Microsoft Defender for Cloud では Azure のロールベースのアクセス制御 (Azure RBAC) を使用して、組み込みロールを提供します。 これらのロールを Azure のユーザー、グループ、およびサービスに割り当てて、ロールの定義されたアクセスに従ってリソースにアクセスできるようにします。
Defender for Cloud は、リソース構成を評価し、セキュリティの問題と脆弱性を特定します。 Defender for Cloud で、サブスクリプションまたはリソース グループに対して次のいずれかのロールが割り当てられているときにリソース情報を表示します(所有者、共同作成者、閲覧者)。
組み込みロールに加えて、Defender for Cloud に固有のロールが 2 つあります。
- セキュリティ閲覧者: このロールのユーザーは、Defender for Cloud への読み取り専用アクセス権を持っています。 ユーザーは推奨事項、アラート、セキュリティ ポリシー、およびセキュリティの状態を表示できますが、変更を加えることはできません。
- セキュリティ管理者: このロールのユーザーは、セキュリティ閲覧者と同じアクセス権を持ち、セキュリティ ポリシーを更新したり、アラートや推奨事項を無視したりすることもできます。
ユーザーが自分のタスクを完了するために必要な最も制限の少ないロールを割り当てます。
たとえば、リソースのセキュリティ正常性情報のみを表示する必要があるユーザーに、何もアクションを実行せずに閲覧者ロールを割り当てます。 閲覧者ロールが付与されたユーザーは、推奨事項を適用したり、ポリシーを編集したりすることはできません。
ルールと許可されているアクション
次の表は、Defender for Cloud でのロールと許可されているアクションを示しています。
| 操作 |
セキュリティ閲覧者 / Reader |
セキュリティ管理者 | 共同作成者 / 所有者 | 共同作成者 | 所有者 |
|---|---|---|---|---|---|
| (リソース グループ レベル) | (サブスクリプション レベル) | (サブスクリプション レベル) | |||
| イニシアティブを追加する、または割り当てる (規制コンプライアンス標準を含む) | - | ✔ | - | - | ✔ |
| セキュリティ ポリシーを編集する | - | ✔ | - | - | ✔ |
| Microsoft Defender プランを有効または無効にする | - | ✔ | - | ✔ | ✔ |
| アラートを無視する | - | ✔ | - | ✔ | ✔ |
| リソースに対するセキュリティ レコメンデーションの適用 (Fix を使用) |
- | - | ✔ | ✔ | ✔ |
| アラートと推奨事項を表示する | ✔ | ✔ | ✔ | ✔ | ✔ |
| セキュリティの推奨事項を除外する | - | ✔ | - | - | ✔ |
| メール通知を構成する | - | ✔ | ✔ | ✔ | ✔ |
Note
前述の 3 つのロールで Defender for Cloud プランを有効または無効にするだけで十分ですが、プランのすべての機能を有効にするには所有者ロールが必要です。
監視コンポーネントの展開に必要な特定のロールは、展開する拡張機能によって異なります。 コンポーネント監視の詳細についてはこちらをご覧ください。
エージェントと拡張機能を自動的に構成するために使用されるロール
セキュリティ管理者ロールが Defender for Cloud プランで使用されるエージェントと拡張機能を自動的に構成できるようにするには、Defender for Cloud では Azure Policy と同様のポリシー修復が使用されます。 修復を使用するには、Defender for Cloud で、サブスクリプション レベルでロールを割り当てるサービス プリンシパル (マネージド ID とも呼ばれます) を作成する必要があります。 たとえば、Defender for Containers プランのサービス プリンシパルは次のとおりです。
| サービス プリンシパル | ロール |
|---|---|
| Azure Kubernetes Service (AKS) セキュリティ プロファイルをプロビジョニングする Defender for Containers | Kubernetes 拡張機能共同作成者 Contributor Azure Kubernetes Service 共同作成者 Log Analytics 共同作成者 |
| Arc 対応 Kubernetes をプロビジョニングする Defender for Containers | Azure Kubernetes Service 共同作成者 Kubernetes 拡張機能共同作成者 Contributor Log Analytics 共同作成者 |
| Kubernetes 用の Azure Policy アドオンをプロビジョニングする Defender for Containers | Kubernetes 拡張機能共同作成者 Contributor Azure Kubernetes Service 共同作成者 |
| Arc 対応 Kubernetes 用の Policy 拡張機能をプロビジョニングする Defender for Containers | Azure Kubernetes Service 共同作成者 Kubernetes 拡張機能共同作成者 Contributor |
AWS でのアクセス許可
アマゾン ウェブ サービス (AWS) コネクタをオンボードすると、Defender for Cloud によってロールが作成され、AWS アカウントにアクセス許可が割り当てられます。 次の表は、AWS アカウントの各プランによって割り当てられたロールとアクセス許可を示しています。
| Defender for Cloud プラン | 作成されるロール | AWS アカウントに割り当てられたアクセス許可 |
|---|---|---|
| Defender クラウド セキュリティ態勢管理 (CSPM) | CspmMonitorAws | AWS リソースのアクセス許可を検出するには、次を除くすべてのリソースの読み取りを行ってください。 consolidatedbilling: freetier: invoicing: payments: billing: tax: cur: |
| Defender CSPM Defender for Servers |
DefenderForCloud-AgentlessScanner | ディスク スナップショットを作成およびクリーンアップするには (タグによってスコープ指定) "CreatedBy": "Microsoft Defender for Cloud" アクセス許可: ec2:DeleteSnapshot(スナップショットを削除) ec2:ModifySnapshotAttribute(スナップショット属性を変更) ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus EncryptionKeyCreation kms:CreateKey へのアクセス許可 kms:ListKeys EncryptionKeyManagement kms:TagResource へのアクセス許可 kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Defender CSPM ストレージ用ディフェンダー |
SensitiveDataDiscovery | AWS アカウントで S3 バケットを検出するためのアクセス許可、S3 バケット内のデータにアクセスするための Defender for Cloud スキャナーのアクセス許可 S3 読み取り専用 KMS 暗号化解除 kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Ciem Discovery のアクセス許可 sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender for Servers | DefenderForCloud-DefenderForServers | JIT ネットワーク アクセスを構成するためのアクセス許可: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender for Containers | Defender for Containers AWS のアクセス許可を参照してください | |
| Defender for Servers | DefenderForCloud-ArcAutoProvisioning | SSM を使用してすべての EC2 インスタンスに Azure Arc をインストールするアクセス許可 ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| ディフェンダー CSPM | DefenderForCloud-DataSecurityPostureDB | AWS アカウント内の RDS インスタンスの検出、RDS インスタンス スナップショットの作成のためのアクセス許可 - RDS DB/クラスターをすべて一覧表示する - すべての DB/クラスター スナップショットを一覧表示する - すべての DB/クラスター スナップショットをコピーする - プレフィックス defenderfordatabases を使用して DB/クラスター スナップショットを削除/更新する - すべての KMS キーを一覧表示する - ソース アカウントの RDS に対してのみすべての KMS キーを使用する - タグ プレフィックス DefenderForDatabases を持つ KMS キーを一覧表示する - KMS キーのエイリアスを作成する RDS インスタンスの検出に必要なアクセス許可 rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
GCP でのアクセス許可
Google Cloud Platforms (GCP) コネクタをオンボードすると、Defender for Cloud によってロールが作成され、GCP プロジェクトに対するアクセス許可が割り当てられます。 次の表は、GCP プロジェクトの各プランによって割り当てられたロールとアクセス許可を示しています。
| Defender for Cloud プラン | 作成されるロール | AWS アカウントに割り当てられるアクセス許可 |
|---|---|---|
| ディフェンダー CSPM | MDCCspmCustomRole | これらのアクセス許可は、CSPM ロールに対して、組織内のリソースの検出とスキャンを許可します。 組織、プロジェクト、フォルダーの閲覧をロールに許可します。 resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy 新しいプロジェクトの自動プロビジョニング プロセスと削除されたプロジェクトの消去を許可します。 resourcemanager.projects.get resourcemanager.projects.list ロールに対して、リソースの検出に使用される Google Cloud サービスの有効化を許可します。 serviceusage.services.enable IAM ロールの作成と一覧表示に使用されます。 iam.roles.create iam.roles.list ロールに対して、サービス アカウントとして機能し、リソースへのアクセス許可を取得することを許可します。 iam.serviceAccounts.actAs ロールに対して、プロジェクトの詳細の表示と、共通のインスタンス メタデータの設定を許可します。 compute.projects.get compute.projects.setCommonInstanceMetadata 組織内の AI プラットフォーム リソースの検出とスキャンに使われます。 aiplatform.batchPredictionJobs.list aiplatform.customJobs.list aiplatform.datasets.list aiplatform.datasets.get aiplatform.endpoints.getIamPolicy aiplatform.endpoints.list aiplatform.indexEndpoints.list aiplatform.indexes.list aiplatform.models.list aiplatform.models.get aiplatform.pipelineJobs.list aiplatform.schedules.list aiplatform.tuningJobs.list discoveryengine.dataStores.list discoveryengine.documents.list discoveryengine.engines.list notebooks.instances.list |
| Defender for Servers | microsoft-defender-for-servers azure-arc-for-servers-onboard |
コンピューティング エンジンのリソースを取得および一覧表示するための読み取り専用アクセス: compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| データベース用Defender | defender-for-databases-arc-ap | Defender for Database ARC 自動プロビジョニングに対するアクセス許可 compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender CSPM ストレージ用ディフェンダー |
data-security-posture-storage | GCP ストレージ バケットを検出し、GCP ストレージ バケット内のデータにアクセスするための Defender for Cloud スキャナーのアクセス許可 storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM ストレージ用ディフェンダー |
data-security-posture-storage | GCP ストレージ バケットを検出し、GCP ストレージ バケット内のデータにアクセスするための Defender for Cloud スキャナーのアクセス許可 storage.objects.list storage.objects.get storage.buckets.get |
| ディフェンダー CSPM | microsoft-defender-ciem | 組織のリソースに関する詳細を取得するためのアクセス許可。 resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| Defender CSPM Defender for Servers |
MDCAgentlessScanningRole | エージェントレス ディスク スキャンのアクセス許可: compute.disks.createSnapshot compute.instances.get |
| Defender CSPM Defender for Servers |
cloudkms.cryptoKeyEncrypterDecrypter | CMEK で暗号化されたディスクのスキャンをサポートするために、既存の GCP KMS ロールへのアクセス許可が付与されます |
| Defender for Containers | Defender for Containers の GCP アクセス許可を参照してください |
次のステップ
この記事では、Defender for Cloud で Azure ロールベースのアクセス制御を使用してアクセス許可をユーザーに割り当て、ロールごとに許可されているアクションを特定する方法について説明します。 サブスクリプションのセキュリティ状態を監視するために必要なロールの割り当てについて理解したら、セキュリティ ポリシーを編集し、推奨事項を適用して、次の方法を学習してください。