¿Por qué Prisma Cloud azure incorporación requiere reader y rol de acceso a datos para la cuenta de almacenamiento?

¿Por qué Prisma Cloud azure incorporación requiere reader y rol de acceso a datos para la cuenta de almacenamiento?

13824
Created On 06/13/19 22:41 PM - Last Modified 03/26/21 17:42 PM


Question


¿Por qué azure incorporación requiere reader y rol de acceso a datos para la cuenta de almacenamiento?
El rol de lector dado a la Prisma Cloud aplicación en el nivel de suscripción tiene permisos de lectura en todos los recursos dentro de la suscripción.
 
*/leerLeer recursos de todo tipo, excepto secretos.

¿Qué Prisma Cloud necesita capturar que no esté disponible en el rol lector de nivel de suscripción?

Environment


Prisma Cloud
Azul

Answer


Aunque el rol Reader en el nivel De suscripción proporciona acceso de lectura a todos los recursos de la suscripción, no proporciona acceso para recuperar los metadatos de blobs, tablas y colas dentro de la cuenta de almacenamiento.

Sin este permiso, no se pueden evaluar las propiedades de registro de blobs, tablas y colas, que se usan en las tres directivas listas para usar siguientes:
  • El registro de cuentas de Azure Storage para blobs está deshabilitado
  • El registro de cuentas de Azure Storage para tablas está deshabilitado
  • El registro de cuentas de Azure Storage para tablas está deshabilitado

Si no se da acceso, los metadatos de configuración de recursos de la cuenta de almacenamiento muestran null para las propiedades de registro, independientemente de si están habilitadas o deshabilitadas. Esto da como resultado la alerta para estas tres directivas.
 
"loggingProperties": {
"blob": {},
"queue": {},
"table": {}
},

Additional Information



El rol Lector y acceso a datos en el nivel de suscripción tiene permisos ONLY en la cuenta de almacenamiento ( SA )
 
Microsoft. Storage/storageAccounts/listKeys/ActionDevuelve las claves de acceso de la cuenta de almacenamiento especificada.
Microsoft.Storage/storageAccounts/ListAccountSas/acciónDevuelve el token de cuenta SAS para la cuenta de almacenamiento especificada.
Microsoft. Storage/storageAccounts/ReadDevuelve la lista de cuentas de almacenamiento u obtiene las propiedades de la cuenta de almacenamiento especificada.
Estos permisos permiten Prisma Cloud obtener las claves del archivo y leer los metadatos en los SA blobs, tablas y colas. También permite acciones de escritura/edición en los SA contenedores y sus contenedores (blobs, tablas, colas). Sin embargo, Prisma Cloud DOES NOT necesite y utilice la acción DOES NOT de edición. Prisma Cloud utiliza listKeys para tener acceso a los SA metadatos de sus contenedores y leerlo.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PMA1CAO&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language