Warum Prisma Cloud erfordert Azure-Onboarding Reader- und Datenzugriffsrolle für das Speicherkonto?

Warum Prisma Cloud erfordert Azure-Onboarding Reader- und Datenzugriffsrolle für das Speicherkonto?

13824
Created On 06/13/19 22:41 PM - Last Modified 03/26/21 17:42 PM


Question


Warum erfordert Azure-Onboarding Reader- und Datenzugriffsrolle für das Speicherkonto?
Die Readerrolle, die der Anwendung auf Abonnementebene gewährt wird, verfügt über Prisma Cloud Leseberechtigungen für alle Ressourcen innerhalb des Abonnements.
 
*/lesenLesen Sie Ressourcen aller Typen, mit Ausnahme von Geheimnissen.

Was Prisma Cloud muss erfasst werden, das nicht über die Reader-Rolle auf Abonnementebene verfügbar ist?

Environment


Prisma Cloud
Azure

Answer


Obwohl die Reader-Rolle auf Abonnementebene Lesezugriff auf alle Ressourcen innerhalb des Abonnements bietet, bietet sie keinen Zugriff zum Abrufen der Metadaten für Blobs, Tabellen und Warteschlangen innerhalb des Speicherkontos.

Ohne diese Berechtigung können die Protokollierungseigenschaften für Blobs, Tabellen und Warteschlangen nicht ausgewertet werden, die in den folgenden drei sofort einsatzbereiten Richtlinien verwendet werden:
  • Die Protokollierung des Azure-Speicherkontos für Blobs ist deaktiviert
  • Die Protokollierung von Azure-Speicherkonten für Tabellen ist deaktiviert.
  • Die Protokollierung von Azure-Speicherkonten für Tabellen ist deaktiviert.

Wenn der Zugriff nicht angegeben wird, werden die Metadaten der Ressourcenkonfiguration aus dem Speicherkonto für die Protokollierungseigenschaften null angezeigt, unabhängig davon, ob sie aktiviert oder deaktiviert sind. Dies führt zu der Warnung für diese drei Richtlinien.
 
"loggingProperties":
"blob": ,
"queue": ,
"tabelle":


Additional Information



Die Rolle "Reader und Datenzugriff" auf Abonnementebene verfügt über Berechtigungen ONLY für das Speicherkonto ( SA )
 
Microsoft.Storage/storageAccounts/listKeys/actionGibt die Zugriffsschlüssel für das angegebene Speicherkonto zurück.
Microsoft.Storage/storageAccounts/ListAccountSas/actionGibt das SAS Kontotoken für das angegebene Speicherkonto zurück.
Microsoft.Storage/storageAccounts/lesenGibt die Liste der Speicherkonten zurück oder ruft die Eigenschaften für das angegebene Speicherkonto ab.
Diese Berechtigungen ermöglichen Prisma Cloud es, die Schlüssel für die abzurufen SA und die Metadaten in den Blobs, Tabellen und Warteschlangen zu lesen. Es ermöglicht auch Schreib-/Bearbeitungsaktionen für die SA und ihre Container (Blobs, Tabellen, Warteschlangen). Benötigen Sie jedoch Prisma Cloud DOES NOT die Bearbeitungsaktion und DOES NOT verwenden Sie sie. Prisma Cloud verwendet die listKeys, um auf die Metadaten in den Containern zuzugreifen und diese SA zu lesen.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PMA1CAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language