Azure 服務主體的必要權限
Azure 角色型存取控制 (RBAC)
角色 |
範圍 |
所需權限 |
原因 |
|---|---|---|---|
防護記錄分析貢獻者 |
/subscriptions/${subscription_id} |
•*/read 能夠閱讀訂閱中的所有資源。 •Microsoft.Insights/DiagnosticSettings/* 能夠建立/更新 DiagnosticSettings,以收集資源防護記錄到 Azure EventHub。 |
ESET Cloud Workload Protection (CWP) 將為 Azure 資源建立和更新 DiagnosticSettings。 |
虛擬機器貢獻者 |
/subscriptions/${subscription_id} |
•Microsoft.Compute/virtualMachines/runCommand/* |
CWP 會在用戶端的虛擬機器上執行命令,使用 ESET Live Installer 安裝 ESET Endpoint。 |
貢獻者 |
/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg |
•管理 Azure 事件中心。 •建立虛擬機器用於掃描 (供未來使用)。 |
eset-cwpp-rg 資源群組將會包含受 CWP 管理的資源。CWP 將在此資源群組中建立 Azure 事件中心。未來,CWP 將在此處建立虛擬機器來掃描雲端儲存/磁碟。 |
MS 圖表
權限名稱 |
說明 |
需要授權管理員同意 |
原因 |
|---|---|---|---|
閱讀所有審核防護記錄資料。 |
是 |
CWP 將會使用 Graph API 讀取活動防護記錄。 |
|
允許應用程式存取 Azure 資源管理器,作為組織中的使用者。 |
否 |
若 CWP 自動整合於用戶端的 Azure 租用戶,ESET Cloud Workload Protection 會列出現有訂閱,指派必要權限給 ESET Cloud Workload Protection 應用程式 (透過同意與用戶端租用戶連線的 Azure 多租用戶應用程式),並為 ESET Cloud Workload Protection 管理的資源建立資源群組。 |