess 将附加到此角色，从而启用对 <%CSPM%> 功能的所有 AWS 资源的只读访问权限。

用于管理帐户服务角色的 CwppManagementServicePolicy 权限：

权限类别	操作	资源	用途
IAM 访问	iam:SimulatePrincipalPolicy	*	CWP 将在客户端的 VM 上运行 Live 安装程序之前检查是否允许所需的操作。
SSM 访问	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	CWP 检查是否为实例启用了 Systems Manager (SSM)。 CWP 在客户端的 VM 上运行命令，以安装带有 Live 安装程序的 ESET Management Agent 并检索命令执行状态。
S3 访问	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	CWP 可列出并读取 S3 存储桶和对象（包括 AWS CloudTrail 日志文件）。CWP 将提供 S3 存储保护。
S3 访问	s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions	arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* （CWP CloudTrail S3 存储桶）	CWP 将删除 CWP CloudTrail S3 存储桶及其内容。
CloudTrail	cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails	arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail)	CWP 将启动、停止和删除 CWP CloudTrail。
组织访问	organizations:DescribeAccount organizations:DescribeOrganization	*	CWP 可检索帐户详细信息。
IAM 访问	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole （CWP 服务角色）	CWP 可在集成取消部署过程中撤销其对客户帐户的访问权限。

成员帐户服务角色（组织部署）

CWP 成员帐户服务角色 (CwppServiceRole) 使用具有最低所需权限的自定义托管策略 (CwppServicePolicy)，而不是使用 AWS 托管策略，从而增强安全性。成员帐户服务角色还包括 AWS 托管策略 arn:aws:iam::aws:policy/ReadOnlyAccess，可启用对 <%CSPM%> 功能的所有 AWS 资源的只读访问权限。

用于成员帐户服务角色的 CwppServicePolicy 权限：

权限类别	操作	资源	用途
IAM 访问	iam:SimulatePrincipalPolicy	*	CWP 将在客户端的 VM 上运行 Live 安装程序之前检查是否允许所需的操作。
SSM 访问	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	CWP 检查是否为实例启用了 Systems Manager (SSM) CWP 在客户端的 VM 上运行命令，以安装带有 Live 安装程序的 ESET Management Agent 并检索命令执行状态。
S3 访问	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	CWP 可列出并读取 S3 存储桶和对象（包括 AWS CloudTrail 日志文件）。CWP 将提供 S3 存储保护。
IAM 访问	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole （CWP 服务角色）	CWP 可在集成取消部署过程中撤销其对客户帐户的访问权限。

˄˅