Autorisations dans le cloud requises pour collecter les clés de configuration Gouvernance de configuration cloud du système de base

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Gouvernance de configuration cloud nécessite des autorisations dans le cloud appropriées pour collecter les clés de configuration du système de base dans le cloud. Par conséquent, vous devez définir les autorisations appropriées dans le cloud en fonction des besoins de votre organisation.

    Remarque :
    À partir de la Gouvernance de configuration cloud version 1.3.7, le contenu du système de base est déplacé vers le Pack de contenu CCGfichier . Installez le Pack de contenu CCG pour accéder au contenu du système Gouvernance de configuration cloud de base.

    Centre de données Amazon Web Services (AWS)

    Gouvernance de configuration cloud utilise les éléments suivants pour collecter la clé de configuration pour les clés de configuration du centre de données AWS :

    • Collecteur de ressources : compte de services dans le cloud
    • API dans le cloud utilisée : Action : DescribeRegions
    • Autorisation dans le cloud : ec2: DescribeRegions
    Tableau 1. Clés de configuration du centre de données AWS
    Clé de configuration Type de données
    AWS:EC2:VM:DescribeRegions String

    Utilisateurs AWS Identity and Access Management (IAM)

    Gouvernance de configuration cloud utilise les éléments suivants pour collecter la clé de configuration pour les clés de configuration de l'utilisateur AWS IAM :

    • Collecteur de ressources : collecteur de données utilisateur AWS IAM
    • API dans le cloud utilisée :
      • Action : GetCredentialReport et GenerateCredentialReport
      • Service : AWS IAM service
    • Autorisations dans le cloud : Iam:GetCredentialReport et Iam:GenerateCredentialReport
    Tableau 2. Clés de configuration de l'utilisateur AWS IAM
    Clé de configuration Type de données
    AWS:IAM:Policy:ARN String
    AWS:IAM:Policy:AttachmentCount String
    AWS:IAM:Policy:CreateDate String
    AWS:IAM:Policy:PolicyName String
    AWS:IAM:Policy:UpdateDate String
    AWS:IAM:User:AccessKey1.active Boolean
    AWS:IAM:User:AccessKey1.lastRotated Date
    AWS:IAM:User:AccessKey1.lastUsedDate Date
    AWS:IAM:User:AccessKey1.lastUsedRegion String
    AWS:IAM:User:AccessKey1.lastUsedService String
    AWS:IAM:User:AccessKey2.active Boolean
    AWS:IAM:User:AccessKey2.lastRotated Date
    AWS:IAM:User:AccessKey2.lastUsedDate Date
    AWS:IAM:User:AccessKey2.lastUsedRegion String
    AWS:IAM:User:AccessKey2.lastUsedService String
    AWS:IAM:User:Certificate1.active Boolean
    AWS:IAM:User:Certificate1.lastRotated Date
    AWS:IAM:User:Certificate2.active Boolean
    AWS:IAM:User:Certificate2.lastRotated Date
    AWS:IAM:User:CreationTime Date
    AWS:IAM:User:LoginProfile.active Boolean
    AWS:IAM:User:MfaEnabled Boolean
    AWS:IAM:User:PasswordEnabled Boolean
    AWS:IAM:User:PasswordLastChanged String
    AWS:IAM:User:PasswordLastUsed Date
    AWS:IAM:User:PasswordNextRotation String

    Stocker des objets AWS

    Gouvernance de configuration cloud utilise les éléments suivants pour collecter la clé de configuration pour les clés de configuration de l'utilisateur AWS IAM :

    • Collecteur de configurations : collecteur de mesures de chiffrement S3 AWS
    • Collecteur de ressources : collecteur de ressources AWS S3
    • API dans le cloud utilisée : Action : ListBuckets et GetBucketEncryption sur le service S3
    • Autorisations dans le cloud : s3:ListBucket et s3:GetEncryptionConfiguration
    Tableau 3. Clés de configuration de stockage d'objets AWS
    Clé de configuration Type de données
    AWS:S3:Encryption:BucketKeyEnabled Boolean
    AWS:S3:Encryption:KMSMasterKeyID String
    AWS:S3:Encryption:ServerSideEncryptionEnabled Boolean
    AWS:S3:Encryption:SSEAlgorithm String
    • Collecteur de configurations : collecteur de mesures d'autorisation ACL S3 AWS
    • Collecteur de ressources : collecteur de ressources AWS S3
    • API dans le cloud utilisée : Action : GetBucketAcl
    • Autorisation dans le cloud : s3:GetBucketAcl
    Tableau 4. Clés de configuration de stockage d'objets AWS
    Clé de configuration Type de données
    AWS:S3:ACL:AuthnUsersListing Boolean
    AWS:S3:ACL:AuthnUsersReadACL Boolean
    AWS:S3:ACL:AuthnUsersWrite Boolean
    AWS:S3:ACL:AuthnUsersWriteACL Boolean
    AWS:S3:ACL:OwnerFullControl Boolean
    AWS:S3:ACL:OwnerId String
    AWS:S3:ACL:OwnerListing Boolean
    AWS:S3:ACL:OwnerName String
    AWS:S3:ACL:OwnerReadACL Boolean
    AWS:S3:ACL:OwnerWrite Boolean
    AWS:S3:ACL:OwnerWriteACL Boolean
    AWS:S3:ACL:PublicListing Boolean
    AWS:S3:ACL:PublicReadACL Boolean
    AWS:S3:ACL:PublicWrite Boolean
    AWS:S3:ACL:PublicWriteACL Boolean

    Instance d'ordinateur virtuel AWS

    Gouvernance de configuration cloud utilise les éléments suivants pour collecter la clé de configuration pour les clés de configuration de l'instance d'ordinateur virtuel AWS :

    • Collecteur de ressources : collecteur de données d'ordinateur virtuel AWS
    • API dans le cloud utilisée : Action : DescribeInstances et AWS EC2 resource
    • Autorisation dans le cloud : ec2:DescribeInstances
    Tableau 5. Clés de configuration d'instance d'ordinateur virtuel AWS
    Clé de configuration Type de données
    AWS:EC2:VM:CapacityReservationPreference String
    AWS:EC2:VM:CpuOptionsCoreCount Numeric
    AWS:EC2:VM:CpuOptionsThreadsPerCore Numeric
    AWS:EC2:VM:EbsOptimized Boolean
    AWS:EC2:VM:HardwareType String
    AWS:EC2:VM:ImageId String
    AWS:EC2:VM:InstanceState String
    AWS:EC2:VM:KeyName String
    AWS:EC2:VM:LaunchTime Date
    AWS:EC2:VM:MonitoringState String
    AWS:EC2:VM:Platform String
    AWS:EC2:VM:PrivateDnsName String
    AWS:EC2:VM:PrivateIpAddress String
    AWS:EC2:VM:PublicDnsName String
    AWS:EC2:VM:PublicIPAddress String
    AWS:EC2:VM:SecurityGroups String
    AWS:EC2:VM:SubnetId String
    AWS:EC2:VM:Tags Map
    AWS:EC2:VM:UsageOperation String
    AWS:EC2:VM:VpcId String

    Profil AWS avec des autorisations minimales

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GenerateCredentialReport",
                "s3:GetEncryptionConfiguration",
                "ec2:DescribeInstances",
                "s3:ListBucketVersions",
                "ec2:DescribeRegions",
                "s3:ListBucket",
                "iam:GetCredentialReport"
            ],
            "Resource": "*"
        }
    ]
}

    Instance d'ordinateur virtuel Microsoft Azure

    Gouvernance de configuration cloud utilise les éléments suivants pour collecter les clés de configuration de l'instance d'ordinateur virtuel Azure :

    • Collecteur de ressources : collecteur de données d'ordinateur virtuel Azure
    • API dans le cloud utilisée : Microsoft.ResourceGraph/resources
    • Autorisation dans le cloud : Microsoft.ResourceGraph/resources
    Tableau 6. Clés de configuration d'instance d'ordinateur virtuel Azure
    Clé de configuration Type de données
    Azure:VM:HardwareType String
    Azure:VM:NICID String
    Azure:VM:OSDiskCaching String
    Azure:VM:OSDiskCreateoption String
    Azure:VM:OSDiskDeleteoption String
    Azure:VM:OSDiskId String
    Azure:VM:OSDiskName String
    Azure:VM:OSDiskOSType String
    Azure:VM:OSDiskSizeGB String
    Azure:VM:OSProfileAllowExtensionOperations Boolean
    Azure:VM:OSProfileComputerName String
    Azure:VM:OSProfileLinuxConfigurationDisablePasswordAuthentication Boolean
    Azure:VM:OSProfileLinuxConfigurationPatchSettingsAssessmentMode String
    Azure:VM:OSProfileLinuxConfigurationPatchSettingsPatchMode String
    Azure:VM:OSProfileLinuxConfigurationProvisionVmAgent Boolean
    Azure:VM:OSProfileLinuxConfigurationSSHKeyData Map
    Azure:VM:OSProfileLinuxConfigurationSSHPath Map
    Azure:VM:OSProfileRequireGuestProvisionSignal Boolean
    Azure:VM:OSWindowsConfigurationEnableAutomaticUpdates Boolean
    Azure:VM:OSWindowsConfigurationPatchSettingsAssessmentMode String
    Azure:VM:OSWindowsConfigurationPatchSettingsEnableHotpatching Boolean
    Azure:VM:OSWindowsConfigurationPatchSettingsPatchMode String
    Azure:VM:OSWindowsConfigurationProvisionVMAgent Boolean
    Azure:VM:PowerState String
    Azure:VM:ProvisioningState String
    Azure:VM:ResourceGroup String
    Azure:VM:StorageProfileDataDisksCaching String
    Azure:VM:StorageProfileDataDisksCreateOption String
    Azure:VM:StorageProfileDataDisksDeleteOption String
    Azure:VM:StorageProfileDataDisksDetachOption String
    Azure:VM:StorageProfileDataDisksDiskIopsReadWrite String
    Azure:VM:StorageProfileDataDisksDiskMBpsReadWrite String
    Azure:VM:StorageProfileDataDisksDiskSizeGb Numeric
    Azure:VM:StorageProfileDataDisksImage String
    Azure:VM:StorageProfileDataDisksLun Numeric
    Azure:VM:StorageProfileDataDisksManagedDiskDiskEncryptionSet String
    Azure:VM:StorageProfileDataDisksManagedDiskId String
    Azure:VM:StorageProfileDataDisksManagedDiskResourceGroup String
    Azure:VM:StorageProfileDataDisksManagedDiskStorageAccountType String
    Azure:VM:StorageProfileDataDisksManagedStorageAccountType String
    Azure:VM:StorageProfileDataDisksName String
    Azure:VM:StorageProfileDataDisksToBeDetached Boolean
    Azure:VM:StorageProfileDataDisksVhd String
    Azure:VM:StorageProfileDataDisksWriteAcceleratorEnabled Boolean
    Azure:VM:StorageProfileImageReferenceExactVersion String
    Azure:VM:StorageProfileImageReferenceId String
    Azure:VM:StorageProfileImageReferenceOffer String
    Azure:VM:StorageProfileImageReferencePublisher String
    Azure:VM:StorageProfileImageReferenceSharedGalleryImageId String
    Azure:VM:StorageProfileImageReferenceSku String
    Azure:VM:StorageProfileImageReferenceVersion String
    Azure:VM:Tags Map
    Azure:VM:VMId String
    • Collecteur de ressources : collecteur de données d'ordinateur virtuel Azure
    • Collecteur de configurations : collecteur de mesures d'ordinateur virtuel Azure
    • API dans le cloud utilisée : Microsoft.ResourceGraph/resources
    • Autorisation dans le cloud : Microsoft.ResourceGraph/resources
    Tableau 7. Clés de configuration d'instance d'ordinateur virtuel Azure
    Clé de configuration Type de données
    Azure:VM:PublicIPAddress String
    Azure:VM:PublicIPId String
    • Collecteur de ressources : collecteur de données d'ordinateur virtuel Azure
    • Collecteur de configurations : collecteur de mesures de surveillance d'ordinateur virtuel Azure
    • API dans le cloud utilisée : Microsoft.Compute/virtualMachines/{vmName}/instanceView
    • Autorisation dans le cloud : Microsoft.Compute/virtualMachines/{vmName}/instanceView
    Tableau 8. Clés de configuration d'instance d'ordinateur virtuel Azure
    Clé de configuration Type de données
    Azure:VM:MonitoringState String
    Remarque :
    utilisez scope=https://graph.microsoft.com/.default et scope=https://management.azure.com/.default afin d'extraire le jeton oAuth pour les ressources Azure.

    Profil Azure avec des autorisations minimales

    {
    "properties": {
        "roleName": "CCGAzureMinimalPermission",
        "description": "Grants access to scan compute resources from azure subscription",
        "assignableScopes": [
            "/subscriptions/${subscription_id}"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.ResourceGraph/resources/read",
                    "Microsoft.Compute/virtualMachines/instanceView/read"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}