通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

启用云基础结构权利管理 (CIEM)

Microsoft Defender for Cloud 提供了一个云基础结构权利管理(CIEM)安全模型,可帮助组织管理和控制其云基础结构中的用户访问和权利。 CIEM 是云原生应用程序保护平台 (CNAPP) 解决方案的关键组件,可洞察谁或什么有权访问特定资源。 它确保访问权限遵循最低权限原则 (PoLP),其中用户或工作负载标识(如应用和服务)仅获得执行其任务所需的最低访问权限级别。 CIEM 还帮助组织监控和管理跨多个云环境的权限,包括 Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP)。

开始之前

  1. 确保对每个云环境都拥有正确角色和权限,以便在 Defender CSPM 中启用权限管理 (CIEM) 扩展:

    AWS 和 GCP:

    Azure:

    • 订阅级别的安全管理员角色
    • 订阅级别的 Microsoft/Authorization/roleAssignments/write 权限。

  2. 将 AWS 或 GCP 环境载入 Defender for Cloud:

  3. 在 Azure 订阅、AWS 帐户或 GCP 项目上启用 Defender CSPM

为 Azure 启用 CIEM

在 Azure 帐户上启用 Defender CSPM 计划时,Azure CSPM标准会自动分配给订阅。 Azure CSPM 标准提供云基础结构权利管理 (CIEM) 建议。

禁用权限管理 (CIEM) 后,不会计算 Azure CSPM 标准内的 CIEM 建议。

  1. 登录到 Azure 门户

  2. 搜索并选择“Microsoft Defender for Cloud”。

  3. 导航到“环境设置”。

  4. 选择相关订阅。

  5. 找到 Defender CSPM 计划并选择“设置”。

  6. 启用权限管理(CIEM)

    显示权限管理开关所在位置的屏幕截图。

  7. 选择继续

  8. 选择“保存”。

在几个小时内,相应的 CIEM 建议将显示在订阅上。

Azure 建议列表:

  • Azure 预配过度的标识应仅具有必要的权限

  • 应撤销 Azure 订阅中非活动标识的权限

为 AWS 启用 CIEM

在 AWS 帐户上启用 Defender CSPM 计划时,AWS CSPM标准会自动分配给订阅。 AWS CSPM 标准提供云基础结构权利管理 (CIEM) 建议。 禁用权限管理后,不会计算 AWS CSPM 标准内的 CIEM 建议。

  1. 登录到 Azure 门户

  2. 搜索并选择“Microsoft Defender for Cloud”。

  3. 导航到“环境设置”。

  4. 选择相关 AWS 帐户。

  5. 找到 Defender CSPM 计划并选择“设置”。

    显示 AWS 帐户和启用的 Defender CSPM 计划以及设置按钮所在位置的屏幕截图。

  6. 启用权限管理(CIEM)

  7. 选择“配置访问权限”

  8. 选择部署方法。

  9. 按照屏幕说明在 AWS 环境中运行更新后的脚本。

  10. 选中“CloudFormation 模板已在 AWS 环境(堆栈)上更新”复选框

    显示复选框在屏幕上的位置的屏幕截图。

  11. 选择“查看并生成”

  12. 选择“更新”

在几个小时内,相应的 CIEM 建议将显示在订阅上。

AWS 建议列表:

  • AWS 预配过度的标识应仅具有必要的权限

  • 应撤销 AWS 帐户中非活动标识的权限

为 GCP 启用 CIEM

在 GCP 项目上启用 Defender CSPM 计划时,GCP CSPM标准会自动分配给订阅。 GCP CSPM 标准提供云基础结构权利管理 (CIEM) 建议。

禁用权限管理 (CIEM) 后,不会计算 GCP CSPM 标准内的 CIEM 建议。

  1. 登录到 Azure 门户

  2. 搜索并选择“Microsoft Defender for Cloud”。

  3. 导航到“环境设置”。

  4. 选择相关的 GCP 项目。

  5. 找到 Defender CSPM 计划并选择“设置”。

    显示从何处选择 GCP 项目的 Defender CSPM 计划的屏幕截图。

  6. 将权限管理 (CIEM) 切换为“打开”

  7. 选择“保存”。

  8. 选择“下一步: 配置访问权限”。

  9. 选择相关的权限类型。

  10. 选择部署方法。

  11. 按照屏幕说明在 GCP 环境中运行更新后的 Cloud Shell 或 Terraform 脚本。

  12. 勾选“我运行了部署模板以使更改生效”复选框

    显示需要选中的复选框的屏幕截图。

  13. 选择“查看并生成”

  14. 选择“更新”

在几个小时内,相应的 CIEM 建议将显示在订阅上。

GCP 建议列表:

  • GCP 预配过度的标识应仅具有必要的权限

  • 应撤销 GCP 项目中非活动标识的权限

已知的限制

在 Defender for Cloud 中启用 CIEM 之前加入权限管理的 AWS 和 GCP 帐户无法集成。

为确保成功集成,请在将这些帐户加入权限管理之前启用 CIEM。

  • Last updated on