Permissões de nuvem necessárias para coletar o sistema de base Governança de configuração de nuvemchaves de configuração

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

4 min. de leitura

. Governança de configuração de nuvemrequer permissões de nuvem apropriadas para coletar as chaves de configuração do sistema base da nuvem. Portanto, você deve definir as permissões apropriadas na nuvem para atender às necessidades da sua organização.

Nota:

Começando com Governança de configuração de nuvemversão 1,3.7, os conteúdos do sistema base são movidos para Pacote de conteúdo CCG. Instale o. Pacote de conteúdo CCGpara acessar o sistema base Governança de configuração de nuvemconteúdo.

Amazon Web Services( AWSdatacenter

Governança de configuração de nuvemusa os itens a seguir para coletar a chave de configuração do AWSchaves de configuração do datacenter:

Coletor de recursos: Conta de serviço em nuvem
Cloud API usada: Ação: DescriçãoRegiões
Permissão de nuvem: ec2: DescribeRegions

Tabela 1. Chaves de configuração do datacenter da AWS
Chave de configuração	Tipo de dados
AWS:EC2:VM:DescribeRegions	String

AWS Usuários da Gestão de identidade e acesso (IAM)

Governança de configuração de nuvemusa os itens a seguir para coletar a chave de configuração do AWSChaves de configuração do usuário do IAM:

Coletor de recursos: AWSColetor de dados do usuário do IAM
Nuvem API usada:
- Ação: GetCredentialReport e. GenerateCredentialReport
- Serviço: AWS IAM service
Permissão de nuvem: Iam:GetCredentialReporte. Iam:GenerateCredentialReport

Tabela 2. Chaves de configuração do usuário do AWS IAM
Chave de configuração	Tipo de dados
AWS:IAM:Policy:ARN	String
AWS:IAM:Policy:AttachmentCount	String
AWS:IAM:Policy:CreateDate	String
AWS:IAM:Policy:PolicyName	String
AWS:IAM:Policy:UpdateDate	String
AWS:IAM:User:AccessKey1.active	Boolean
AWS:IAM:User:AccessKey1.lastRotated	Date
AWS:IAM:User:AccessKey1.lastUsedDate	Date
AWS:IAM:User:AccessKey1.lastUsedRegion	String
AWS:IAM:User:AccessKey1.lastUsedService	String
AWS:IAM:User:AccessKey2.active	Boolean
AWS:IAM:User:AccessKey2.lastRotated	Date
AWS:IAM:User:AccessKey2.lastUsedDate	Date
AWS:IAM:User:AccessKey2.lastUsedRegion	String
AWS:IAM:User:AccessKey2.lastUsedService	String
AWS:IAM:User:Certificate1.active	Boolean
AWS:IAM:User:Certificate1.lastRotated	Date
AWS:IAM:User:Certificate2.active	Boolean
AWS:IAM:User:Certificate2.lastRotated	Date
AWS:IAM:User:CreationTime	Date
AWS:IAM:User:LoginProfile.active	Boolean
AWS:IAM:User:MfaEnabled	Boolean
AWS:IAM:User:PasswordEnabled	Boolean
AWS:IAM:User:PasswordLastChanged	String
AWS:IAM:User:PasswordLastUsed	Date
AWS:IAM:User:PasswordNextRotation	String

AWS armazenamento de objetos

Governança de configuração de nuvemusa os itens a seguir para coletar a chave de configuração do AWSChaves de configuração do usuário do IAM:

Coletor de configuração: AWSColetor de métricas de criptografia do S3
Coletor de recursos: AWSColetor de recursos do S3
Cloud API usada: Ação: ListBuckets e. GetBucketEncryption No serviço S3
Permissão de nuvem: s3:ListBuckete. s3:GetEncryptionConfiguration

Tabela 3. AWS chaves de configuração de armazenamento de objetos
Chave de configuração	Tipo de dados
AWS:S3:Encryption:BucketKeyEnabled	Boolean
AWS:S3:Encryption:KMSMasterKeyID	String
AWS:S3:Encryption:ServerSideEncryptionEnabled	Boolean
AWS:S3:Encryption:SSEAlgorithm	String

Coletor de configuração: AWSColetor de métricas de permissão de ACL do S3
Coletor de recursos: AWSColetor de recursos do S3
Cloud API usada: Ação: ObtBucketAcl
Permissão de nuvem: s3:GetBucketAcl

Tabela 4. AWS chaves de configuração de armazenamento de objetos
Chave de configuração	Tipo de dados
AWS:S3:ACL:AuthnUsersListing	Boolean
AWS:S3:ACL:AuthnUsersReadACL	Boolean
AWS:S3:ACL:AuthnUsersWrite	Boolean
AWS:S3:ACL:AuthnUsersWriteACL	Boolean
AWS:S3:ACL:OwnerFullControl	Boolean
AWS:S3:ACL:OwnerId	String
AWS:S3:ACL:OwnerListing	Boolean
AWS:S3:ACL:OwnerName	String
AWS:S3:ACL:OwnerReadACL	Boolean
AWS:S3:ACL:OwnerWrite	Boolean
AWS:S3:ACL:OwnerWriteACL	Boolean
AWS:S3:ACL:PublicListing	Boolean
AWS:S3:ACL:PublicReadACL	Boolean
AWS:S3:ACL:PublicWrite	Boolean
AWS:S3:ACL:PublicWriteACL	Boolean

AWS instância de máquina virtual

Governança de configuração de nuvemusa os itens a seguir para coletar a chave de configuração do AWSchaves de configuração da instância da máquina virtual:

Coletor de recursos: AWSColetor de dados de VM
Cloud API usada: Ação: DescriçãoInstâncias e. AWS EC2
Permissão de nuvem: ec2:DescribeInstances

Tabela 5. AWS chaves de configuração da instância da máquina virtual
Chave de configuração	Tipo de dados
AWS:EC2:VM:CapacityReservationPreference	String
AWS:EC2:VM:CpuOptionsCoreCount	Numeric
AWS:EC2:VM:CpuOptionsThreadsPerCore	Numeric
AWS:EC2:VM:EbsOptimized	Boolean
AWS:EC2:VM:HardwareType	String
AWS:EC2:VM:ImageId	String
AWS:EC2:VM:InstanceState	String
AWS:EC2:VM:KeyName	String
AWS:EC2:VM:LaunchTime	Date
AWS:EC2:VM:MonitoringState	String
AWS:EC2:VM:Platform	String
AWS:EC2:VM:PrivateDnsName	String
AWS:EC2:VM:PrivateIpAddress	String
AWS:EC2:VM:PublicDnsName	String
AWS:EC2:VM:PublicIPAddress	String
AWS:EC2:VM:SecurityGroups	String
AWS:EC2:VM:SubnetId	String
AWS:EC2:VM:Tags	Map
AWS:EC2:VM:UsageOperation	String
AWS:EC2:VM:VpcId	String

AWS perfil com permissões mínimas

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GenerateCredentialReport",
                "s3:GetEncryptionConfiguration",
                "ec2:DescribeInstances",
                "s3:ListBucketVersions",
                "ec2:DescribeRegions",
                "s3:ListBucket",
                "iam:GetCredentialReport"
            ],
            "Resource": "*"
        }
    ]
}

Microsoft Azure instância de máquina virtual

Governança de configuração de nuvemusa os seguintes itens para coletar o. Azurechaves de configuração da instância da máquina virtual:

Coletor de recursos: AzureColetor de dados de VM
Nuvem API usada: Microsoft.ResourceGraph/Resources
Permissão de nuvem: Microsoft.ResourceGraph/resources

Tabela 6. Azure chaves de configuração da instância da máquina virtual
Chave de configuração	Tipo de dados
Azure:VM:HardwareType	String
Azure:VM:NICID	String
Azure:VM:OSDiskCaching	String
Azure:VM:OSDiskCreateoption	String
Azure:VM:OSDiskDeleteoption	String
Azure:VM:OSDiskId	String
Azure:VM:OSDiskName	String
Azure:VM:OSDiskOSType	String
Azure:VM:OSDiskSizeGB	String
Azure:VM:OSProfileAllowExtensionOperations	Boolean
Azure:VM:OSProfileComputerName	String
Azure:VM:OSProfileLinuxConfigurationDisablePasswordAuthentication	Boolean
Azure:VM:OSProfileLinuxConfigurationPatchSettingsAssessmentMode	String
Azure:VM:OSProfileLinuxConfigurationPatchSettingsPatchMode	String
Azure:VM:OSProfileLinuxConfigurationProvisionVmAgent	Boolean
Azure:VM:OSProfileLinuxConfigurationSSHKeyData	Map
Azure:VM:OSProfileLinuxConfigurationSSHPath	Map
Azure:VM:OSProfileRequireGuestProvisionSignal	Boolean
Azure:VM:OSWindowsConfigurationEnableAutomaticUpdates	Boolean
Azure:VM:OSWindowsConfigurationPatchSettingsAssessmentMode	String
Azure:VM:OSWindowsConfigurationPatchSettingsEnableHotpatching	Boolean
Azure:VM:OSWindowsConfigurationPatchSettingsPatchMode	String
Azure:VM:OSWindowsConfigurationProvisionVMAgent	Boolean
Azure:VM:PowerState	String
Azure:VM:ProvisioningState	String
Azure:VM:ResourceGroup	String
Azure:VM:StorageProfileDataDisksCaching	String
Azure:VM:StorageProfileDataDisksCreateOption	String
Azure:VM:StorageProfileDataDisksDeleteOption	String
Azure:VM:StorageProfileDataDisksDetachOption	String
Azure:VM:StorageProfileDataDisksDiskIopsReadWrite	String
Azure:VM:StorageProfileDataDisksDiskMBpsReadWrite	String
Azure:VM:StorageProfileDataDisksDiskSizeGb	Numeric
Azure:VM:StorageProfileDataDisksImage	String
Azure:VM:StorageProfileDataDisksLun	Numeric
Azure:VM:StorageProfileDataDisksManagedDiskDiskEncryptionSet	String
Azure:VM:StorageProfileDataDisksManagedDiskId	String
Azure:VM:StorageProfileDataDisksManagedDiskResourceGroup	String
Azure:VM:StorageProfileDataDisksManagedDiskStorageAccountType	String
Azure:VM:StorageProfileDataDisksManagedStorageAccountType	String
Azure:VM:StorageProfileDataDisksName	String
Azure:VM:StorageProfileDataDisksToBeDetached	Boolean
Azure:VM:StorageProfileDataDisksVhd	String
Azure:VM:StorageProfileDataDisksWriteAcceleratorEnabled	Boolean
Azure:VM:StorageProfileImageReferenceExactVersion	String
Azure:VM:StorageProfileImageReferenceId	String
Azure:VM:StorageProfileImageReferenceOffer	String
Azure:VM:StorageProfileImageReferencePublisher	String
Azure:VM:StorageProfileImageReferenceSharedGalleryImageId	String
Azure:VM:StorageProfileImageReferenceSku	String
Azure:VM:StorageProfileImageReferenceVersion	String
Azure:VM:Tags	Map
Azure:VM:VMId	String

Coletor de recursos: AzureColetor de dados de VM
Coletor de configuração: AzureColetor de métricas de VM
Nuvem API usada: Microsoft.ResourceGraph/Resources
Permissão de nuvem: Microsoft.ResourceGraph/resources

Tabela 7. Azure chaves de configuração da instância da máquina virtual
Chave de configuração	Tipo de dados
Azure:VM:PublicIPAddress	String
Azure:VM:PublicIPId	String

Coletor de recursos: AzureColetor de dados de VM
Coletor de configuração: AzureColetor de métricas de monitoramento de VM
Nuvem API usada: Microsoft.Compute/virtualMachines/{vmName}/instanceView
Permissão de nuvem: Microsoft.Compute/virtualMachines/{vmName}/instanceView

Tabela 8. Chaves de configuração da instância da máquina virtual do Azure
Chave de configuração	Tipo de dados
Azure:VM:MonitoringState	String

Nota:

Uso scope=https://graph.microsoft.com/.defaulte. scope=https://management.azure.com/.defaultPara buscar o token OAuth para os recursos do Azure.

Azure perfil com permissões mínimas

{
    "properties": {
        "roleName": "CCGAzureMinimalPermission",
        "description": "Grants access to scan compute resources from azure subscription",
        "assignableScopes": [
            "/subscriptions/${subscription_id}"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.ResourceGraph/resources/read",
                    "Microsoft.Compute/virtualMachines/instanceView/read"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}