GCP 帐户中所需的权限
服务帐户 ID eset-cwpp-service-account(显示名称: ESET CWPP Service Account,电子邮件地址格式:eset-cwpp-service-account@eset-cwpp-<hash>.iam.gserviceaccount.com)是在 GCP 载入流程期间自动创建的。它具有客户的 GCP 组织或选定项目中的读取/管理权限,因此 CWP 可以发现和检查云资源。
角色分配
IAM 角色 |
组织级 |
项目级 |
用途/为什么需要它 |
|---|---|---|---|
roles/resourcemanager.organizationViewer |
是 |
否 |
组织资源的只读视图。需要用于在组织范围内获取组织元数据和层次结构。 |
roles/resourcemanager.folderViewer |
是 |
否 |
组织内部文件夹的只读视图。需要用于在发现整个组织中的项目时来遍历文件夹层次结构。 |
roles/cloudasset.viewer |
是 |
是 |
对云资产清单的只读访问权限。需要用于列出和发现所有 GCP 资源(VM、项目)。 |
roles/compute.instanceAdmin.v1 |
是 |
是 |
完全控制计算引擎实例。需要用于: •列出组织中所有项目中的 VM 实例。 •检索清单的实例和计算机类型详细信息。 •在 ESET Live 安装程序部署期间在 VM 实例上添加/删除 "cwpp-li-<hash>" 标签 - 该标签用作操作系统策略分配实例过滤器以针对特定 VM,并在安装完成后被删除。 |
roles/logging.viewer |
是 |
是 |
对云日志记录(审核日志)的只读访问权限。需要用于收集和读取审核日志条目。 |
roles/osconfig.osPolicyAssignmentAdmin |
是 |
是 |
创建、更新和删除操作系统策略分配。需要用于部署和管理在 VM 上协调 ESET 保护安装的操作系统策略分配。 |
roles/osconfig.osPolicyAssignmentReportViewer |
是 |
是 |
读取操作系统策略分配的合规性报告。需要用于检查已部署操作系统策略的合规性/状态。 |
roles/osconfig.inventoryViewer |
是 |
是 |
读取 VM Manager 收集的操作系统清单数据。需要用于确定 VM 操作系统(名称、版本)、详细信息和部署就绪情况。 |