Permissões de nuvem necessárias para coletar as chaves de configuração do sistema base Governança de configuração de nuvem

Xanadu IT Operations Management

Release

xanadu

ft:locale

pt-BR

ft:publication_title

Xanadu IT Operations Management

ft:clusterId

itom

bundleId

itom

workflow

Technology

Permissões de nuvem necessárias para coletar as chaves de configuração do sistema base Governança de configuração de nuvem

Versão de lançamento: Xanadu

Atualizado 1 de ago. de 2024

4 min. de leitura

O Governança de configuração de nuvem requer permissões de nuvem apropriadas para coletar as chaves de configuração do sistema de base da nuvem. Portanto, você deve definir as permissões apropriadas na nuvem para atender às necessidades da sua organização.

Nota:

A partir da Governança de configuração de nuvem versão 1.3.7, o conteúdo do sistema de base é movido para a Pacote de conteúdo CCG. Instale o Pacote de conteúdo CCG para acessar o conteúdo do sistema de base Governança de configuração de nuvem.

Amazon Web Services (AWS) datacenter

Governança de configuração de nuvem usa os seguintes itens para coletar a chave de configuração para as chaves de configuração do datacenter AWS :

Coletor de recursos: conta de serviço em nuvem
API de nuvem usada: Ação: DescribeRegions
Permissão para nuvem: ec2: DescribeRegions

Tabela 1. Chaves de configuração do datacenter da AWS
Chave de configuração	Tipo de dados
AWS:EC2:VM:DescribeRegions	String

AWS Usuários da Gestão de identidade e acesso (IAM)

Governança de configuração de nuvem usa os seguintes itens para coletar a chave de configuração para as AWS chaves de configuração de usuário do IAM:

Coletor de recursos: AWS Coletor de dados do usuário do IAM
API de nuvem usada:
- Ação: GetCredentialReport e GenerateCredentialReport
- Serviço: AWS IAM service
Permissão para nuvem: Iam:GetCredentialReport e Iam:GenerateCredentialReport

Tabela 2. Chaves de configuração de usuário do AWS IAM
Chave de configuração	Tipo de dados
AWS:IAM:Policy:ARN	String
AWS:IAM:Policy:AttachmentCount	String
AWS:IAM:Policy:CreateDate	String
AWS:IAM:Policy:PolicyName	String
AWS:IAM:Policy:UpdateDate	String
AWS:IAM:User:AccessKey1.active	Boolean
AWS:IAM:User:AccessKey1.lastRotated	Date
AWS:IAM:User:AccessKey1.lastUsedDate	Date
AWS:IAM:User:AccessKey1.lastUsedRegion	String
AWS:IAM:User:AccessKey1.lastUsedService	String
AWS:IAM:User:AccessKey2.active	Boolean
AWS:IAM:User:AccessKey2.lastRotated	Date
AWS:IAM:User:AccessKey2.lastUsedDate	Date
AWS:IAM:User:AccessKey2.lastUsedRegion	String
AWS:IAM:User:AccessKey2.lastUsedService	String
AWS:IAM:User:Certificate1.active	Boolean
AWS:IAM:User:Certificate1.lastRotated	Date
AWS:IAM:User:Certificate2.active	Boolean
AWS:IAM:User:Certificate2.lastRotated	Date
AWS:IAM:User:CreationTime	Date
AWS:IAM:User:LoginProfile.active	Boolean
AWS:IAM:User:MfaEnabled	Boolean
AWS:IAM:User:PasswordEnabled	Boolean
AWS:IAM:User:PasswordLastChanged	String
AWS:IAM:User:PasswordLastUsed	Date
AWS:IAM:User:PasswordNextRotation	String

AWS armazenamento de objetos

Governança de configuração de nuvem usa os seguintes itens para coletar a chave de configuração para as AWS chaves de configuração de usuário do IAM:

Coletor de configurações: AWS Coletor de métricas de criptografia do S3
Coletor de recursos: AWS Coletor de recursos do S3
API de nuvem usada: Ação: ListBuckets e GetBucketEncryption no serviço S3
Permissão para nuvem: s3:ListBucket e s3:GetEncryptionConfiguration

Tabela 3. AWS chaves de configuração de armazenamento de objetos
Chave de configuração	Tipo de dados
AWS:S3:Encryption:BucketKeyEnabled	Boolean
AWS:S3:Encryption:KMSMasterKeyID	String
AWS:S3:Encryption:ServerSideEncryptionEnabled	Boolean
AWS:S3:Encryption:SSEAlgorithm	String

Coletor de configurações: AWS Coletor de métricas de permissão de ACL do S3
Coletor de recursos: AWS Coletor de recursos do S3
API de nuvem usada: Ação: GetBucketAcl
Permissão para nuvem: s3:GetBucketAcl

Tabela 4. AWS chaves de configuração de armazenamento de objetos
Chave de configuração	Tipo de dados
AWS:S3:ACL:AuthnUsersListing	Boolean
AWS:S3:ACL:AuthnUsersReadACL	Boolean
AWS:S3:ACL:AuthnUsersWrite	Boolean
AWS:S3:ACL:AuthnUsersWriteACL	Boolean
AWS:S3:ACL:OwnerFullControl	Boolean
AWS:S3:ACL:OwnerId	String
AWS:S3:ACL:OwnerListing	Boolean
AWS:S3:ACL:OwnerName	String
AWS:S3:ACL:OwnerReadACL	Boolean
AWS:S3:ACL:OwnerWrite	Boolean
AWS:S3:ACL:OwnerWriteACL	Boolean
AWS:S3:ACL:PublicListing	Boolean
AWS:S3:ACL:PublicReadACL	Boolean
AWS:S3:ACL:PublicWrite	Boolean
AWS:S3:ACL:PublicWriteACL	Boolean

AWS instância de máquina virtual

Governança de configuração de nuvem usa os seguintes itens para coletar a chave de configuração das chaves de configuração de instância de máquina virtual AWS :

Coletor de recursos: AWS VM Data Collector
API de nuvem usada: Ação: DescribeInstances e recurso EC2 da AWS
Permissão para nuvem: ec2:DescribeInstances

Tabela 5. AWS chaves de configuração de instância de máquina virtual
Chave de configuração	Tipo de dados
AWS:EC2:VM:CapacityReservationPreference	String
AWS:EC2:VM:CpuOptionsCoreCount	Numeric
AWS:EC2:VM:CpuOptionsThreadsPerCore	Numeric
AWS:EC2:VM:EbsOptimized	Boolean
AWS:EC2:VM:HardwareType	String
AWS:EC2:VM:ImageId	String
AWS:EC2:VM:InstanceState	String
AWS:EC2:VM:KeyName	String
AWS:EC2:VM:LaunchTime	Date
AWS:EC2:VM:MonitoringState	String
AWS:EC2:VM:Platform	String
AWS:EC2:VM:PrivateDnsName	String
AWS:EC2:VM:PrivateIpAddress	String
AWS:EC2:VM:PublicDnsName	String
AWS:EC2:VM:PublicIPAddress	String
AWS:EC2:VM:SecurityGroups	String
AWS:EC2:VM:SubnetId	String
AWS:EC2:VM:Tags	Map
AWS:EC2:VM:UsageOperation	String
AWS:EC2:VM:VpcId	String

AWS perfil com permissões mínimas

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GenerateCredentialReport",
                "s3:GetEncryptionConfiguration",
                "ec2:DescribeInstances",
                "s3:ListBucketVersions",
                "ec2:DescribeRegions",
                "s3:ListBucket",
                "iam:GetCredentialReport"
            ],
            "Resource": "*"
        }
    ]
}

Microsoft Azure instância de máquina virtual

Governança de configuração de nuvem usa os seguintes itens para coletar as Azure chaves de configuração de instância de máquina virtual:

Coletor de recursos: Azure VM Data Collector
API de nuvem usada: Microsoft.ResourceGraph/resources
Permissão para nuvem: Microsoft.ResourceGraph/resources

Tabela 6. Azure chaves de configuração de instância de máquina virtual
Chave de configuração	Tipo de dados
Azure:VM:HardwareType	String
Azure:VM:NICID	String
Azure:VM:OSDiskCaching	String
Azure:VM:OSDiskCreateoption	String
Azure:VM:OSDiskDeleteoption	String
Azure:VM:OSDiskId	String
Azure:VM:OSDiskName	String
Azure:VM:OSDiskOSType	String
Azure:VM:OSDiskSizeGB	String
Azure:VM:OSProfileAllowExtensionOperations	Boolean
Azure:VM:OSProfileComputerName	String
Azure:VM:OSProfileLinuxConfigurationDisablePasswordAuthentication	Boolean
Azure:VM:OSProfileLinuxConfigurationPatchSettingsAssessmentMode	String
Azure:VM:OSProfileLinuxConfigurationPatchSettingsPatchMode	String
Azure:VM:OSProfileLinuxConfigurationProvisionVmAgent	Boolean
Azure:VM:OSProfileLinuxConfigurationSSHKeyData	Map
Azure:VM:OSProfileLinuxConfigurationSSHPath	Map
Azure:VM:OSProfileRequireGuestProvisionSignal	Boolean
Azure:VM:OSWindowsConfigurationEnableAutomaticUpdates	Boolean
Azure:VM:OSWindowsConfigurationPatchSettingsAssessmentMode	String
Azure:VM:OSWindowsConfigurationPatchSettingsEnableHotpatching	Boolean
Azure:VM:OSWindowsConfigurationPatchSettingsPatchMode	String
Azure:VM:OSWindowsConfigurationProvisionVMAgent	Boolean
Azure:VM:PowerState	String
Azure:VM:ProvisioningState	String
Azure:VM:ResourceGroup	String
Azure:VM:StorageProfileDataDisksCaching	String
Azure:VM:StorageProfileDataDisksCreateOption	String
Azure:VM:StorageProfileDataDisksDeleteOption	String
Azure:VM:StorageProfileDataDisksDetachOption	String
Azure:VM:StorageProfileDataDisksDiskIopsReadWrite	String
Azure:VM:StorageProfileDataDisksDiskMBpsReadWrite	String
Azure:VM:StorageProfileDataDisksDiskSizeGb	Numeric
Azure:VM:StorageProfileDataDisksImage	String
Azure:VM:StorageProfileDataDisksLun	Numeric
Azure:VM:StorageProfileDataDisksManagedDiskDiskEncryptionSet	String
Azure:VM:StorageProfileDataDisksManagedDiskId	String
Azure:VM:StorageProfileDataDisksManagedDiskResourceGroup	String
Azure:VM:StorageProfileDataDisksManagedDiskStorageAccountType	String
Azure:VM:StorageProfileDataDisksManagedStorageAccountType	String
Azure:VM:StorageProfileDataDisksName	String
Azure:VM:StorageProfileDataDisksToBeDetached	Boolean
Azure:VM:StorageProfileDataDisksVhd	String
Azure:VM:StorageProfileDataDisksWriteAcceleratorEnabled	Boolean
Azure:VM:StorageProfileImageReferenceExactVersion	String
Azure:VM:StorageProfileImageReferenceId	String
Azure:VM:StorageProfileImageReferenceOffer	String
Azure:VM:StorageProfileImageReferencePublisher	String
Azure:VM:StorageProfileImageReferenceSharedGalleryImageId	String
Azure:VM:StorageProfileImageReferenceSku	String
Azure:VM:StorageProfileImageReferenceVersion	String
Azure:VM:Tags	Map
Azure:VM:VMId	String

Coletor de recursos: Azure VM Data Collector
Coletor de configuração: Azure VM Metric Collector
API de nuvem usada: Microsoft.ResourceGraph/resources
Permissão para nuvem: Microsoft.ResourceGraph/resources

Tabela 7. Azure chaves de configuração de instância de máquina virtual
Chave de configuração	Tipo de dados
Azure:VM:PublicIPAddress	String
Azure:VM:PublicIPId	String

Coletor de recursos: Azure VM Data Collector
Coletor de configurações: Azure Coletor de métricas de monitoramento de VM
API de nuvem usada: Microsoft.Compute/virtualMachines/{vmName}/instanceView
Permissão para nuvem: Microsoft.Compute/virtualMachines/{vmName}/instanceView

Tabela 8. Chaves de configuração de instância de máquina virtual do Azure
Chave de configuração	Tipo de dados
Azure:VM:MonitoringState	String

Nota:

Use scope=https://graph.microsoft.com/.default e scope=https://management.azure.com/.default para buscar o token oAuth para os recursos do Azure.

Azure perfil com permissões mínimas

{
    "properties": {
        "roleName": "CCGAzureMinimalPermission",
        "description": "Grants access to scan compute resources from azure subscription",
        "assignableScopes": [
            "/subscriptions/${subscription_id}"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.ResourceGraph/resources/read",
                    "Microsoft.Compute/virtualMachines/instanceView/read"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}