Autorisations dans le cloud requises pour collecter les clés de configuration Gouvernance de configuration cloud du système de base

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Gouvernance de configuration cloud nécessite des autorisations dans le cloud appropriées pour collecter les clés de configuration du système de base dans le cloud. Par conséquent, vous devez définir les autorisations appropriées dans le cloud pour répondre aux besoins de votre organisation.

    Remarque :
    Gouvernance de configuration cloud À partir de la version 1.3.7, le contenu du système de base est déplacé vers le Pack de contenu CCG fichier . Installez le Pack de contenu CCG pour accéder au contenu du système Gouvernance de configuration cloud de base.

    Amazon Web Services (AWS) centre de données

    Gouvernance de configuration cloud utilise les éléments suivants pour collecter la clé de configuration pour les AWS clés de configuration du centre de données :

    • Collecteur de ressources : compte de services dans le cloud
    • API dans le cloud utilisée : Action : DescribeRegions
    • Autorisation dans le cloud : ec2: DescribeRegions
    Tableau 1. Clés de configuration du centre de données AWS
    Clé de configuration Type de données
    AWS:EC2:VM:DescribeRegions String

    AWS Utilisateurs de Gestion des identités et des accès (IAM)

    Gouvernance de configuration cloud utilise les éléments suivants pour collecter la clé de configuration pour les clés de configuration de l’utilisateur AWS IAM :

    • Collecteur de ressources : AWS collecteur de données utilisateur IAM
    • API dans le cloud utilisée :
      • Action : GetCredentialReport et GenerateCredentialReport
      • Service après-vente : AWS IAM service
    • Autorisation cloud : Iam:GetCredentialReport et Iam:GenerateCredentialReport
    Tableau 2. Clés de configuration de l’utilisateur AWS IAM
    Clé de configuration Type de données
    AWS:IAM:Policy:ARN String
    AWS:IAM:Policy:AttachmentCount String
    AWS:IAM:Policy:CreateDate String
    AWS:IAM:Policy:PolicyName String
    AWS:IAM:Policy:UpdateDate String
    AWS:IAM:User:AccessKey1.active Boolean
    AWS:IAM:User:AccessKey1.lastRotated Date
    AWS:IAM:User:AccessKey1.lastUsedDate Date
    AWS:IAM:User:AccessKey1.lastUsedRegion String
    AWS:IAM:User:AccessKey1.lastUsedService String
    AWS:IAM:User:AccessKey2.active Boolean
    AWS:IAM:User:AccessKey2.lastRotated Date
    AWS:IAM:User:AccessKey2.lastUsedDate Date
    AWS:IAM:User:AccessKey2.lastUsedRegion String
    AWS:IAM:User:AccessKey2.lastUsedService String
    AWS:IAM:User:Certificate1.active Boolean
    AWS:IAM:User:Certificate1.lastRotated Date
    AWS:IAM:User:Certificate2.active Boolean
    AWS:IAM:User:Certificate2.lastRotated Date
    AWS:IAM:User:CreationTime Date
    AWS:IAM:User:LoginProfile.active Boolean
    AWS:IAM:User:MfaEnabled Boolean
    AWS:IAM:User:PasswordEnabled Boolean
    AWS:IAM:User:PasswordLastChanged String
    AWS:IAM:User:PasswordLastUsed Date
    AWS:IAM:User:PasswordNextRotation String

    AWS Stockage d’objets

    Gouvernance de configuration cloud utilise les éléments suivants pour collecter la clé de configuration pour les clés de configuration de l’utilisateur AWS IAM :

    • Collecteur de configuration : AWS collecteur de mesures de chiffrement S3
    • Collecteur de ressources : AWS collecteur de ressources S3
    • API cloud utilisée : Action : ListBuckets et GetBucketEncryption sur le service S3
    • Autorisation cloud : s3:ListBucket et s3:GetEncryptionConfiguration
    Tableau 3. AWS Clés de configuration du stockage des objets
    Clé de configuration Type de données
    AWS:S3:Encryption:BucketKeyEnabled Boolean
    AWS:S3:Encryption:KMSMasterKeyID String
    AWS:S3:Encryption:ServerSideEncryptionEnabled Boolean
    AWS:S3:Encryption:SSEAlgorithm String
    • Collecteur de configuration : AWS collecteur de mesures des autorisations ACL S3
    • Collecteur de ressources : AWS collecteur de ressources S3
    • API dans le cloud utilisée : Action : GetBucketAcl
    • Autorisation dans le cloud : s3:GetBucketAcl
    Tableau 4. AWS Clés de configuration du stockage des objets
    Clé de configuration Type de données
    AWS:S3:ACL:AuthnUsersListing Boolean
    AWS:S3:ACL:AuthnUsersReadACL Boolean
    AWS:S3:ACL:AuthnUsersWrite Boolean
    AWS:S3:ACL:AuthnUsersWriteACL Boolean
    AWS:S3:ACL:OwnerFullControl Boolean
    AWS:S3:ACL:OwnerId String
    AWS:S3:ACL:OwnerListing Boolean
    AWS:S3:ACL:OwnerName String
    AWS:S3:ACL:OwnerReadACL Boolean
    AWS:S3:ACL:OwnerWrite Boolean
    AWS:S3:ACL:OwnerWriteACL Boolean
    AWS:S3:ACL:PublicListing Boolean
    AWS:S3:ACL:PublicReadACL Boolean
    AWS:S3:ACL:PublicWrite Boolean
    AWS:S3:ACL:PublicWriteACL Boolean

    AWS Instance d’ordinateur virtuel

    Gouvernance de configuration cloud utilise les éléments suivants pour collecter la clé de configuration pour les clés de configuration de l’instance d’ordinateur AWS virtuel :

    • Collecteur de ressources : AWS collecteur de données d’ordinateur virtuel
    • API cloud utilisée : action : ressource DescribeInstances et AWS EC2
    • Autorisation dans le cloud : ec2:DescribeInstances
    Tableau 5. AWS Clés de configuration d’instances d’ordinateurs virtuels
    Clé de configuration Type de données
    AWS:EC2:VM:CapacityReservationPreference String
    AWS:EC2:VM:CpuOptionsCoreCount Numeric
    AWS:EC2:VM:CpuOptionsThreadsPerCore Numeric
    AWS:EC2:VM:EbsOptimized Boolean
    AWS:EC2:VM:HardwareType String
    AWS:EC2:VM:ImageId String
    AWS:EC2:VM:InstanceState String
    AWS:EC2:VM:KeyName String
    AWS:EC2:VM:LaunchTime Date
    AWS:EC2:VM:MonitoringState String
    AWS:EC2:VM:Platform String
    AWS:EC2:VM:PrivateDnsName String
    AWS:EC2:VM:PrivateIpAddress String
    AWS:EC2:VM:PublicDnsName String
    AWS:EC2:VM:PublicIPAddress String
    AWS:EC2:VM:SecurityGroups String
    AWS:EC2:VM:SubnetId String
    AWS:EC2:VM:Tags Map
    AWS:EC2:VM:UsageOperation String
    AWS:EC2:VM:VpcId String

    AWS Profil avec des autorisations minimales

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GenerateCredentialReport",
                "s3:GetEncryptionConfiguration",
                "ec2:DescribeInstances",
                "s3:ListBucketVersions",
                "ec2:DescribeRegions",
                "s3:ListBucket",
                "iam:GetCredentialReport"
            ],
            "Resource": "*"
        }
    ]
}

    Microsoft Azure Instance d’ordinateur virtuel

    Gouvernance de configuration cloud utilise les éléments suivants pour collecter les clés de configuration de l’instance d’ordinateur Azure virtuel :

    • Collecteur de ressources : Azure collecteur de données d’ordinateur virtuel
    • API cloud utilisée : Microsoft.ResourceGraph/resources
    • Autorisation dans le cloud : Microsoft.ResourceGraph/resources
    Tableau 6. Azure Clés de configuration d’instances d’ordinateurs virtuels
    Clé de configuration Type de données
    Azure:VM:HardwareType String
    Azure:VM:NICID String
    Azure:VM:OSDiskCaching String
    Azure:VM:OSDiskCreateoption String
    Azure:VM:OSDiskDeleteoption String
    Azure:VM:OSDiskId String
    Azure:VM:OSDiskName String
    Azure:VM:OSDiskOSType String
    Azure:VM:OSDiskSizeGB String
    Azure:VM:OSProfileAllowExtensionOperations Boolean
    Azure:VM:OSProfileComputerName String
    Azure:VM:OSProfileLinuxConfigurationDisablePasswordAuthentication Boolean
    Azure:VM:OSProfileLinuxConfigurationPatchSettingsAssessmentMode String
    Azure:VM:OSProfileLinuxConfigurationPatchSettingsPatchMode String
    Azure:VM:OSProfileLinuxConfigurationProvisionVmAgent Boolean
    Azure:VM:OSProfileLinuxConfigurationSSHKeyData Map
    Azure:VM:OSProfileLinuxConfigurationSSHPath Map
    Azure:VM:OSProfileRequireGuestProvisionSignal Boolean
    Azure:VM:OSWindowsConfigurationEnableAutomaticUpdates Boolean
    Azure:VM:OSWindowsConfigurationPatchSettingsAssessmentMode String
    Azure:VM:OSWindowsConfigurationPatchSettingsEnableHotpatching Boolean
    Azure:VM:OSWindowsConfigurationPatchSettingsPatchMode String
    Azure:VM:OSWindowsConfigurationProvisionVMAgent Boolean
    Azure:VM:PowerState String
    Azure:VM:ProvisioningState String
    Azure:VM:ResourceGroup String
    Azure:VM:StorageProfileDataDisksCaching String
    Azure:VM:StorageProfileDataDisksCreateOption String
    Azure:VM:StorageProfileDataDisksDeleteOption String
    Azure:VM:StorageProfileDataDisksDetachOption String
    Azure:VM:StorageProfileDataDisksDiskIopsReadWrite String
    Azure:VM:StorageProfileDataDisksDiskMBpsReadWrite String
    Azure:VM:StorageProfileDataDisksDiskSizeGb Numeric
    Azure:VM:StorageProfileDataDisksImage String
    Azure:VM:StorageProfileDataDisksLun Numeric
    Azure:VM:StorageProfileDataDisksManagedDiskDiskEncryptionSet String
    Azure:VM:StorageProfileDataDisksManagedDiskId String
    Azure:VM:StorageProfileDataDisksManagedDiskResourceGroup String
    Azure:VM:StorageProfileDataDisksManagedDiskStorageAccountType String
    Azure:VM:StorageProfileDataDisksManagedStorageAccountType String
    Azure:VM:StorageProfileDataDisksName String
    Azure:VM:StorageProfileDataDisksToBeDetached Boolean
    Azure:VM:StorageProfileDataDisksVhd String
    Azure:VM:StorageProfileDataDisksWriteAcceleratorEnabled Boolean
    Azure:VM:StorageProfileImageReferenceExactVersion String
    Azure:VM:StorageProfileImageReferenceId String
    Azure:VM:StorageProfileImageReferenceOffer String
    Azure:VM:StorageProfileImageReferencePublisher String
    Azure:VM:StorageProfileImageReferenceSharedGalleryImageId String
    Azure:VM:StorageProfileImageReferenceSku String
    Azure:VM:StorageProfileImageReferenceVersion String
    Azure:VM:Tags Map
    Azure:VM:VMId String
    • Collecteur de ressources : Azure collecteur de données d’ordinateur virtuel
    • Collecteur de configuration : Azure collecteur de mesures d’ordinateur virtuel
    • API cloud utilisée : Microsoft.ResourceGraph/resources
    • Autorisation dans le cloud : Microsoft.ResourceGraph/resources
    Tableau 7. Azure Clés de configuration d’instances d’ordinateurs virtuels
    Clé de configuration Type de données
    Azure:VM:PublicIPAddress String
    Azure:VM:PublicIPId String
    • Collecteur de ressources : Azure collecteur de données d’ordinateur virtuel
    • Collecteur de configuration : Azure collecteur de mesures de surveillance d’ordinateur virtuel
    • API cloud utilisée : Microsoft.Compute/virtualMachines/{vmName}/instanceView
    • Autorisation dans le cloud : Microsoft.Compute/virtualMachines/{vmName}/instanceView
    Tableau 8. Clés de configuration de l’instance d’ordinateur virtuel Azure
    Clé de configuration Type de données
    Azure:VM:MonitoringState String
    Remarque :
    Utilisez scope=https://graph.microsoft.com/.default et scope=https://management.azure.com/.default pour extraire le jeton OAuth pour les ressources Azure.

    Azure Profil avec des autorisations minimales

    {
    "properties": {
        "roleName": "CCGAzureMinimalPermission",
        "description": "Grants access to scan compute resources from azure subscription",
        "assignableScopes": [
            "/subscriptions/${subscription_id}"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.ResourceGraph/resources/read",
                    "Microsoft.Compute/virtualMachines/instanceView/read"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}