Rôles et autorisations d’utilisateur

Microsoft Defender pour le cloud utilise Azure role-based access control (Azure contrôle d’accès en fonction du rôle) pour fournir des rôles prédéfinis. Vous pouvez attribuer ces rôles à des utilisateurs, des groupes et des services dans Azure pour permettre aux utilisateurs d’accéder aux ressources en fonction de l’accès défini dans le rôle.

Defender pour le cloud évalue la configuration de vos ressources et identifie les problèmes de sécurité et les vulnérabilités. Dans Defender pour le cloud, vous pouvez afficher les informations liées à une ressource lorsque vous avez l’un de ces rôles attribués pour l’abonnement ou le groupe de ressources auquel la ressource appartient : Propriétaire, Contributeur ou Lecteur.

Outre ces rôles intégrés, il existe deux rôles propres à Defender pour le cloud :

  • Lecteur Sécurité : l’utilisateur ayant ce rôle dispose d’un accès Lecture seule dans Defender pour le cloud. Il peut afficher les recommandations, les alertes, la stratégie de sécurité actuelle et les états de sécurité, mais ne peut pas apporter de modifications.
  • Administrateur de la sécurité : l’utilisateur ayant ce rôle dispose des mêmes droits d’accès que le Lecteur Sécurité. Il peut en outre modifier la stratégie de sécurité et ignorer les alertes et les recommandations.

Nous recommandons d’attribuer le rôle le moins permissif nécessaire pour que les utilisateurs accomplissent leurs tâches.

Par exemple, vous pouvez attribuer le rôle de Lecteur aux utilisateurs qui ont seulement besoin de consulter les informations de l’intégrité de la sécurité d’une ressource sans prendre de mesures. Les utilisateurs avec un rôle de Lecteur peuvent appliquer des recommandations ou modifier des politiques.

Rôles et actions autorisées

Le tableau suivant présente les rôles et les actions autorisées dans Defender pour le cloud.

Action Lecteur de sécurité /
Lecteur
Administrateur de la sécurité Contributeur / Propriétaire Contributeur Propriétaire
(Au niveau du groupe de ressources) (Au niveau de l’abonnement) (Au niveau de l’abonnement)
Ajouter/attribuer des initiatives (y compris des normes de conformité réglementaire) - - -
Modifier une stratégie de sécurité - - -
Activer/désactiver des plans Microsoft Defender - -
Ignorer les alertes - -
Appliquez des recommandations de sécurité pour une ressource
(Utilisez Corriger)
- -
Afficher les alertes et les recommandations
Exclure les recommandations de sécurité - - -
Configurer des notifications par e-mail -

Remarque

Bien que les trois rôles mentionnés soient suffisants pour activer et désactiver les plans Defender, le rôle Propriétaire est requis pour activer toutes les fonctionnalités d’un plan.

Le rôle spécifique requis pour déployer des composants de surveillance dépend de l’extension que vous déployez. Apprenez-en plus sur les composants de surveillance.

Rôles utilisés pour provisionner automatiquement des agents et des extensions

Pour permettre au rôle Administration de sécurité de provisionner automatiquement les agents et extensions utilisés dans les plans Defender pour le cloud, Defender pour le cloud utilise la correction de stratégie de la même manière que Azure Policy. Pour utiliser la correction, Defender pour le cloud doit créer des principaux de service, également appelés identités managées, qui attribuent des rôles au niveau de l’abonnement. Par exemple, les principaux de service pour le plan Defender pour les conteneurs sont les suivants :

Principal de service Rôles
Approvisionnement de Defender pour les conteneurs Azure Kubernetes Service (AKS) Profil de sécurité * Contributeur d'extension Kubernetes
* Contributeur
* Contributeur d’Azure Kubernetes Service
* Contributeur à Log Analytics
Approvisionnement Kubernetes avec Arc de Defender pour les conteneurs * Contributeur d’Azure Kubernetes Service
* Contributeur d'extension Kubernetes
* Contributeur
* Contributeur à Log Analytics
Defender pour les conteneurs provisionnement d'Azure Policy for Kubernetes * Contributeur d'extension Kubernetes
* Contributeur
* Contributeur d’Azure Kubernetes Service
Extension de la politique de provisionnement de Defender pour les conteneurs pour Kubernetes compatible avec Arc * Contributeur d’Azure Kubernetes Service
* Contributeur d'extension Kubernetes
* Contributeur

Autorisations sur AWS

Lorsque vous intégrez un connecteur Amazon Web Services (AWS), Defender pour le cloud crée des rôles et attribue des autorisations sur votre compte AWS. Le tableau suivant présente les rôles et les autorisations attribués par chaque plan sur votre compte AWS.

Plan Defender pour le cloud Rôle créé Autorisation attribuée sur le compte AWS
Defender Cloud Security Posture Management (CSPM) CspmMonitorAws Pour découvrir les autorisations des ressources AWS, lire toutes les ressources, sauf :
consolidatedbilling:*
freetier:*
facturation:*
Paiements:*
facturation:*
taxe:*
cur:*
Defender CSPM

Defender pour les serveurs
DefenderForCloud-AgentlessScanner Pour créer et nettoyer des instantanés de disque (limités par balise) « CreatedBy » : « Microsoft Defender pour le cloud » Autorisations :
ec2:DeleteSnapshot ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshot
ec2:CreateSnapshot
ec2:DescribeSnapshots
ec2:DescribeInstanceStatus
Autorisation pour EncryptionKeyCreation kms:CreateKey
kms:ListKeys
Autorisations pour EncryptionKeyManagement kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:TagResource
kms:ListResourceTags
kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFrom
Defender CSPM

Defender pour le stockage
SensitiveDataDiscovery Autorisations pour découvrir les compartiments S3 dans le compte AWS, autorisation pour le scanner Defender pour le cloud d'accéder aux données dans les compartiments S3
S3 en lecture seule

Décryptage KMS
kms:Décrypter
CIEM DefenderForCloud-Ciem
DefenderForCloud-OidcCiem
Autorisations pour la découverte Ciem
sts:AssumeRole
sts:AssumeRoleWithSAML
sts:GetAccessKeyInfo
sts:GetCallerIdentity
sts:GetFederationToken
sts:GetServiceBearerToken
sts:GetSessionToken
sts:TagSession
Defender pour les serveurs DefenderForCloud-DefenderForServers Autorisations pour configurer l’accès réseau JIT :
ec2:RevokeSecurityGroupIngress
ec2:AuthorizeSecurityGroupIngress
ec2:DescribeInstances
ec2:DescribeSecurityGroupRules
ec2:DescribeVpcs
ec2:CreateSecurityGroup
ec2:DeleteSecurityGroup
ec2:ModifyNetworkInterfaceAttribute
ec2:ModifySecurityGroupRules
ec2:ModifyInstanceAttribute
ec2:DescribeSubnets
ec2:DescribeSecurityGroups
Defender pour les conteneurs DefenderForCloud-Containers-K8s Autorisations pour répertorier les clusters EKS et collecter des données à partir des clusters EKS
eks:UpdateClusterConfig
eks:DescribeCluster
Defender pour les conteneurs DefenderForCloud-DataCollection Autorisations pour le groupe de journaux CloudWatch créé par Defender pour le cloud
logs:PutSubscriptionFilter
logs:DescribeSubscriptionFilters
logs:DescribeLogGroups
logs:PutRetentionPolicy

Autorisations pour utiliser la file d’attente SQS créée par Defender pour le cloud
sqs:ReceiveMessage
sqs:DeleteMessage
Defender pour les conteneurs DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis Autorisations pour accéder au flux de livraison Kinesis Data Firehose créé par Defender pour le cloud
firehose:*
Defender pour les conteneurs DefenderForCloud-Containers-K8s-kinesis-to-s3 Autorisations pour accéder au compartiment S3 créé par Defender pour le cloud
s3:GetObject
s3:GetBucketLocation
s3:AbortMultipartUpload
s3:GetBucketLocation
s3:GetObject
s3:ListBucket
s3:ListBucketMultipartUploads
s3:PutObject
Defender pour les conteneurs

Defender CSPM
MDCContainersAgentlessDiscoveryK8sRole Autorisations pour collecter les données dans les clusters EKS. Mise à jour des clusters EKS pour prendre en charge la restriction IP et créer iamidentitymapping pour les clusters EKS
"eks:DescribeCluster"
"eks:UpdateClusterConfig*"
Defender pour les conteneurs

Defender CSPM
MDCContainersImageAssessmentRole Autorisations pour analyser les images d’ECR et ECR Public.
AmazonEC2ContainerRegistryReadOnly
AmazonElasticContainerRegistryPublicReadOnly
AmazonEC2ContainerRegistryPowerUser
AmazonElasticContainerRegistryPublicPowerUser
Defender pour les serveurs DefenderForCloud-ArcAutoProvisioning Autorisations pour installer Azure Arc sur toutes les instances EC2 avec SSM
ssm:CancelCommand
ssm:DescribeInstanceInformation
ssm:GetCommandInvocation
ssm:UpdateServiceSetting
ssm:GetServiceSetting
ssm:GetAutomationExecution
ec2:DescribeIamInstanceProfileAssociations
ec2:DisassociateIamInstanceProfile
ec2:DescribeInstances
ssm:StartAutomationExecution
iam:GetInstanceProfile
iam:ListInstanceProfilesForRole
ssm:GetAutomationExecution
ec2:DescribeIamInstanceProfileAssociations
ec2:DisassociateIamInstanceProfile
ec2:DescribeInstances
ssm:StartAutomationExecution
iam:GetInstanceProfile
iam:ListInstanceProfilesForRole
Defender CSPM DefenderForCloud-DataSecurityPostureDB Autorisation pour découvrir les instances RDS dans un compte AWS, créer un instantané d’instance RDS,
- Lister tous les clusters/bases de données RDS
- Lister tous les instantanés de base de données/cluster
- Copier tous les instantanés de base de données/cluster
- Supprimer/mettre à jour l’instantané de base de données/cluster avec le préfixe defenderfordatabases
- Lister toutes les clés KMS
- Utiliser toutes les clés KMS uniquement pour RDS sur le compte source
- Lister les clés KMS avec le préfixe d’étiquette DefenderForDatabases
- Créer un alias pour les clés KMS

Autorisations requises pour découvrir les instances RDS
rds:DescribeDBInstances
rds:DescribeDBClusters
rds:DescribeDBClusterSnapshots
rds:DescribeDBSnapshots
rds:CopyDBSnapshot
rds:CopyDBClusterSnapshot
rds:DeleteDBSnapshot
rds:DeleteDBClusterSnapshot
rds:ModifyDBSnapshotAttribute
rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters
rds:DescribeDBParameters
rds:DescribeOptionGroups
kms:CreateGrant
kms:ListAliases
kms:CreateKey
kms:TagResource
kms:ListGrants
kms:DescribeKey
kms:PutKeyPolicy
kms:Encrypt
kms:CreateGrant
kms:EnableKey
kms:CancelKeyDeletion
kms:DisableKey
kms:ScheduleKeyDeletion
kms:UpdateAlias
kms:UpdateKeyDescription

Autorisations sur GCP

Lorsque vous intégrez un connecteur Google Cloud Platforms (GCP), Defender pour le cloud crée des rôles et attribue des autorisations sur votre projet GCP. Le tableau suivant présente les rôles et les autorisations attribués par chaque plan sur votre projet GCP.

Plan Defender pour le cloud Rôle créé Autorisation attribuée sur le compte AWS
Defender CSPM MDCCspmCustomRole Ces autorisations permettent au rôle CSPM de découvrir et d’analyser les ressources au sein de l’organisation :

Permet au rôle d’afficher les organisations, projets et dossiers :
resourcemanager.folders.get
resourcemanager.folders.list resourcemanager.folders.getIamPolicy
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy

Permet le processus d’approvisionnement automatique de nouveaux projets et la suppression des projets supprimés :
resourcemanager.projects.get
resourcemanager.projects.list

Permet au rôle d’activer les services Google Cloud utilisés pour la découverte des ressources :
serviceusage.services.enable

Utilisé pour créer et répertorier des rôles IAM :
iam.roles.create
iam.roles.list

Permet au rôle d’agir en tant que compte de service et d’obtenir l’autorisation pour les ressources :
iam.serviceAccounts.actAs

Permet au rôle d’afficher les détails du projet et de définir les métadonnées d’instance courantes :
compute.projects.get
compute.projects.setCommonInstanceMetadata
Defender pour les serveurs microsoft-defender-for-servers
azure-arc-for-servers-onboard
Accès en lecture seule pour obtenir et répertorier les ressources Compute Engine :
compute.viewer
iam.serviceAccountTokenCreator
osconfig.osPolicyAssignmentAdmin
osconfig.osPolicyAssignmentReportViewer
Defender pour base de données defender-for-databases-arc-ap Autorisations pour l’approvisionnement automatique ARC de Defender pour bases de données
compute.viewer
iam.workloadIdentityUser
iam.serviceAccountTokenCreator
osconfig.osPolicyAssignmentAdmin
osconfig.osPolicyAssignmentReportViewer
Defender CSPM

Defender pour le stockage
data-security-posture-storage Autorisation pour le scanneur Defender pour le cloud de découvrir les compartiments de stockage GCP, pour accéder aux données dans les compartiments de stockage GCP
storage.objects.list
storage.objects.get
storage.buckets.get
Defender CSPM

Defender pour le stockage
data-security-posture-storage Autorisation pour le scanneur Defender pour le cloud de découvrir les compartiments de stockage GCP, pour accéder aux données dans les compartiments de stockage GCP
storage.objects.list
storage.objects.get
storage.buckets.get
Defender CSPM microsoft-defender-ciem Autorisations pour obtenir des détails sur la ressource de l’organisation.
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
storage.buckets.getIamPolicy
Defender CSPM

Defender pour les serveurs
MDCAgentlessScanningRole Autorisations pour l’analyse de disque sans agent :
compute.disks.createSnapshot
compute.instances.get
Defender CSPM

Defender pour les serveurs
cloudkms.cryptoKeyEncrypterDecrypter Des autorisations pour un rôle GCP KMS existant sont accordées pour prendre en charge l’analyse des disques chiffrés avec CMEK
Defender CSPM

Defender pour les conteneurs
mdc-containers-artifact-assess Autorisation pour analyser les images de GAR et GCR.
artifactregistry.reader
storage.objectViewer
Defender pour les conteneurs mdc-containers-k8s-operator Autorisations pour collecter les données dans les clusters GKE. Mettre à jour les clusters GKE pour prendre en charge la restriction IP.

container.viewer

MDCGkeClusterWriteRole :
container.clusters.update*

MDCGkeContainerResponseActionsRole :
container.pods.update
container.pods.delete
container.networkPolicies.create
container.networkPolicies.update
container.networkPolicies.delete
Defender pour les conteneurs microsoft-defender-containers Autorisations pour créer et gérer un récepteur de journaux pour acheminer les journaux vers une rubrique Pub/Sub cloud.
logging.sinks.list
logging.sinks.get
logging.sinks.create
logging.sinks.update
logging.sinks.delete
resourcemanager.projects.getIamPolicy
resourcemanager.organizations.getIamPolicy
iam.serviceAccounts.get
iam.workloadIdentityPoolProviders.get
Defender pour les conteneurs ms-defender-containers-stream Autorisations pour autoriser la journalisation à envoyer des journaux à pub sub :
pubsub.subscriptions.consume
pubsub.subscriptions.get

Étapes suivantes

Cet article explique comment Defender pour le cloud utilise le contrôle d’accès en fonction du rôle Azure pour attribuer des autorisations aux utilisateurs et identifie les actions autorisées pour chaque rôle. Maintenant que vous êtes familiarisé avec les affectations de rôles nécessaires pour surveiller l’état de sécurité de votre abonnement, modifier les stratégies de sécurité et appliquer les recommandations, découvrez comment :