Role uživatele a oprávnění
Microsoft Defender pro cloud používá řízení přístupu na základě role v Azure (Azure RBAC) k poskytování předdefinovaných rolí. Tyto role můžete přiřadit uživatelům, skupinám a službám v Azure, abyste uživatelům poskytli přístup k prostředkům podle přístupu definovaného v této roli.
Defender for Cloud vyhodnocuje konfiguraci vašich prostředků za účelem identifikace problémů se zabezpečením a ohrožení zabezpečení. V defenderu pro cloud se zobrazí informace související s prostředkem jenom v případě, že máte přiřazenou některou z těchto rolí pro předplatné nebo skupinu prostředků, ve které je prostředek: Vlastník, Přispěvatel nebo Čtenář.
Kromě předdefinovanýchrolích
- Čtenář zabezpečení: Uživatel, který patří do této role, má k Defenderu pro cloud přístup jen pro čtení. Uživatel může zobrazit doporučení, výstrahy, zásady zabezpečení a stavy zabezpečení, ale nemůže provádět změny.
- Zabezpečení Správa: Uživatel, který patří do této role, má stejný přístup jako čtenář zabezpečení a může také aktualizovat zásady zabezpečení a zavřít výstrahy a doporučení.
Doporučujeme přiřadit uživatelům tu nejvíc omezenou roli, kterou ke své práci potřebují. Například přiřaďte roli Čtenář uživatelům, kteří potřebují jenom zobrazit informace o stavu zabezpečení prostředku, ale neprovádějte akce, jako je použití doporučení nebo zásady úprav.
Role a povolené akce
Následující tabulka zobrazuje role a povolené akce v defenderu pro cloud.
| Akce | Čtenář zabezpečení / Čtenář |
Správce zabezpečení | Vlastník přispěvatele / | Přispěvatel | Vlastník |
|---|---|---|---|---|---|
| (Úroveň skupiny prostředků) | (Úroveň předplatného) | (Úroveň předplatného) | |||
| Přidání nebo přiřazení iniciativ (včetně) standardů dodržování právních předpisů) | - | ✔ | - | - | ✔ |
| Úprava zásad zabezpečení | - | ✔ | - | - | ✔ |
| Povolení nebo zakázání plánů Microsoft Defenderu | - | ✔ | - | ✔ | ✔ |
| Zavření výstrah | - | ✔ | - | ✔ | ✔ |
| Použití doporučení zabezpečení pro prostředek (a použití opravy) |
- | - | ✔ | ✔ | ✔ |
| Zobrazení upozornění a doporučení | ✔ | ✔ | ✔ | ✔ | ✔ |
| Doporučení k vyloučení zabezpečení | - | ✔ | - | - | ✔ |
Konkrétní role potřebná k nasazení komponent monitorování závisí na rozšíření, které nasazujete. Přečtěte si další informace o komponentách monitorování.
Role používané k automatickému zřizování agentů a rozšíření
Aby mohla role Security Správa automaticky zřizovat agenty a rozšíření používaná v plánu Defender for Cloud, používá Defender for Cloud nápravu zásad podobným způsobem jako Azure Policy. Aby bylo možné použít nápravu, potřebuje Defender for Cloud vytvářet instanční objekty, označované také jako spravované identity, které přiřazují role na úrovni předplatného. Například instanční objekty pro plán Defender for Containers jsou:
| Instanční objekt | Role |
|---|---|
| Zřizovací profil zabezpečení AKS v defenderu pro kontejnery | • Přispěvatel rozšíření Kubernetes •Přispěvatelů • Přispěvatel služby Azure Kubernetes Service • Přispěvatel Log Analytics |
| Defender for Containers zřizování Kubernetes s podporou arc | • Přispěvatel služby Azure Kubernetes Service • Přispěvatel rozšíření Kubernetes •Přispěvatelů • Přispěvatel Log Analytics |
| Zřizování Služby Azure Policy pro Kubernetes v Defenderu pro kontejnery | • Přispěvatel rozšíření Kubernetes •Přispěvatelů • Přispěvatel služby Azure Kubernetes Service |
| Rozšíření zásad zřizování Defenderu pro kontejnery pro Kubernetes s podporou Arc | • Přispěvatel služby Azure Kubernetes Service • Přispěvatel rozšíření Kubernetes •Přispěvatelů |
Další kroky
Tento článek vysvětluje, jak Defender for Cloud používá Azure RBAC k přiřazení oprávnění uživatelům a identifikoval povolené akce pro každou roli. Teď, když jste obeznámeni s přiřazeními rolí potřebnými k monitorování stavu zabezpečení předplatného, úpravě zásad zabezpečení a použití doporučení, zjistěte, jak: