Microsoft Defender for Cloud 使用 Azure 基于角色的访问控制(Azure 基于角色的访问控制)提供内置角色。 将这些角色分配给 Azure 中的用户、组和服务,以便根据角色定义的访问权限授予他们对资源的访问权限。
Defender for Cloud 会评估资源配置,并确定安全问题和漏洞。 在 Defender for Cloud 中,为订阅或资源组分配以下角色之一时查看资源信息:所有者、参与者或读者。
除了内置角色外,还有两个特定于 Defender for Cloud 的角色:
- 安全读取者:此角色中的用户对 Defender for Cloud 具有只读访问权限。 用户可以查看建议、警报、安全策略和安全状态,但无法进行更改。
- 安全管理员:此角色中的用户具有与安全读取者相同的访问权限,还可以更新安全策略并消除警报和建议。
为用户分配完成任务所需的最低权限角色。
例如,将“读取者”角色分配给只需查看资源的安全运行状况信息的用户,而无需采取任何作。 具有读者角色的用户不能应用建议或编辑策略。
下表显示 Defender for Cloud 中的角色和允许的操作。
| Action | 安全读取者 / 读取者 |
安全管理员 | 参与者 / 所有者 | 参与者 | 所有者 |
|---|---|---|---|---|---|
| (资源组级别) | (订阅级别) | (订阅级别) | |||
| 添加/分配计划(包括合规性标准) | - | ✔ | - | - | ✔ |
| 编辑安全策略 | - | ✔ | - | - | ✔ |
| 启用/禁用 Microsoft Defender 计划 | - | ✔ | - | ✔ | ✔ |
| 关闭通知 | - | ✔ | - | ✔ | ✔ |
| 将安全建议应用到资源 (使用修复) |
- | - | ✔ | ✔ | ✔ |
| 查看警报和建议 | ✔ | ✔ | ✔ | ✔ | ✔ |
| 免除安全建议 | - | ✔ | - | - | ✔ |
| 配置电子邮件通知 | - | ✔ | ✔ | ✔ | ✔ |
注意
虽然上述三个角色足以启用和禁用 Defender for Cloud 计划,但需要所有者角色才能启用计划的所有功能。
部署监控组件所需的特定角色取决于您部署的扩展。 详细了解监视组件。
若要允许安全管理员角色自动配置 Defender for Cloud 计划中使用的代理和扩展,Defender for Cloud 使用类似于 Azure Policy 的策略修正。 若要使用修正,Defender for Cloud 需要创建在订阅级别分配角色的服务主体(也称为托管标识)。 例如,Defender for Containers 计划的服务主体包括:
| 服务主体 | 角色 |
|---|---|
| 用于容器的 Defender 预配 Azure Kubernetes 服务(AKS)安全配置文件 | Kubernetes 扩展贡献者 贡献者 Azure Kubernetes 服务参与者 Log Analytics 参与者 |
| 预配已启用 Arc 的 Kubernetes 的 Defender for Containers | Azure Kubernetes 服务参与者 Kubernetes 扩展代码开发者 贡献者 Log Analytics 参与者 |
| Defender for Containers 预配适用于 Kubernetes 的 Azure Policy | Kubernetes 扩展参与者 贡献者 Azure Kubernetes 服务参与者 |
| 已启用 Arc 的 Kubernetes 的 Defender for Containers 预配策略扩展 | Azure Kubernetes 服务参与者 Kubernetes 扩展贡献者 贡献者 |
本文介绍 Defender for Cloud 如何使用 Azure 基于角色的访问控制向用户分配权限,并为每个角色确定允许的操作。 现在,您已经熟悉了监控订阅安全状态所需的角色分配,以及如何编辑安全策略和应用建议,请进一步学习: