Rôles et autorisations d’utilisateur
Microsoft Defender pour le cloud utilise le contrôle d’accès en fonction du rôle Azure (RBAC Azure) pour fournir des rôles intégrés. Vous pouvez attribuer ces rôles à des utilisateurs, des groupes et des services dans Azure pour permettre aux utilisateurs d’accéder aux ressources en fonction de l’accès défini dans le rôle.
Defender pour le cloud évalue la configuration de vos ressources pour identifier les vulnérabilités et les problèmes de sécurité. Dans Defender pour le cloud, vous voyez uniquement les informations relatives à une ressource lorsque l’un de ces rôles vous est attribué pour l’abonnement ou pour le groupe de ressources dans lequel se trouve la ressource : Propriétaire, Contributeur ou Lecteur.
Outre ces rôles intégrés, il existe deux rôles propres à Defender pour le cloud :
- Lecteur Sécurité : l’utilisateur ayant ce rôle dispose d’un accès Lecture seule dans Defender pour le cloud. Il peut afficher les recommandations, les alertes, la stratégie de sécurité actuelle et les états de sécurité, mais ne peut pas apporter de modifications.
- Administrateur de la sécurité : l’utilisateur ayant ce rôle dispose des mêmes droits d’accès que le Lecteur Sécurité. Il peut en outre modifier la stratégie de sécurité et ignorer les alertes et les recommandations.
Nous vous recommandons d’attribuer le rôle le moins permissif permettant aux utilisateurs d’effectuer leurs tâches. Par exemple, affectez le rôle Lecteur aux utilisateurs qui n’ont besoin que de consulter des informations sur l’intégrité de la sécurité d’une ressource sans effectuer aucune action, telles que l’application des recommandations ou la modification des stratégies.
Rôles et actions autorisées
Le tableau suivant présente les rôles et les actions autorisées dans Defender pour le cloud.
| Action | Lecteur de sécurité / Lecteur |
Administrateur de la sécurité | Contributeur / Propriétaire | Contributeur | Propriétaire |
|---|---|---|---|---|---|
| (Au niveau du groupe de ressources) | (Au niveau de l’abonnement) | (Au niveau de l’abonnement) | |||
| Ajouter/attribuer des initiatives (y compris) des standards de conformité réglementaire) | - | ✔ | - | - | ✔ |
| Modifier une stratégie de sécurité | - | ✔ | - | - | ✔ |
| Activer/désactiver des plans Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Ignorer les alertes | - | ✔ | - | ✔ | ✔ |
| Appliquer des recommandations de sécurité à une ressource (et utiliser Corriger) | - | - | ✔ | ✔ | ✔ |
| Afficher les alertes et les recommandations | ✔ | ✔ | ✔ | ✔ | ✔ |
| Exclure les recommandations de sécurité | - | ✔ | - | - | ✔ |
Le rôle spécifique requis pour déployer des composants de surveillance dépend de l’extension que vous déployez. Apprenez-en plus sur les composants de surveillance.
Rôles utilisés pour provisionner automatiquement des agents et des extensions
Pour permettre au rôle Administration de sécurité de provisionner automatiquement les agents et extensions utilisés dans les plans Defender pour le cloud, Defender pour le cloud utilise la correction de stratégie de la même manière que Azure Policy. Pour utiliser la correction, Defender pour le cloud doit créer des principaux de service, également appelés identités managées, qui attribuent des rôles au niveau de l’abonnement. Par exemple, les principaux de service pour le plan Defender pour les conteneurs sont les suivants :
| Principal de service | Rôles |
|---|---|
| Profil de sécurité AKS d’approvisionnement de Defender pour les conteneurs | • Contributeur d’extension Kubernetes • Contributeur • Contributeur Azure Kubernetes Service • Contributeur Log Analytics |
| Approvisionnement Kubernetes avec Arc de Defender pour les conteneurs | • Contributeur Azure Kubernetes Service • Contributeur d’extension Kubernetes • Contributeur • Contributeur Log Analytics |
| Defender pour les conteneurs provisionnement d'Azure Policy for Kubernetes | • Contributeur d’extension Kubernetes • Contributeur • Contributeur Azure Kubernetes Service |
| Extension de la politique de provisionnement de Defender pour les conteneurs pour Kubernetes compatible avec Arc | • Contributeur Azure Kubernetes Service • Contributeur d’extension Kubernetes • Contributeur |
Étapes suivantes
Cet article vous a expliqué de quelle manière Defender pour le cloud utilise RBAC Azure pour attribuer des autorisations aux utilisateurs et a identifié les actions autorisées pour chaque rôle. Maintenant que vous êtes familiarisé avec les affectations de rôles nécessaires pour surveiller l’état de sécurité de votre abonnement, modifier les stratégies de sécurité et appliquer les recommandations, découvrez comment :