GCP 帳戶中的必要權限
服務帳戶 ID eset-cwpp-service-account (顯示名稱:ESET CWPP Service Account,電子郵件格式:eset-cwpp-service-account@eset-cwpp-<hash>.iam.gserviceaccount.com) 會在 GCP 上線流程中自動建立。它擁有對客戶的 GCP 組織或選定專案的讀取/管理權限,以便 CWP 可以探索和檢查雲端資源。
角色指派
IAM 角色 |
組織層級 |
專案層級 |
目的/為何需要它 |
|---|---|---|---|
roles/resourcemanager.organizationViewer |
是 |
否 |
組織資源的唯讀檢視。必須在組織範圍內取得組織的中繼資料與階層。 |
roles/resourcemanager.folderViewer |
是 |
否 |
組織內資料夾的唯讀檢視。在探索整個組織中的專案時,需要遍歷資料夾階層。 |
roles/cloudasset.viewer |
是 |
是 |
雲端資產庫存的唯讀存取。需要列出並探索所有 GCP 資源 (虛擬機器、專案)。 |
roles/compute.instanceAdmin.v1 |
是 |
是 |
完全控制運算引擎執行個體。需要: •列出組織中所有專案的虛擬機器執行個體。 •擷取庫存的執行個體和機器類型詳細資料。 •在 ESET Live Installer 部署期間,新增/移除虛擬機器執行個體上的「cwpp-li-<hash>」標籤—此標籤用作作業系統原則指派執行個體過濾器,以定位特定的虛擬機器,並在安裝完成之後移除。 |
roles/logging.viewer |
是 |
是 |
雲端記錄 (審核防護記錄) 的唯讀存取。需要收集和讀取審核防護記錄項目。 |
roles/osconfig.osPolicyAssignmentAdmin |
是 |
是 |
建立、更新及刪除作業系統原則指派。需要部署和管理作業系統原則指派,以協調在虛擬機器上安裝 ESET 防護軟體。 |
roles/osconfig.osPolicyAssignmentReportViewer |
是 |
是 |
讀取作業系統原則指派的合規性報告。需要檢查已部署作業系統原則的合規性/狀態。 |
roles/osconfig.inventoryViewer |
是 |
是 |
讀取由虛擬機器管理員收集的作業系統庫存資料。需要確定虛擬機器作業系統 (名稱、版本)、詳細資料和部署就緒情況。 |