Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Defender for Cloud utilise Azure role-based access control (Azure contrôle d’accès en fonction du rôle) pour fournir des rôles prédéfinis. Attribuez ces rôles aux utilisateurs, groupes et services dans Azure pour leur accorder l’accès aux ressources en fonction de l’accès défini par le rôle.
Defender pour Cloud évalue les configurations de ressources et identifie les problèmes de sécurité et les vulnérabilités. Dans Defender pour cloud, affichez les informations sur les ressources lorsqu’elles sont affectées à l’un de ces rôles pour l’abonnement ou le groupe de ressources : Propriétaire, Contributeur ou Lecteur.
Outre ces rôles intégrés, il existe deux rôles propres à Defender pour le cloud :
- Lecteur de sécurité : un utilisateur de ce rôle dispose d’un accès en lecture seule à Defender pour cloud. L’utilisateur peut afficher des recommandations, des alertes, des stratégies de sécurité et des états de sécurité, mais ne peut pas apporter de modifications.
- Administrateur de sécurité : un utilisateur de ce rôle a le même accès que le lecteur de sécurité et peut également mettre à jour les stratégies de sécurité et ignorer les alertes et les recommandations.
Attribuez le rôle le moins permissif nécessaire aux utilisateurs pour effectuer leurs tâches.
Par exemple, attribuez le rôle de Lecteur aux utilisateurs qui doivent uniquement consulter l'état de la sécurité d'une ressource sans prendre de mesures. Les utilisateurs disposant du rôle Lecteur ne peuvent pas appliquer de suggestions ni modifier des stratégies.
Rôles et actions autorisées
Le tableau suivant présente les rôles et les actions autorisées dans Defender pour le cloud.
| Action |
Lecteur de sécurité / Lecteur |
Administrateur de la sécurité | Contributeur / Propriétaire | Contributeur | Propriétaire |
|---|---|---|---|---|---|
| (Au niveau du groupe de ressources) | (Au niveau de l’abonnement) | (Au niveau de l’abonnement) | |||
| Ajouter/attribuer des initiatives (y compris des normes de conformité réglementaire) | - | ✔ | - | - | ✔ |
| Modifier une stratégie de sécurité | - | ✔ | - | - | ✔ |
| Activer/désactiver des plans Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Ignorer les alertes | - | ✔ | - | ✔ | ✔ |
| Appliquez des recommandations de sécurité pour une ressource (Utilisez Corriger) |
- | - | ✔ | ✔ | ✔ |
| Afficher les alertes et les recommandations | ✔ | ✔ | ✔ | ✔ | ✔ |
| Exclure les recommandations de sécurité | - | ✔ | - | - | ✔ |
| Configurer les notifications par e-mail | - | ✔ | ✔ | ✔ | ✔ |
Remarque
Bien que les trois rôles mentionnés soient suffisants pour activer et désactiver les plans Defender pour cloud, le rôle Propriétaire est requis pour activer toutes les fonctionnalités d’un plan.
Le rôle spécifique requis pour déployer des composants de surveillance dépend de l’extension que vous déployez. Apprenez-en plus sur les composants de surveillance.
Rôles utilisés pour configurer automatiquement des agents et des extensions
Pour permettre au rôle Administrateur de sécurité de configurer automatiquement les agents et les extensions utilisés dans les plans Defender pour cloud, Defender pour Cloud utilise la correction de stratégie similaire à Azure Policy. Pour utiliser la remédiation, Defender pour le Cloud doit créer des entités de service, également appelées identités gérées, pour attribuer des rôles au niveau de l’abonnement. Par exemple, les principaux de service pour le plan Defender pour les conteneurs sont les suivants :
| Principal de service | Rôles |
|---|---|
| Approvisionnement de Defender pour les conteneurs Azure Kubernetes Service (AKS) Profil de sécurité | Contributeur d’extension Kubernetes Contributeur Collaborateur Azure Kubernetes Service Contributeur Log Analytics |
| Approvisionnement Kubernetes avec Arc de Defender pour les conteneurs | Collaborateur Azure Kubernetes Service Contributeur d’extension Kubernetes Contributeur Contributeur Log Analytics |
| Defender pour les conteneurs provisionnement d'Azure Policy for Kubernetes | Contributeur d’extension Kubernetes Contributeur Collaborateur Azure Kubernetes Service |
| Extension de la politique de provisionnement de Defender pour les conteneurs pour Kubernetes compatible avec Arc | Collaborateur Azure Kubernetes Service Contributeur d’extension Kubernetes Contributeur |
Autorisations sur AWS
Lorsque vous intégrez un connecteur Amazon Web Services (AWS), Defender pour Cloud crée des rôles et attribue des autorisations sur votre compte AWS. Le tableau suivant présente les rôles et autorisations attribués par chaque plan sur votre compte AWS.
| Plan Defender pour le cloud | Rôle créé | Autorisations affectées sur le compte AWS |
|---|---|---|
| Gestion de la posture de sécurité cloud Defender (CSPM) | CspmMonitorAws | Pour découvrir les autorisations des ressources AWS, lire toutes les ressources, sauf : consolidatedbilling : freetier : invoicing : paiements : facturation : taxe : cur : |
| Defender CSPM Defender pour serveurs |
DefenderForCloud-AgentlessScanner | Pour créer et nettoyer des instantanés de disque (limités par balise) « CreatedBy » : « Microsoft Defender pour le cloud » Autorisations : ec2 :DeleteSnapshot ec2 :ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Autorisation pour EncryptionKeyCreation kms:CreateKey kms:ListKeys Autorisations pour EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Defender CSPM Defender pour le stockage |
SensitiveDataDiscovery | Autorisations pour découvrir les compartiments S3 dans le compte AWS, autorisation pour le scanner Defender pour le cloud d'accéder aux données dans les compartiments S3 S3 en lecture seule Décryptage KMS kms:Décrypter |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Autorisations pour la découverte Ciem sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender pour serveurs | DefenderForCloud-DefenderForServers | Autorisations pour configurer l’accès réseau JIT : ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender pour les conteneurs | Consultez les autorisations AWS Defender pour les conteneurs | |
| Defender pour serveurs | DefenderForCloud-ArcAutoProvisioning | Autorisations pour installer Azure Arc sur toutes les instances EC2 avec SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| CSPM Defender | DefenderForCloud-DataSecurityPostureDB | Autorisation pour découvrir les instances RDS dans un compte AWS, créer un instantané d’instance RDS, - Lister tous les clusters/bases de données RDS - Lister tous les instantanés de base de données/cluster - Copier tous les instantanés de base de données/cluster - Supprimer/mettre à jour l’instantané de base de données/cluster avec le préfixe defenderfordatabases - Lister toutes les clés KMS - Utiliser toutes les clés KMS uniquement pour RDS sur le compte source - Lister les clés KMS avec le préfixe d’étiquette DefenderForDatabases - Créer un alias pour les clés KMS Autorisations requises pour découvrir les instances RDS rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Autorisations sur GCP
Lorsque vous intégrez un connecteur Google Cloud Platforms (GCP), Defender pour Cloud crée des rôles et attribue des autorisations sur votre projet GCP. Le tableau suivant présente les rôles et autorisations attribués par chaque plan sur votre projet GCP.
| Plan Defender pour le cloud | Rôle créé | Autorisation attribuée sur le compte AWS |
|---|---|---|
| CSPM Defender | MDCCspmCustomRole | Ces autorisations permettent au rôle CSPM de découvrir et d’analyser les ressources au sein de l’organisation : Permet au rôle d’afficher les organisations, projets et dossiers : resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Permet le processus d’approvisionnement automatique de nouveaux projets et la suppression des projets supprimés : resourcemanager.projects.get resourcemanager.projects.list Permet au rôle d’activer les services Google Cloud utilisés pour la découverte des ressources : serviceusage.services.enable Utilisé pour créer et répertorier des rôles IAM : iam.roles.create iam.roles.list Permet au rôle d’agir en tant que compte de service et d’obtenir l’autorisation pour les ressources : iam.serviceAccounts.actAs Permet au rôle d’afficher les détails du projet et de définir les métadonnées d’instance courantes : compute.projects.get compute.projects.setCommonInstanceMetadata Utilisé pour découvrir et analyser les ressources de la plateforme d’IA au sein de l’organisation : aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.datasets.get aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list discoveryengine.engines.list notebooks.instances.list |
| Defender pour serveurs | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Accès en lecture seule pour obtenir et répertorier les ressources Compute Engine : compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender pour base de données | defender-for-databases-arc-ap | Autorisations pour l’approvisionnement automatique ARC de Defender pour bases de données compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Defender pour le stockage |
data-security-posture-storage | Autorisation pour le scanneur Defender pour le cloud de découvrir les compartiments de stockage GCP, pour accéder aux données dans les compartiments de stockage GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM Defender pour le stockage |
data-security-posture-storage | Autorisation pour le scanneur Defender pour le cloud de découvrir les compartiments de stockage GCP, pour accéder aux données dans les compartiments de stockage GCP storage.objects.list storage.objects.get storage.buckets.get |
| CSPM Defender | microsoft-defender-ciem | Autorisations pour obtenir des détails sur la ressource de l’organisation. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Defender pour serveurs |
MDCAgentlessScanningRole | Autorisations pour l’analyse de disque sans agent : compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Defender pour les serveurs |
cloudkms.cryptoKeyEncrypterDecrypter | Des autorisations pour un rôle GCP KMS existant sont accordées pour prendre en charge l’analyse des disques chiffrés avec CMEK |
| Defender pour les conteneurs | Consultez les autorisations GCP de Defender pour conteneurs |
Étapes suivantes
Cet article explique comment Defender for Cloud utilise le contrôle d’accès en fonction du rôle Azure pour attribuer des autorisations aux utilisateurs et identifie les actions autorisées pour chaque rôle. Maintenant que vous êtes familiarisé avec les affectations de rôles nécessaires pour surveiller l’état de sécurité de votre abonnement, modifier les stratégies de sécurité et appliquer les recommandations, découvrez comment :