用户角色和权限
Microsoft Defender for Cloud 使用 Azure 基于角色的访问控制 (Azure RBAC) 提供内置角色。 可以将这些角色分配给 Azure 中的用户、组和服务,以便根据角色中定义的访问权限授予用户对资源的访问权限。
Defender for Cloud 会评估资源的配置以识别安全问题和漏洞。 在 Defender for Cloud 中,仅当向你分配了订阅或资源所在的资源组的“所有者”、“参与者”或“读取者”角色时,你才能查看与资源相关的信息。
除了内置角色外,还有两个特定于 Defender for Cloud 的角色:
- 安全读者:属于此角色的用户对 Defender for Cloud 拥有只读访问权限。 该用户可查看建议、警报、安全策略和安全状态,但不能进行更改。
- 安全管理员:属于此角色的用户拥有与安全读者相同的权限,此外,还可以更新安全策略、关闭警报和建议。
对于需要完成任务的用户,建议尽可能为其分配权限最小的角色。 例如,将“读者”角色分配到只需查看有关资源的安全运行状况而不执行操作(例如应用建议或编辑策略)的用户。
角色和允许的操作
下表显示 Defender for Cloud 中的角色和允许的操作。
| Action | 安全读取者 / 读取者 |
安全管理员 | 参与者 / 所有者 | 参与者 | 所有者 |
|---|---|---|---|---|---|
| (资源组级别) | (订阅级别) | (订阅级别) | |||
| 添加/分配计划(包括合规性标准) | - | ✔ | - | - | ✔ |
| 编辑安全策略 | - | ✔ | - | - | ✔ |
| 启用/禁用 Microsoft Defender 计划 | - | ✔ | - | ✔ | ✔ |
| 消除警报 | - | ✔ | - | ✔ | ✔ |
| 应用资源的安全建议 (并使用 ) |
- | - | ✔ | ✔ | ✔ |
| 查看警报和建议 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 免除安全建议 | - | ✔ | - | - | ✔ |
部署监视组件所需的特定角色取决于要部署的扩展。 详细了解监视组件。
用于自动预配代理和扩展的角色
为了允许安全管理员角色自动预配 Defender for Cloud 计划中使用的代理和扩展,Defender for Cloud 以类似于 Azure Policy 的方式使用策略修正。 若要使用修正,Defender for Cloud 需要创建服务主体(也称为托管标识),以在订阅级别分配角色。 例如,Defender for Containers 计划的服务主体包括:
| Service Principal | 角色 |
|---|---|
| Defender for Containers 预配 AKS 安全配置文件 | • Kubernetes 扩展参与者 • 参与者 • Azure Kubernetes 服务参与者 • Log Analytics 参与者 |
| 预配已启用 Arc 的 Kubernetes 的 Defender for Containers | • Azure Kubernetes 服务参与者 • Kubernetes 扩展参与者 • 参与者 • Log Analytics 参与者 |
| Defender for Containers 预配适用于 Kubernetes 的 Azure Policy | • Kubernetes 扩展参与者 • 参与者 • Azure Kubernetes 服务参与者 |
| 已启用 Arc 的 Kubernetes 的 Defender for Containers 预配策略扩展 | • Azure Kubernetes 服务参与者 • Kubernetes 扩展参与者 • 参与者 |
后续步骤
本文介绍了 Defender for Cloud 如何使用 Azure RBAC 将权限分配给用户,并为每个角色确定允许的操作。 现在,已熟悉监视订阅安全状态所需的角色分配,请编辑安全策略,并应用建议,了解如何: