Azure 服務的必要權限

角色型存取控制 (RBAC)

角色	範圍	所需權限	原因
防護記錄分析貢獻者	/subscriptions/${subscription_id}	•/read 能夠閱讀訂閱中的所有資源。 •Microsoft.Insights/DiagnosticSettings/ 能夠建立或更新 DiagnosticSettings，以收集資源防護記錄到 Azure EventHub。	Cloud Workload Protection Platform (CWPP) 將為 Azure 資源建立並更新 DiagnosticSettings。
虛擬機器貢獻者	/subscriptions/${subscription_id}	•Microsoft.Compute/virtualMachines/runCommand/* https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/compute#microsoftcompute	CWPP 會在用戶端的虛擬機器上執行命令，使用 ESET Live Installer 安裝 ESET Endpoint。
貢獻者	/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg	•管理 Azure 事件中心。 •建立虛擬機器用於掃描 (供未來使用)。	eset-cwpp-rg 資源群組將包含由 CWPP 管理的資源。CWPP 將在此資源群組中建立 Azure 事件中心。未來，CWPP 將在此處建立虛擬機器來掃描雲端儲存/磁碟。

角色

範圍

所需權限

原因

防護記錄分析貢獻者

/subscriptions/${subscription_id}

•*/read
能夠閱讀訂閱中的所有資源。

•Microsoft.Insights/DiagnosticSettings/*
能夠建立或更新 DiagnosticSettings，以收集資源防護記錄到 Azure EventHub。

Cloud Workload Protection Platform (CWPP) 將為 Azure 資源建立並更新 DiagnosticSettings。

虛擬機器貢獻者

/subscriptions/${subscription_id}

CWPP 會在用戶端的虛擬機器上執行命令，使用 ESET Live Installer 安裝 ESET Endpoint。

貢獻者

/subscriptions/${subscription_id}/resourceGroups/eset-cwpp-rg

•管理 Azure 事件中心。

•建立虛擬機器用於掃描 (供未來使用)。

eset-cwpp-rg 資源群組將包含由 CWPP 管理的資源。CWPP 將在此資源群組中建立 Azure 事件中心。未來，CWPP 將在此處建立虛擬機器來掃描雲端儲存/磁碟。

權限名稱	說明	需要管理員同意	原因
https://graph.microsoft.com/AuditLog.Read.All	閱讀所有審核防護記錄資料。	是	CWPP 會使用 Graph API 讀取 Entra 防護記錄和活動防護記錄。
https://management.azure.com/user_impersonation	允許應用程式存取 Azure 資源管理器，作為組織中的使用者。	否	若 CWPP 自動整合於用戶端的 Azure 租用戶，CWPP 會列出現有訂閱，指派必要權限給 CWPP 應用程式 (透過同意與用戶端租用戶連線的 Azure 多租用戶應用程式)，並為 CWPP 管理的資源建立資源群組。

˄˅