Role użytkowników i uprawnienia
Microsoft Defender dla Chmury używa Kontrola dostępu oparta na rolach (RBAC) platformy Azure w celu zapewnienia wbudowanych ról. Te role można przypisać do użytkowników, grup i usług na platformie Azure, aby zapewnić użytkownikom dostęp do zasobów zgodnie z dostępem zdefiniowanym w roli.
Defender dla Chmury ocenia konfigurację zasobów w celu zidentyfikowania problemów z zabezpieczeniami i luk w zabezpieczeniach. W Defender dla Chmury zobaczysz tylko informacje związane z zasobem, gdy masz przypisaną jedną z tych ról dla subskrypcji lub dla grupy zasobów, w której znajduje się zasób: Właściciel, Współautor lub Czytelnik.
Oprócz wbudowanych ról istnieją dwie role specyficzne dla Defender dla Chmury:
- Czytelnik zabezpieczeń: użytkownik należący do tej roli ma dostęp tylko do odczytu do Defender dla Chmury. Użytkownik może wyświetlać zalecenia, alerty, zasady zabezpieczeń i stany zabezpieczeń, ale nie może wprowadzać zmian.
- Administracja zabezpieczeń: użytkownik należący do tej roli ma taki sam dostęp jak czytelnik zabezpieczeń, a także może zaktualizować zasady zabezpieczeń oraz odrzucić alerty i zalecenia.
Zaleca się przypisanie użytkownikom najbardziej ograniczonej roli wystarczającej do wykonywania zadań. Na przykład przypisz rolę Czytelnik do użytkowników, którzy muszą wyświetlać tylko informacje o kondycji zabezpieczeń zasobu, ale nie podejmują działań, takich jak stosowanie zaleceń lub edytowanie zasad.
Role i dozwolone akcje
W poniższej tabeli przedstawiono role i dozwolone akcje w Defender dla Chmury.
| Akcja | Czytelnik zabezpieczeń / Czytelnik |
Administrator zabezpieczeń | Właściciel współautora / | Współautor | Właściciel |
|---|---|---|---|---|---|
| (Poziom grupy zasobów) | (Poziom subskrypcji) | (Poziom subskrypcji) | |||
| Dodawanie/przypisywanie inicjatyw (w tym) standardów zgodności z przepisami) | - | ✔ | - | - | ✔ |
| Edytowanie zasad zabezpieczeń | - | ✔ | - | - | ✔ |
| Włączanie/wyłączanie planów usługi Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Odrzucanie alertów | - | ✔ | - | ✔ | ✔ |
| Stosowanie zaleceń dotyczących zabezpieczeń dla zasobu (i używanie poprawki) |
- | - | ✔ | ✔ | ✔ |
| Wyświetlanie alertów i zaleceń | ✔ | ✔ | ✔ | ✔ | ✔ |
| Zalecenia dotyczące wykluczonych zabezpieczeń | - | ✔ | - | - | ✔ |
Określona rola wymagana do wdrożenia składników monitorowania zależy od wdrażanych rozszerzeń. Dowiedz się więcej o składnikach monitorowania.
Role używane do automatycznej aprowizacji agentów i rozszerzeń
Aby umożliwić roli Administracja zabezpieczeń automatyczne aprowizowania agentów i rozszerzeń używanych w planach Defender dla Chmury, Defender dla Chmury używa korygowania zasad w podobny sposób do usługi Azure Policy. Aby użyć korygowania, Defender dla Chmury musi utworzyć jednostki usługi, nazywane również tożsamościami zarządzanymi, które przypisują role na poziomie subskrypcji. Na przykład jednostki usługi dla planu usługi Defender for Containers to:
| Jednostka usługi | Role |
|---|---|
| Usługa Defender for Containers aprowizacja profilu zabezpieczeń usługi AKS | • Współautor rozszerzenia Kubernetes •Współautorów • Współautor usługi Azure Kubernetes Service • Współautor usługi Log Analytics |
| Usługa Defender for Containers aprowizacja platformy Kubernetes z obsługą usługi Arc | • Współautor usługi Azure Kubernetes Service • Współautor rozszerzenia Kubernetes •Współautorów • Współautor usługi Log Analytics |
| Usługa Defender for Containers aprowizacja usługi Azure Policy dla platformy Kubernetes | • Współautor rozszerzenia Kubernetes •Współautorów • Współautor usługi Azure Kubernetes Service |
| Rozszerzenie zasad aprowizacji usługi Defender for Containers dla platformy Kubernetes z obsługą usługi Arc | • Współautor usługi Azure Kubernetes Service • Współautor rozszerzenia Kubernetes •Współautorów |
Następne kroki
W tym artykule wyjaśniono, jak Defender dla Chmury używa kontroli dostępu opartej na rolach platformy Azure w celu przypisania uprawnień do użytkowników i zidentyfikowania dozwolonych akcji dla każdej roli. Teraz, gdy znasz przypisania ról potrzebne do monitorowania stanu zabezpieczeń subskrypcji, edytowania zasad zabezpieczeń i stosowania zaleceń, dowiedz się, jak: