기본 시스템 클라우드 구성 거버넌스 구성 키를 수집하는 데 필요한 클라우드 권한
클라우드 구성 거버넌스는 클라우드에서 기본 시스템 구성 키를 수집하기 위해 적절한 클라우드 사용 권한이 필요합니다. 따라서 조직의 필요에 맞게 클라우드에 적절한 권한을 설정해야 합니다.
주:
클라우드 구성 거버넌스 버전 1.3.7부터 기본 시스템 컨텐츠가 CCG 콘텐츠 팩으로 이동됩니다. CCG 콘텐츠 팩을 설치하여 기본 시스템 클라우드 구성 거버넌스 컨텐츠에 액세스합니다.
Amazon Web Services(AWS) 데이터센터
클라우드 구성 거버넌스는 다음 항목을 사용하여 AWS 데이터센터 구성 키의 구성 키를 수집합니다.
- 자원 수집기: 클라우드 서비스 계정
- 사용된 클라우드 API: 작업: DescribeRegions
- 클라우드 권한: ec2: DescribeRegions
| 구성 키 | 데이터 유형 |
|---|---|
| AWS:EC2:VM:DescribeRegions | String |
AWS IAM(ID 및 액세스 관리) 사용자
클라우드 구성 거버넌스는 다음 항목을 사용하여 AWS IAM 사용자 구성 키의 구성 키를 수집합니다.
- 자원 수집기: AWS IAM 사용자 데이터 수집기
- 사용된 클라우드 API:
- 작업: GetCredentialReport 및 GenerateCredentialReport
- 서비스: AWS IAM service
- 클라우드 권한: Iam:GetCredentialReport 및 Iam:GenerateCredentialReport
| 구성 키 | 데이터 유형 |
|---|---|
| AWS:IAM:Policy:ARN | String |
| AWS:IAM:Policy:AttachmentCount | String |
| AWS:IAM:Policy:CreateDate | String |
| AWS:IAM:Policy:PolicyName | String |
| AWS:IAM:Policy:UpdateDate | String |
| AWS:IAM:User:AccessKey1.active | Boolean |
| AWS:IAM:User:AccessKey1.lastRotated | Date |
| AWS:IAM:User:AccessKey1.lastUsedDate | Date |
| AWS:IAM:User:AccessKey1.lastUsedRegion | String |
| AWS:IAM:User:AccessKey1.lastUsedService | String |
| AWS:IAM:User:AccessKey2.active | Boolean |
| AWS:IAM:User:AccessKey2.lastRotated | Date |
| AWS:IAM:User:AccessKey2.lastUsedDate | Date |
| AWS:IAM:User:AccessKey2.lastUsedRegion | String |
| AWS:IAM:User:AccessKey2.lastUsedService | String |
| AWS:IAM:User:Certificate1.active | Boolean |
| AWS:IAM:User:Certificate1.lastRotated | Date |
| AWS:IAM:User:Certificate2.active | Boolean |
| AWS:IAM:User:Certificate2.lastRotated | Date |
| AWS:IAM:User:CreationTime | Date |
| AWS:IAM:User:LoginProfile.active | Boolean |
| AWS:IAM:User:MfaEnabled | Boolean |
| AWS:IAM:User:PasswordEnabled | Boolean |
| AWS:IAM:User:PasswordLastChanged | String |
| AWS:IAM:User:PasswordLastUsed | Date |
| AWS:IAM:User:PasswordNextRotation | String |
AWS 객체 저장소
클라우드 구성 거버넌스는 다음 항목을 사용하여 AWS IAM 사용자 구성 키의 구성 키를 수집합니다.
- 구성 수집기: AWS S3 암호화 메트릭 수집기
- 자원 수집기: AWS S3 자원 수집기
- 사용된 클라우드 API: 작업: S3 서비스의 ListBuckets 및 GetBucketEncryption
- 클라우드 권한: s3:ListBucket 및 s3:GetEncryptionConfiguration
| 구성 키 | 데이터 유형 |
|---|---|
| AWS:S3:Encryption:BucketKeyEnabled | Boolean |
| AWS:S3:Encryption:KMSMasterKeyID | String |
| AWS:S3:Encryption:ServerSideEncryptionEnabled | Boolean |
| AWS:S3:Encryption:SSEAlgorithm | String |
- 구성 수집기: AWS S3 ACL 권한 메트릭 수집기
- 자원 수집기: AWS S3 자원 수집기
- 사용된 클라우드 API: 작업: GetBucketAcl
- 클라우드 권한: s3:GetBucketAcl
| 구성 키 | 데이터 유형 |
|---|---|
| AWS:S3:ACL:AuthnUsersListing | Boolean |
| AWS:S3:ACL:AuthnUsersReadACL | Boolean |
| AWS:S3:ACL:AuthnUsersWrite | Boolean |
| AWS:S3:ACL:AuthnUsersWriteACL | Boolean |
| AWS:S3:ACL:OwnerFullControl | Boolean |
| AWS:S3:ACL:OwnerId | String |
| AWS:S3:ACL:OwnerListing | Boolean |
| AWS:S3:ACL:OwnerName | String |
| AWS:S3:ACL:OwnerReadACL | Boolean |
| AWS:S3:ACL:OwnerWrite | Boolean |
| AWS:S3:ACL:OwnerWriteACL | Boolean |
| AWS:S3:ACL:PublicListing | Boolean |
| AWS:S3:ACL:PublicReadACL | Boolean |
| AWS:S3:ACL:PublicWrite | Boolean |
| AWS:S3:ACL:PublicWriteACL | Boolean |
AWS가상 머신 인스턴스
클라우드 구성 거버넌스는 다음 항목을 사용하여 AWS 가상 머신 인스턴스 구성 키의 구성 키를 수집합니다.
- 자원 수집기: AWS VM 데이터 수집기
- 사용된 클라우드 API: 작업: DescribeInstances 및 AWS EC2 자원
- 클라우드 권한: ec2:DescribeInstances
| 구성 키 | 데이터 유형 |
|---|---|
| AWS:EC2:VM:CapacityReservationPreference | String |
| AWS:EC2:VM:CpuOptionsCoreCount | Numeric |
| AWS:EC2:VM:CpuOptionsThreadsPerCore | Numeric |
| AWS:EC2:VM:EbsOptimized | Boolean |
| AWS:EC2:VM:HardwareType | String |
| AWS:EC2:VM:ImageId | String |
| AWS:EC2:VM:InstanceState | String |
| AWS:EC2:VM:KeyName | String |
| AWS:EC2:VM:LaunchTime | Date |
| AWS:EC2:VM:MonitoringState | String |
| AWS:EC2:VM:Platform | String |
| AWS:EC2:VM:PrivateDnsName | String |
| AWS:EC2:VM:PrivateIpAddress | String |
| AWS:EC2:VM:PublicDnsName | String |
| AWS:EC2:VM:PublicIPAddress | String |
| AWS:EC2:VM:SecurityGroups | String |
| AWS:EC2:VM:SubnetId | String |
| AWS:EC2:VM:Tags | Map |
| AWS:EC2:VM:UsageOperation | String |
| AWS:EC2:VM:VpcId | String |
최소한의 권한이 있는 AWS 프로파일
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"iam:GenerateCredentialReport",
"s3:GetEncryptionConfiguration",
"ec2:DescribeInstances",
"s3:ListBucketVersions",
"ec2:DescribeRegions",
"s3:ListBucket",
"iam:GetCredentialReport"
],
"Resource": "*"
}
]
}Microsoft Azure가상 머신 인스턴스
클라우드 구성 거버넌스는 다음 항목을 사용하여 Azure 가상 머신 인스턴스 구성 키를 수집합니다.
- 자원 수집기: Azure VM 데이터 수집기
- 사용된 클라우드 API: Microsoft.ResourceGraph/resources
- 클라우드 권한: Microsoft.ResourceGraph/resources
| 구성 키 | 데이터 유형 |
|---|---|
| Azure:VM:HardwareType | String |
| Azure:VM:NICID | String |
| Azure:VM:OSDiskCaching | String |
| Azure:VM:OSDiskCreateoption | String |
| Azure:VM:OSDiskDeleteoption | String |
| Azure:VM:OSDiskId | String |
| Azure:VM:OSDiskName | String |
| Azure:VM:OSDiskOSType | String |
| Azure:VM:OSDiskSizeGB | String |
| Azure:VM:OSProfileAllowExtensionOperations | Boolean |
| Azure:VM:OSProfileComputerName | String |
| Azure:VM:OSProfileLinuxConfigurationDisablePasswordAuthentication | Boolean |
| Azure:VM:OSProfileLinuxConfigurationPatchSettingsAssessmentMode | String |
| Azure:VM:OSProfileLinuxConfigurationPatchSettingsPatchMode | String |
| Azure:VM:OSProfileLinuxConfigurationProvisionVmAgent | Boolean |
| Azure:VM:OSProfileLinuxConfigurationSSHKeyData | Map |
| Azure:VM:OSProfileLinuxConfigurationSSHPath | Map |
| Azure:VM:OSProfileRequireGuestProvisionSignal | Boolean |
| Azure:VM:OSWindowsConfigurationEnableAutomaticUpdates | Boolean |
| Azure:VM:OSWindowsConfigurationPatchSettingsAssessmentMode | String |
| Azure:VM:OSWindowsConfigurationPatchSettingsEnableHotpatching | Boolean |
| Azure:VM:OSWindowsConfigurationPatchSettingsPatchMode | String |
| Azure:VM:OSWindowsConfigurationProvisionVMAgent | Boolean |
| Azure:VM:PowerState | String |
| Azure:VM:ProvisioningState | String |
| Azure:VM:ResourceGroup | String |
| Azure:VM:StorageProfileDataDisksCaching | String |
| Azure:VM:StorageProfileDataDisksCreateOption | String |
| Azure:VM:StorageProfileDataDisksDeleteOption | String |
| Azure:VM:StorageProfileDataDisksDetachOption | String |
| Azure:VM:StorageProfileDataDisksDiskIopsReadWrite | String |
| Azure:VM:StorageProfileDataDisksDiskMBpsReadWrite | String |
| Azure:VM:StorageProfileDataDisksDiskSizeGb | Numeric |
| Azure:VM:StorageProfileDataDisksImage | String |
| Azure:VM:StorageProfileDataDisksLun | Numeric |
| Azure:VM:StorageProfileDataDisksManagedDiskDiskEncryptionSet | String |
| Azure:VM:StorageProfileDataDisksManagedDiskId | String |
| Azure:VM:StorageProfileDataDisksManagedDiskResourceGroup | String |
| Azure:VM:StorageProfileDataDisksManagedDiskStorageAccountType | String |
| Azure:VM:StorageProfileDataDisksManagedStorageAccountType | String |
| Azure:VM:StorageProfileDataDisksName | String |
| Azure:VM:StorageProfileDataDisksToBeDetached | Boolean |
| Azure:VM:StorageProfileDataDisksVhd | String |
| Azure:VM:StorageProfileDataDisksWriteAcceleratorEnabled | Boolean |
| Azure:VM:StorageProfileImageReferenceExactVersion | String |
| Azure:VM:StorageProfileImageReferenceId | String |
| Azure:VM:StorageProfileImageReferenceOffer | String |
| Azure:VM:StorageProfileImageReferencePublisher | String |
| Azure:VM:StorageProfileImageReferenceSharedGalleryImageId | String |
| Azure:VM:StorageProfileImageReferenceSku | String |
| Azure:VM:StorageProfileImageReferenceVersion | String |
| Azure:VM:Tags | Map |
| Azure:VM:VMId | String |
- 자원 수집기: Azure VM 데이터 수집기
- 구성 수집기: Azure VM 메트릭 수집기
- 사용된 클라우드 API: Microsoft.ResourceGraph/resources
- 클라우드 권한: Microsoft.ResourceGraph/resources
| 구성 키 | 데이터 유형 |
|---|---|
| Azure:VM:PublicIPAddress | String |
| Azure:VM:PublicIPId | String |
- 자원 수집기: Azure VM 데이터 수집기
- 구성 수집기: Azure VM 모니터링 메트릭 수집기
- 사용된 클라우드 API: Microsoft.Compute/virtualMachines/{vmName}/instanceView
- 클라우드 권한: Microsoft.Compute/virtualMachines/{vmName}/instanceView
| 구성 키 | 데이터 유형 |
|---|---|
| Azure:VM:MonitoringState | String |
주:
scope=https://graph.microsoft.com/.default와 scope=https://management.azure.com/.default를 사용하여 Azure 자원에 대한 oAuth 토큰을 가져옵니다.
최소한의 권한이 있는 Azure 프로파일
{
"properties": {
"roleName": "CCGAzureMinimalPermission",
"description": "Grants access to scan compute resources from azure subscription",
"assignableScopes": [
"/subscriptions/${subscription_id}"
],
"permissions": [
{
"actions": [
"Microsoft.ResourceGraph/resources/read",
"Microsoft.Compute/virtualMachines/instanceView/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
]
}
}