AWS 帳戶中 CWP 角色的必要權限

ESET Cloud Workload Protection (CWP) 會根據部署模型使用不同的 IAM 角色：單一帳戶或組織 (管理帳戶、成員帳戶)。

單一帳戶服務角色 (單一帳戶部署)

CWP 服務角色 (CwppServiceRole) 使用具備最小必要權限的自訂受管理原則 (CwppServicePolicy)，而非 AWS 受管理原則，以強化安全性。此外，此角色已附加 AWS 受管理原則 arn:aws:iam::aws:policy/ReadOnlyAccess，進而可以對所有 AWS 資源進行唯讀存取。這是 ESET Cloud Workload Protection 功能所必需的。

單一帳戶服務角色的 CwppServicePolicy 權限：

權限類別	處理方法	資源	目的
IAM 存取權	iam:SimulatePrincipalPolicy	*	在用戶端虛擬機器上執行 Live Installer 之前，CWP 將會檢查是否允許執行所需的動作。
SSM 存取權	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	CWP 會檢查執行個體是否已啟用 System Manager (SSM)。 CWP 會在用戶端虛擬機器上執行命令，透過 Live Installer 安裝 ESET Management Agent，並且擷取命令執行狀態。
S3 存取權	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	CWP 列出並讀取 S3 儲存貯體和物件 (包括 AWS CloudTrail 防護記錄檔案)。CWP 將會提供 S3 儲存貯體防護。
S3 存取權	s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions	arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (CWP CloudTrail S3 儲存貯體)	CWP 將會刪除 CWP CloudTrail S3 儲存貯體及其內容。
CloudTrail	cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails	arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail)	CWP 將會開始、停止並刪除 CWP CloudTrail。
組織存取權	organizations:DescribeAccount organizations:DescribeOrganization	*	CWP 會擷取帳戶詳細資料。
IAM 存取權	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (CWP 服務角色)	在整合解除部署程序期間，CWP 會撤銷其對客戶帳戶的存取權。

管理帳戶服務角色 (組織部署)

CWP 管理服務角色 (CwppManagementServiceRole) 使用具備最小必要權限的自訂受管理原則 (CwppManagementServicePolicy)，而非 AWS 受管理原則，以強化安全性。此外，此角色已附加 AWS 受管理原則 arn:aws:iam::aws:policy/ReadOnlyAccess，讓 <%CSPM%> 功能具備對所有 AWS 資源進行唯讀存取。

管理帳戶服務角色的 CwppManagementServicePolicy 權限：

權限類別	處理方法	資源	目的
IAM 存取權	iam:SimulatePrincipalPolicy	*	在用戶端虛擬機器上執行 Live Installer 之前，CWP 將會檢查是否允許執行所需的動作。
SSM 存取權	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	CWP 會檢查執行個體是否已啟用 System Manager (SSM)。 CWP 會在用戶端虛擬機器上執行命令，透過 Live Installer 安裝 ESET Management Agent，並且擷取命令執行狀態。
S3 存取權	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	CWP 列出並讀取 S3 儲存貯體和物件 (包括 AWS CloudTrail 防護記錄檔案)。CWP 將會提供 S3 儲存貯體防護。
S3 存取權	s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions	arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (CWP CloudTrail S3 儲存貯體)	CWP 將會刪除 CWP CloudTrail S3 儲存貯體及其內容。
CloudTrail	cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails	arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail)	CWP 將會開始、停止並刪除 CWP CloudTrail。
組織存取權	organizations:DescribeAccount organizations:DescribeOrganization	*	CWP 會擷取帳戶詳細資料。
IAM 存取權	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (CWP 服務角色)	在整合解除部署程序期間，CWP 會撤銷其對客戶帳戶的存取權。

成員帳戶服務角色 (組織部署)

CWP 成員帳戶服務角色 (CwppServiceRole) 使用具備最小必要權限的自訂受管理原則 (CwppServicePolicy)，而非 AWS 受管理原則，以強化安全性。成員帳戶服務角色還包括 AWS 受管理原則 arn:aws:iam::aws:policy/ReadOnlyAccess，讓 <%CSPM%> 功能具備對所有 AWS 資源進行唯讀存取。

成員帳戶服務角色的 CwppServicePolicy 權限：

權限類別	處理方法	資源	目的
IAM 存取權	iam:SimulatePrincipalPolicy	*	在用戶端虛擬機器上執行 Live Installer 之前，CWP 將會檢查是否允許執行所需的動作。
SSM 存取權	ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation	*	CWP 會檢查執行個體是否已啟用 System Manager (SSM) CWP 會在用戶端虛擬機器上執行命令，透過 Live Installer 安裝 ESET Management Agent，並且擷取命令執行狀態。
S3 存取權	s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion	*	CWP 列出並讀取 S3 儲存貯體和物件 (包括 AWS CloudTrail 防護記錄檔案)。CWP 將會提供 S3 儲存貯體防護。
IAM 存取權	iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy	arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (CWP 服務角色)	在整合解除部署程序期間，CWP 會撤銷其對客戶帳戶的存取權。

˄˅