Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Defender for Cloud usa el control de acceso basado en roles de Azure para proporcionar roles integrados. Asigne estos roles a usuarios, grupos y servicios de Azure para concederles acceso a los recursos según el acceso definido del rol.
Defender for Cloud evalúa las configuraciones de recursos e identifica los problemas de seguridad y las vulnerabilidades. En Defender for Cloud, vea información de recursos cuando se le asigne uno de estos roles para la suscripción o el grupo de recursos: Propietario, Colaborador o Lector.
Además de los roles integrados, hay dos roles específicos de Defender for Cloud:
- Lector de seguridad: un usuario de este rol tiene acceso de solo lectura a Defender for Cloud. El usuario puede ver recomendaciones, alertas, directivas de seguridad y estados de seguridad, pero no puede realizar cambios.
- Administrador de seguridad: un usuario de este rol tiene el mismo acceso que el Lector de seguridad y también puede actualizar las directivas de seguridad y descartar alertas y recomendaciones.
Asigne el rol menos permisivo necesario para que los usuarios completen sus tareas.
Por ejemplo, asigne el rol Lector a los usuarios que solo necesitan ver la información de estado de seguridad de un recurso sin realizar ninguna acción. Los usuarios con un rol lector no pueden aplicar recomendaciones ni editar directivas.
Roles y acciones permitidas
En la siguiente tabla se muestran los roles y las acciones permitidas en Defender for Cloud.
| Acción |
Lector de seguridad / Lector |
Administrador de seguridad | Colaborador / Propietario | Colaborador | Propietario |
|---|---|---|---|---|---|
| (Nivel de grupo de recursos) | (Nivel de suscripción) | (Nivel de suscripción) | |||
| Agregar o asignar iniciativas (incluidas las normas de cumplimiento normativo) | - | ✔ | - | - | ✔ |
| Editar directivas de seguridad | - | ✔ | - | - | ✔ |
| Habilitar o deshabilitar planes de Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Descartar alertas | - | ✔ | - | ✔ | ✔ |
| Aplicar recomendaciones de seguridad para un recurso (Usar Corrección) |
- | - | ✔ | ✔ | ✔ |
| Ver alertas y recomendaciones | ✔ | ✔ | ✔ | ✔ | ✔ |
| Recomendaciones de seguridad exentas | - | ✔ | - | - | ✔ |
| Configuración de notificaciones de correo electrónico | - | ✔ | ✔ | ✔ | ✔ |
Nota:
Aunque los tres roles mencionados son suficientes para habilitar y deshabilitar los planes de Defender for Cloud, se requiere el rol propietario para habilitar todas las funcionalidades de un plan.
El rol específico necesario para implementar componentes de supervisión depende de la extensión que implemente. Obtenga más información sobre la supervisión de componentes.
Roles usados para configurar automáticamente agentes y extensiones
Para permitir que el rol Administrador de seguridad configure automáticamente agentes y extensiones usados en los planes de Defender for Cloud, Defender for Cloud usa la corrección de directivas similar a Azure Policy. Para usar la corrección, Defender for Cloud debe crear entidades de servicio, también denominadas identidades administradas, que asignan roles en el nivel de suscripción. Por ejemplo, las entidades de servicio del plan de Defender para contenedores son:
| Entidad de servicio | Roles |
|---|---|
| Perfil de seguridad de aprovisionamiento de Azure Kubernetes Service (AKS) de Defender para contenedores | Colaborador de la extensión de Kubernetes Colaborador Colaborador de Azure Kubernetes Service Colaborador de Log Analytics |
| Defender para contenedores que aprovisionan Kubernetes habilitados para Arc | Colaborador de Azure Kubernetes Service Colaborador de la extensión de Kubernetes Colaborador Colaborador de Log Analytics |
| Defender para contenedores que aprovisiona Azure Policy para Kubernetes | Colaborador de la extensión de Kubernetes Colaborador Colaborador de Azure Kubernetes Service |
| Extensión de directiva de aprovisionamiento de Defender para contenedores para Kubernetes habilitado para Arc | Colaborador de Azure Kubernetes Service Colaborador de la extensión de Kubernetes Colaborador |
Permisos en AWS
Al incorporar un conector de Amazon Web Services (AWS), Defender for Cloud crea roles y asigna permisos en su cuenta de AWS. En la tabla siguiente se muestran los roles y permisos asignados por cada plan de su cuenta de AWS.
| Plan de Defender for Cloud | Rol creado | Permisos asignados en la cuenta de AWS |
|---|---|---|
| Administración de la posición de seguridad en la nube (CSPM) de Defender | CspmMonitorAws | Para identificar los permisos de los recursos de AWS, lea todos los recursos excepto: consolidatedbilling: freetier: facturación: pagos: facturación: impuesto: cur:* |
| Defender CSPM Defender para servidores |
DefenderForCloud-AgentlessScanner | Para crear y limpiar instantáneas de disco (con ámbito según la etiqueta) "CreatedBy": Permisos para "Microsoft Defender for Cloud": ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Permiso para EncryptionKeyCreation kms:CreateKey kms:ListKeys Permisos para EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Defender CSPM Defender para Storage |
SensitiveDataDiscovery | Permisos para detectar buckets de S3 en la cuenta de AWS, permiso para que el detector de Defender for Cloud acceda a los datos de los buckets de S3 S3 solo de lectura Descifrado de KMS kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Permisos para Ciem Discovery sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender para servidores | DefenderForCloud-DefenderForServers | Permisos para la configuración de acceso de red JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender para contenedores | Consulte Permisos de AWS de Defender for Containers. | |
| Defender para servidores | DefenderForCloud-ArcAutoProvisioning | Permisos para instalar Azure Arc en todas las instancias EC2 mediante SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Permiso para detectar instancias de RDS en la cuenta de AWS, crear una instantánea de instancia de RDS - Enumeración de todas las bases de datos o clústeres de RDS - Enumeración de todas las instantáneas de bases de datos o clústeres - Copia de todas las instantáneas de bases de datos o clústeres - Eliminación o actualización de la instantánea de base de datos o clúster con el prefijo defenderfordatabases - Enumeración de todas las claves de KMS - Uso de todas las claves de KMS solo para RDS en la cuenta de origen - Enumeración de las claves de KMS con el prefijo de etiqueta DefenderForDatabases - Creación de alias para claves de KMS Permisos necesarios para detectar instancias de RDS rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Permisos en GCP
Al incorporar un conector de Google Cloud Platforms (GCP), Defender for Cloud crea roles y asigna permisos en el proyecto de GCP. En la tabla siguiente se muestran los roles y permisos asignados por cada plan del proyecto de GCP.
| Plan de Defender for Cloud | Rol creado | Permiso asignado en la cuenta de AWS |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | Estos permisos facilitan que el rol CSPM detecte y examine recursos dentro de la organización: Permite que el rol vea organizaciones, proyectos y carpetas: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Permite el proceso de aprovisionamiento automático de nuevos proyectos y la eliminación de proyectos eliminados: resourcemanager.projects.get resourcemanager.projects.list Permite que el rol habilite los servicios de Google Cloud usados para la detección de recursos: serviceusage.services.enable Se usa para crear y enumerar roles de IAM: iam.roles.create iam.roles.list Permite que el rol actúe como una cuenta de servicio y obtenga permiso para los recursos: iam.serviceAccounts.actAs Permite que el rol vea los detalles del proyecto y establezca metadatos de instancia comunes: compute.projects.get compute.projects.setCommonInstanceMetadata Se usa para detectar y examinar los recursos de la plataforma de inteligencia artificial dentro de la organización: aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.datasets.get aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list discoveryengine.engines.list notebooks.instances.list |
| Defender para servidores | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Acceso de solo lectura para obtener y enumerar los recursos de Compute Engine: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender para bases de datos | defender-for-databases-arc-ap | Permisos para el aprovisionamiento automático de ARC de Defender para bases de datos compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM Defender para Storage |
data-security-posture-storage | Permiso para que el detector de Defender for Cloud identifique depósitos de almacenamiento de GCP para acceder a los datos de los buckets de almacenamiento de GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM Defender para Storage |
data-security-posture-storage | Permiso para que el detector de Defender for Cloud identifique depósitos de almacenamiento de GCP para acceder a los datos de los buckets de almacenamiento de GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Permisos para obtener detalles sobre el recurso de la organización. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Defender para servidores |
MDCAgentlessScanningRole | Permisos para la detección de discos sin agente: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Defender para servidores |
cloudkms.cryptoKeyEncrypterDecrypter | Se conceden permisos a un rol de KMS de GCP existente para admitir la detección de discos cifrados con CMEK |
| Defender para contenedores | Vea Permisos GCP de Defender para contenedores |
Pasos siguientes
En este artículo se explica cómo usa Microsoft Defender for Cloud el control de acceso basado en roles de Azure para asignar permisos a los usuarios e identificar las acciones permitidas de cada rol. Ahora que ya está familiarizado con las asignaciones de roles necesarios para supervisar el estado de seguridad de su suscripción, editar directivas de seguridad y aplicar recomendaciones, aprenderá los siguientes conceptos: