Obtenha permissão de nuvem para coletar chaves de configuração CCG do sistema de base

Zurich IT Operations Management

Release

zurich

ft:locale

pt-BR

ft:publication_title

Zurich IT Operations Management

ft:clusterId

itom

bundleId

itom

workflow

Technology

Permissões de nuvem necessárias para coletar o sistema de base Governança de configuração de nuvem chaves de configuração

Versão de lançamento: Zurich

Atualizado 31 de jul. de 2025

4 min. de leitura

. Governança de configuração de nuvem requer permissões de nuvem apropriadas para coletar as chaves de configuração do sistema de base da nuvem. Portanto, você deve definir as permissões apropriadas na nuvem para atender às necessidades da sua organização.

Nota:

Começando com Governança de configuração de nuvem versão 1,3.7, o conteúdo do sistema de base é movido para Pacote de conteúdo CCG. Instale o. Pacote de conteúdo CCG para acessar o sistema de base Governança de configuração de nuvem conteúdo.

Amazon Web Services( AWS datacenter

Governança de configuração de nuvem usa os itens a seguir para coletar a chave de configuração do AWS chaves de configuração do datacenter:

Coletor de recursos: Conta de serviço em nuvem
Cloud API usada: Ação: DescribeRegiões
Permissão de nuvem: ec2: DescribeRegions

Tabela 1. Chaves de configuração do datacenter da AWS
Chave de configuração	Tipo de dados
AWS:EC2:VM:DescribeRegions	String

AWS Usuários do Identity and Access Management (IAM)

Governança de configuração de nuvem usa os itens a seguir para coletar a chave de configuração do AWS Chaves de configuração do usuário do IAM:

Coletor de recursos: AWS Coletor de dados do usuário do IAM
Cloud API usada:
- Ação: ObCredentialReport e. GenerateCredentialReport
- Serviço: AWS IAM service
Permissão de nuvem: Iam:GetCredentialReporte. Iam:GenerateCredentialReport

Tabela 2. Chaves de configuração do usuário do AWS IAM
Chave de configuração	Tipo de dados
AWS:IAM:Policy:ARN	String
AWS:IAM:Policy:AttachmentCount	String
AWS:IAM:Policy:CreateDate	String
AWS:IAM:Policy:PolicyName	String
AWS:IAM:Policy:UpdateDate	String
AWS:IAM:User:AccessKey1.active	Boolean
AWS:IAM:User:AccessKey1.lastRotated	Date
AWS:IAM:User:AccessKey1.lastUsedDate	Date
AWS:IAM:User:AccessKey1.lastUsedRegion	String
AWS:IAM:User:AccessKey1.lastUsedService	String
AWS:IAM:User:AccessKey2.active	Boolean
AWS:IAM:User:AccessKey2.lastRotated	Date
AWS:IAM:User:AccessKey2.lastUsedDate	Date
AWS:IAM:User:AccessKey2.lastUsedRegion	String
AWS:IAM:User:AccessKey2.lastUsedService	String
AWS:IAM:User:Certificate1.active	Boolean
AWS:IAM:User:Certificate1.lastRotated	Date
AWS:IAM:User:Certificate2.active	Boolean
AWS:IAM:User:Certificate2.lastRotated	Date
AWS:IAM:User:CreationTime	Date
AWS:IAM:User:LoginProfile.active	Boolean
AWS:IAM:User:MfaEnabled	Boolean
AWS:IAM:User:PasswordEnabled	Boolean
AWS:IAM:User:PasswordLastChanged	String
AWS:IAM:User:PasswordLastUsed	Date
AWS:IAM:User:PasswordNextRotation	String

AWS armazenamento de objetos

Governança de configuração de nuvem usa os itens a seguir para coletar a chave de configuração do AWS Chaves de configuração do usuário do IAM:

Coletor de configuração: AWS Coletor de métricas de criptografia do S3
Coletor de recursos: AWS Coletor de recursos do S3
Cloud API usada: Ação: ListBuckets e. GetBucketEncryption No serviço S3
Permissão de nuvem: s3:ListBuckete. s3:GetEncryptionConfiguration

Tabela 3. AWS chaves de configuração de armazenamento de objetos
Chave de configuração	Tipo de dados
AWS:S3:Encryption:BucketKeyEnabled	Boolean
AWS:S3:Encryption:KMSMasterKeyID	String
AWS:S3:Encryption:ServerSideEncryptionEnabled	Boolean
AWS:S3:Encryption:SSEAlgorithm	String

Coletor de configuração: AWS Coletor de métricas de permissão da ACL do S3
Coletor de recursos: AWS Coletor de recursos do S3
Cloud API usada: Ação: ObterAcluBucketBucketAcl
Permissão de nuvem: s3:GetBucketAcl

Tabela 4. AWS chaves de configuração de armazenamento de objetos
Chave de configuração	Tipo de dados
AWS:S3:ACL:AuthnUsersListing	Boolean
AWS:S3:ACL:AuthnUsersReadACL	Boolean
AWS:S3:ACL:AuthnUsersWrite	Boolean
AWS:S3:ACL:AuthnUsersWriteACL	Boolean
AWS:S3:ACL:OwnerFullControl	Boolean
AWS:S3:ACL:OwnerId	String
AWS:S3:ACL:OwnerListing	Boolean
AWS:S3:ACL:OwnerName	String
AWS:S3:ACL:OwnerReadACL	Boolean
AWS:S3:ACL:OwnerWrite	Boolean
AWS:S3:ACL:OwnerWriteACL	Boolean
AWS:S3:ACL:PublicListing	Boolean
AWS:S3:ACL:PublicReadACL	Boolean
AWS:S3:ACL:PublicWrite	Boolean
AWS:S3:ACL:PublicWriteACL	Boolean

AWS instância de máquina virtual

Governança de configuração de nuvem usa os itens a seguir para coletar a chave de configuração do AWS chaves de configuração da instância da máquina virtual:

Coletor de recursos: AWS Coletor de dados da VM
Cloud API usada: Ação: DescribeInstâncias e. Recurso do AWS EC2
Permissão de nuvem: ec2:DescribeInstances

Tabela 5. AWS chaves de configuração da instância da máquina virtual
Chave de configuração	Tipo de dados
AWS:EC2:VM:CapacityReservationPreference	String
AWS:EC2:VM:CpuOptionsCoreCount	Numeric
AWS:EC2:VM:CpuOptionsThreadsPerCore	Numeric
AWS:EC2:VM:EbsOptimized	Boolean
AWS:EC2:VM:HardwareType	String
AWS:EC2:VM:ImageId	String
AWS:EC2:VM:InstanceState	String
AWS:EC2:VM:KeyName	String
AWS:EC2:VM:LaunchTime	Date
AWS:EC2:VM:MonitoringState	String
AWS:EC2:VM:Platform	String
AWS:EC2:VM:PrivateDnsName	String
AWS:EC2:VM:PrivateIpAddress	String
AWS:EC2:VM:PublicDnsName	String
AWS:EC2:VM:PublicIPAddress	String
AWS:EC2:VM:SecurityGroups	String
AWS:EC2:VM:SubnetId	String
AWS:EC2:VM:Tags	Map
AWS:EC2:VM:UsageOperation	String
AWS:EC2:VM:VpcId	String

AWS perfil com permissões mínimas

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GenerateCredentialReport",
                "s3:GetEncryptionConfiguration",
                "ec2:DescribeInstances",
                "s3:ListBucketVersions",
                "ec2:DescribeRegions",
                "s3:ListBucket",
                "iam:GetCredentialReport"
            ],
            "Resource": "*"
        }
    ]
}

Microsoft Azure instância de máquina virtual

Governança de configuração de nuvem usa os seguintes itens para coletar o. Azure chaves de configuração da instância da máquina virtual:

Coletor de recursos: Azure Coletor de dados da VM
Cloud API usada: Microsoft.ResourceGraph/Resources
Permissão de nuvem: Microsoft.ResourceGraph/resources

Tabela 6. Azure chaves de configuração da instância da máquina virtual
Chave de configuração	Tipo de dados
Azure:VM:HardwareType	String
Azure:VM:NICID	String
Azure:VM:OSDiskCaching	String
Azure:VM:OSDiskCreateoption	String
Azure:VM:OSDiskDeleteoption	String
Azure:VM:OSDiskId	String
Azure:VM:OSDiskName	String
Azure:VM:OSDiskOSType	String
Azure:VM:OSDiskSizeGB	String
Azure:VM:OSProfileAllowExtensionOperations	Boolean
Azure:VM:OSProfileComputerName	String
Azure:VM:OSProfileLinuxConfigurationDisablePasswordAuthentication	Boolean
Azure:VM:OSProfileLinuxConfigurationPatchSettingsAssessmentMode	String
Azure:VM:OSProfileLinuxConfigurationPatchSettingsPatchMode	String
Azure:VM:OSProfileLinuxConfigurationProvisionVmAgent	Boolean
Azure:VM:OSProfileLinuxConfigurationSSHKeyData	Map
Azure:VM:OSProfileLinuxConfigurationSSHPath	Map
Azure:VM:OSProfileRequireGuestProvisionSignal	Boolean
Azure:VM:OSWindowsConfigurationEnableAutomaticUpdates	Boolean
Azure:VM:OSWindowsConfigurationPatchSettingsAssessmentMode	String
Azure:VM:OSWindowsConfigurationPatchSettingsEnableHotpatching	Boolean
Azure:VM:OSWindowsConfigurationPatchSettingsPatchMode	String
Azure:VM:OSWindowsConfigurationProvisionVMAgent	Boolean
Azure:VM:PowerState	String
Azure:VM:ProvisioningState	String
Azure:VM:ResourceGroup	String
Azure:VM:StorageProfileDataDisksCaching	String
Azure:VM:StorageProfileDataDisksCreateOption	String
Azure:VM:StorageProfileDataDisksDeleteOption	String
Azure:VM:StorageProfileDataDisksDetachOption	String
Azure:VM:StorageProfileDataDisksDiskIopsReadWrite	String
Azure:VM:StorageProfileDataDisksDiskMBpsReadWrite	String
Azure:VM:StorageProfileDataDisksDiskSizeGb	Numeric
Azure:VM:StorageProfileDataDisksImage	String
Azure:VM:StorageProfileDataDisksLun	Numeric
Azure:VM:StorageProfileDataDisksManagedDiskDiskEncryptionSet	String
Azure:VM:StorageProfileDataDisksManagedDiskId	String
Azure:VM:StorageProfileDataDisksManagedDiskResourceGroup	String
Azure:VM:StorageProfileDataDisksManagedDiskStorageAccountType	String
Azure:VM:StorageProfileDataDisksManagedStorageAccountType	String
Azure:VM:StorageProfileDataDisksName	String
Azure:VM:StorageProfileDataDisksToBeDetached	Boolean
Azure:VM:StorageProfileDataDisksVhd	String
Azure:VM:StorageProfileDataDisksWriteAcceleratorEnabled	Boolean
Azure:VM:StorageProfileImageReferenceExactVersion	String
Azure:VM:StorageProfileImageReferenceId	String
Azure:VM:StorageProfileImageReferenceOffer	String
Azure:VM:StorageProfileImageReferencePublisher	String
Azure:VM:StorageProfileImageReferenceSharedGalleryImageId	String
Azure:VM:StorageProfileImageReferenceSku	String
Azure:VM:StorageProfileImageReferenceVersion	String
Azure:VM:Tags	Map
Azure:VM:VMId	String

Coletor de recursos: Azure Coletor de dados da VM
Coletor de configuração: Azure Coletor de métricas da VM
Cloud API usada: Microsoft.ResourceGraph/Resources
Permissão de nuvem: Microsoft.ResourceGraph/resources

Tabela 7. Azure chaves de configuração da instância da máquina virtual
Chave de configuração	Tipo de dados
Azure:VM:PublicIPAddress	String
Azure:VM:PublicIPId	String

Coletor de recursos: Azure Coletor de dados da VM
Coletor de configuração: Azure Coletor de métricas de monitoramento de VM
Cloud API usada: Microsoft.Compute/virtualMachines/{vmName}/instanceView
Permissão de nuvem: Microsoft.Compute/virtualMachines/{vmName}/instanceView

Tabela 8. Chaves de configuração da instância da máquina virtual do Azure
Chave de configuração	Tipo de dados
Azure:VM:MonitoringState	String

Nota:

Usar scope=https://graph.microsoft.com/.defaulte. scope=https://management.azure.com/.defaultPara buscar o token OAuth para os recursos do Azure.

Azure perfil com permissões mínimas

{
    "properties": {
        "roleName": "CCGAzureMinimalPermission",
        "description": "Grants access to scan compute resources from azure subscription",
        "assignableScopes": [
            "/subscriptions/${subscription_id}"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.ResourceGraph/resources/read",
                    "Microsoft.Compute/virtualMachines/instanceView/read"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}