Azure 服务所需的权限

Azure 基于角色的访问控制 (RBAC)

角色	范围	所需权限	原因
Log Analytics 参与者	/subscriptions/${subscription_id}	•/read 能够读取订阅中的所有资源。 •Microsoft.Insights/DiagnosticSettings/ 能够创建/更新 DiagnosticSettings 以将资源日志收集到 Azure EventHub。	Cloud Workload Protection 平台 (CWPP) 将创建和更新用于 Azure 资源的 DiagnosticSettings。
虚拟机参与者	/subscriptions/${subscription_id}	•Microsoft.Compute/virtualMachines/runCommand/* https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/compute#microsoftcompute	CWPP 将在客户端的虚拟机上运行命令，以使用 ESET Live 安装程序安装 ESET Endpoint。
参与者	/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg	•管理 Azure 事件中心。 •创建用于扫描（以后执行）的虚拟机。	eset-cwpp-rg 资源组将包含 CWPP 管理的资源。CWPP 将在此资源组中创建 Azure 事件中心。将来，CWPP 将在此处创建虚拟机来扫描云存储空间/磁盘。

角色

范围

所需权限

原因

Log Analytics 参与者

/subscriptions/${subscription_id}

•*/read
能够读取订阅中的所有资源。

•Microsoft.Insights/DiagnosticSettings/*
能够创建/更新 DiagnosticSettings 以将资源日志收集到 Azure EventHub。

Cloud Workload Protection 平台 (CWPP) 将创建和更新用于 Azure 资源的 DiagnosticSettings。

虚拟机参与者

/subscriptions/${subscription_id}

CWPP 将在客户端的虚拟机上运行命令，以使用 ESET Live 安装程序安装 ESET Endpoint。

参与者

/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg

•管理 Azure 事件中心。

•创建用于扫描（以后执行）的虚拟机。

eset-cwpp-rg 资源组将包含 CWPP 管理的资源。CWPP 将在此资源组中创建 Azure 事件中心。将来，CWPP 将在此处创建虚拟机来扫描云存储空间/磁盘。

权限名称	说明	需要管理员同意	原因
https://graph.microsoft.com/AuditLog.Read.All	读取所有审核日志数据。	是	CWPP 将使用图形 API 读取 Entra 日志和活动日志。
https://management.azure.com/user_impersonation	允许应用程序以组织中用户的身份访问 Azure 资源管理器。	否	如果 CWPP 与客户的 Azure 租户自动集成，CWPP 将列出现有订阅，将所需权限分配给 CWPP 应用程序（通过批准同意连接到客户端租户的 Azure 多租户应用程序），并为 CWPP 管理的资源创建资源组。

˄˅