Permissões de nuvem necessárias para coletar as chaves de configuração do sistema de base Cloud Configuration Governance
O Cloud Configuration Governance requer permissões de nuvem apropriadas para coletar as chaves de configuração do sistema de base da nuvem. Portanto, você deve definir as permissões apropriadas na nuvem para atender às necessidades da sua organização.
Nota:
A partir da Cloud Configuration Governance versão 1.3.7, o conteúdo do sistema de base é movido para a Pacote de conteúdo CCG. Instale o Pacote de conteúdo CCG para acessar o conteúdo do sistema de base Cloud Configuration Governance.
Amazon Web Services (AWS) datacenter
Cloud Configuration Governance usa os seguintes itens para coletar a chave de configuração para as chaves de configuração do datacenter AWS :
- Coletor de recursos: conta de serviço em nuvem
- API de nuvem usada: Ação: DescribeRegions
- Permissão de nuvem: ec2: DescribeRegions
| Chave de configuração | Tipo de dados |
|---|---|
| AWS:EC2:VM:DescribeRegions | String |
AWS Usuários do Identity and Access Management (IAM)
Cloud Configuration Governance usa os seguintes itens para coletar a chave de configuração para as AWS chaves de configuração do usuário do IAM:
- Coletor de recursos: AWS Coletor de dados do usuário do IAM
- API de nuvem usada:
- Ação: GetCredentialReport e GenerateCredentialReport
- Serviço: AWS IAM service
- Permissão de nuvem: Iam:GetCredentialReport e Iam:GenerateCredentialReport
| Chave de configuração | Tipo de dados |
|---|---|
| AWS:IAM:Policy:ARN | String |
| AWS:IAM:Policy:AttachmentCount | String |
| AWS:IAM:Policy:CreateDate | String |
| AWS:IAM:Policy:PolicyName | String |
| AWS:IAM:Policy:UpdateDate | String |
| AWS:IAM:User:AccessKey1.active | Boolean |
| AWS:IAM:User:AccessKey1.lastRotated | Date |
| AWS:IAM:User:AccessKey1.lastUsedDate | Date |
| AWS:IAM:User:AccessKey1.lastUsedRegion | String |
| AWS:IAM:User:AccessKey1.lastUsedService | String |
| AWS:IAM:User:AccessKey2.active | Boolean |
| AWS:IAM:User:AccessKey2.lastRotated | Date |
| AWS:IAM:User:AccessKey2.lastUsedDate | Date |
| AWS:IAM:User:AccessKey2.lastUsedRegion | String |
| AWS:IAM:User:AccessKey2.lastUsedService | String |
| AWS:IAM:User:Certificate1.active | Boolean |
| AWS:IAM:User:Certificate1.lastRotated | Date |
| AWS:IAM:User:Certificate2.active | Boolean |
| AWS:IAM:User:Certificate2.lastRotated | Date |
| AWS:IAM:User:CreationTime | Date |
| AWS:IAM:User:LoginProfile.active | Boolean |
| AWS:IAM:User:MfaEnabled | Boolean |
| AWS:IAM:User:PasswordEnabled | Boolean |
| AWS:IAM:User:PasswordLastChanged | String |
| AWS:IAM:User:PasswordLastUsed | Date |
| AWS:IAM:User:PasswordNextRotation | String |
AWS armazenamento de objetos
Cloud Configuration Governance usa os seguintes itens para coletar a chave de configuração para as AWS chaves de configuração do usuário do IAM:
- Coletor de configuração: AWS S3 Encryption Metric Collector
- Coletor de recursos: AWS Coletor de recursos S3
- API em nuvem usada: Ação: ListBuckets e GetBucketEncryption no serviço S3
- Permissão de nuvem: s3:ListBucket e s3:GetEncryptionConfiguration
| Chave de configuração | Tipo de dados |
|---|---|
| AWS:S3:Encryption:BucketKeyEnabled | Boolean |
| AWS:S3:Encryption:KMSMasterKeyID | String |
| AWS:S3:Encryption:ServerSideEncryptionEnabled | Boolean |
| AWS:S3:Encryption:SSEAlgorithm | String |
- Coletor de configuração: AWS Coletor de métrica de permissão de ACL do S3
- Coletor de recursos: AWS Coletor de recursos S3
- API de nuvem usada: Ação: GetBucketAcl
- Permissão de nuvem: s3:GetBucketAcl
| Chave de configuração | Tipo de dados |
|---|---|
| AWS:S3:ACL:AuthnUsersListing | Boolean |
| AWS:S3:ACL:AuthnUsersReadACL | Boolean |
| AWS:S3:ACL:AuthnUsersWrite | Boolean |
| AWS:S3:ACL:AuthnUsersWriteACL | Boolean |
| AWS:S3:ACL:OwnerFullControl | Boolean |
| AWS:S3:ACL:OwnerId | String |
| AWS:S3:ACL:OwnerListing | Boolean |
| AWS:S3:ACL:OwnerName | String |
| AWS:S3:ACL:OwnerReadACL | Boolean |
| AWS:S3:ACL:OwnerWrite | Boolean |
| AWS:S3:ACL:OwnerWriteACL | Boolean |
| AWS:S3:ACL:PublicListing | Boolean |
| AWS:S3:ACL:PublicReadACL | Boolean |
| AWS:S3:ACL:PublicWrite | Boolean |
| AWS:S3:ACL:PublicWriteACL | Boolean |
AWS instância de máquina virtual
Cloud Configuration Governance usa os seguintes itens para coletar a chave de configuração para as chaves de configuração de instância de máquina virtual AWS :
- Coletor de recursos: AWS VM Data Collector
- API em nuvem usada: Ação: DescribeInstances e recurso do AWS EC2
- Permissão de nuvem: ec2:DescribeInstances
| Chave de configuração | Tipo de dados |
|---|---|
| AWS:EC2:VM:CapacityReservationPreference | String |
| AWS:EC2:VM:CpuOptionsCoreCount | Numeric |
| AWS:EC2:VM:CpuOptionsThreadsPerCore | Numeric |
| AWS:EC2:VM:EbsOptimized | Boolean |
| AWS:EC2:VM:HardwareType | String |
| AWS:EC2:VM:ImageId | String |
| AWS:EC2:VM:InstanceState | String |
| AWS:EC2:VM:KeyName | String |
| AWS:EC2:VM:LaunchTime | Date |
| AWS:EC2:VM:MonitoringState | String |
| AWS:EC2:VM:Platform | String |
| AWS:EC2:VM:PrivateDnsName | String |
| AWS:EC2:VM:PrivateIpAddress | String |
| AWS:EC2:VM:PublicDnsName | String |
| AWS:EC2:VM:PublicIPAddress | String |
| AWS:EC2:VM:SecurityGroups | String |
| AWS:EC2:VM:SubnetId | String |
| AWS:EC2:VM:Tags | Map |
| AWS:EC2:VM:UsageOperation | String |
| AWS:EC2:VM:VpcId | String |
AWS perfil com permissões mínimas
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:GenerateCredentialReport",
"s3:GetEncryptionConfiguration",
"ec2:DescribeInstances",
"s3:ListBucketVersions",
"ec2:DescribeRegions",
"s3:ListBucket",
"iam:GetCredentialReport"
],
"Resource": "*"
}
]
}Microsoft Azure instância de máquina virtual
Cloud Configuration Governance usa os seguintes itens para coletar as chaves de configuração de instância de máquina virtual Azure :
- Coletor de recursos: Azure VM Data Collector
- API de nuvem usada: Microsoft.ResourceGraph/resources
- Permissão de nuvem: Microsoft.ResourceGraph/resources
| Chave de configuração | Tipo de dados |
|---|---|
| Azure:VM:HardwareType | String |
| Azure:VM:NICID | String |
| Azure:VM:OSDiskCaching | String |
| Azure:VM:OSDiskCreateoption | String |
| Azure:VM:OSDiskDeleteoption | String |
| Azure:VM:OSDiskId | String |
| Azure:VM:OSDiskName | String |
| Azure:VM:OSDiskOSType | String |
| Azure:VM:OSDiskSizeGB | String |
| Azure:VM:OSProfileAllowExtensionOperations | Boolean |
| Azure:VM:OSProfileComputerName | String |
| Azure:VM:OSProfileLinuxConfigurationDisablePasswordAuthentication | Boolean |
| Azure:VM:OSProfileLinuxConfigurationPatchSettingsAssessmentMode | String |
| Azure:VM:OSProfileLinuxConfigurationPatchSettingsPatchMode | String |
| Azure:VM:OSProfileLinuxConfigurationProvisionVmAgent | Boolean |
| Azure:VM:OSProfileLinuxConfigurationSSHKeyData | Map |
| Azure:VM:OSProfileLinuxConfigurationSSHPath | Map |
| Azure:VM:OSProfileRequireGuestProvisionSignal | Boolean |
| Azure:VM:OSWindowsConfigurationEnableAutomaticUpdates | Boolean |
| Azure:VM:OSWindowsConfigurationPatchSettingsAssessmentMode | String |
| Azure:VM:OSWindowsConfigurationPatchSettingsEnableHotpatching | Boolean |
| Azure:VM:OSWindowsConfigurationPatchSettingsPatchMode | String |
| Azure:VM:OSWindowsConfigurationProvisionVMAgent | Boolean |
| Azure:VM:PowerState | String |
| Azure:VM:ProvisioningState | String |
| Azure:VM:ResourceGroup | String |
| Azure:VM:StorageProfileDataDisksCaching | String |
| Azure:VM:StorageProfileDataDisksCreateOption | String |
| Azure:VM:StorageProfileDataDisksDeleteOption | String |
| Azure:VM:StorageProfileDataDisksDetachOption | String |
| Azure:VM:StorageProfileDataDisksDiskIopsReadWrite | String |
| Azure:VM:StorageProfileDataDisksDiskMBpsReadWrite | String |
| Azure:VM:StorageProfileDataDisksDiskSizeGb | Numeric |
| Azure:VM:StorageProfileDataDisksImage | String |
| Azure:VM:StorageProfileDataDisksLun | Numeric |
| Azure:VM:StorageProfileDataDisksManagedDiskDiskEncryptionSet | String |
| Azure:VM:StorageProfileDataDisksManagedDiskId | String |
| Azure:VM:StorageProfileDataDisksManagedDiskResourceGroup | String |
| Azure:VM:StorageProfileDataDisksManagedDiskStorageAccountType | String |
| Azure:VM:StorageProfileDataDisksManagedStorageAccountType | String |
| Azure:VM:StorageProfileDataDisksName | String |
| Azure:VM:StorageProfileDataDisksToBeDetached | Boolean |
| Azure:VM:StorageProfileDataDisksVhd | String |
| Azure:VM:StorageProfileDataDisksWriteAcceleratorEnabled | Boolean |
| Azure:VM:StorageProfileImageReferenceExactVersion | String |
| Azure:VM:StorageProfileImageReferenceId | String |
| Azure:VM:StorageProfileImageReferenceOffer | String |
| Azure:VM:StorageProfileImageReferencePublisher | String |
| Azure:VM:StorageProfileImageReferenceSharedGalleryImageId | String |
| Azure:VM:StorageProfileImageReferenceSku | String |
| Azure:VM:StorageProfileImageReferenceVersion | String |
| Azure:VM:Tags | Map |
| Azure:VM:VMId | String |
- Coletor de recursos: Azure VM Data Collector
- Coletor de configuração: Azure VM Metric Collector
- API de nuvem usada: Microsoft.ResourceGraph/resources
- Permissão de nuvem: Microsoft.ResourceGraph/resources
| Chave de configuração | Tipo de dados |
|---|---|
| Azure:VM:PublicIPAddress | String |
| Azure:VM:PublicIPId | String |
- Coletor de recursos: Azure VM Data Collector
- Coletor de configuração: Azure VM Monitoring Metric Collector
- API de nuvem usada: Microsoft.Compute/virtualMachines/{vmName}/instanceView
- Permissão de nuvem: Microsoft.Compute/virtualMachines/{vmName}/instanceView
| Chave de configuração | Tipo de dados |
|---|---|
| Azure:VM:MonitoringState | String |
Nota:
Use scope=https://graph.microsoft.com/.default e scope=https://management.azure.com/.default para buscar o token oAuth para os recursos do Azure.
Azure perfil com permissões mínimas
{
"properties": {
"roleName": "CCGAzureMinimalPermission",
"description": "Grants access to scan compute resources from azure subscription",
"assignableScopes": [
"/subscriptions/${subscription_id}"
],
"permissions": [
{
"actions": [
"Microsoft.ResourceGraph/resources/read",
"Microsoft.Compute/virtualMachines/instanceView/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}