Pourquoi azure Prisma Cloud à bord nécessite-t-il le rôle lecteur et d’accès aux données pour le compte de stockage ?

Pourquoi azure Prisma Cloud à bord nécessite-t-il le rôle lecteur et d’accès aux données pour le compte de stockage ?

14706
Created On 06/13/19 22:41 PM - Last Modified 03/26/21 17:42 PM


Question


Pourquoi azure à bord nécessite-t-il le rôle lecteur et d’accès aux données pour le compte de stockage ?
Le rôle du lecteur donné à Prisma Cloud l’application au niveau de l’abonnement a permis de lire les autorisations sur toutes les ressources à l’intérieur de l’abonnement.
 
*/lireLisez les ressources de tous types, sauf les secrets.

Qu’est-ce Prisma Cloud qui doit capturer qui n’est pas disponible à partir du rôle reader niveau abonnement?

Environment


Prisma Cloud
Azure

Answer


Même si le rôle Reader au niveau abonnement permet d’accéder en lecture à toutes les ressources de l’abonnement, il ne permet pas de récupérer les métadonnées pour les blobs, les tables et les files d’attente à l’intérieur du compte de stockage.

Sans cette autorisation, les propriétés d’enregistrement pour les blobs, les tables et les files d’attente ne peuvent pas être évaluées, qui sont utilisées dans les trois stratégies suivantes :
  • L’enregistrement de compte de stockage Azure pour les blobs est désactivé
  • La journalisation du compte de stockage Azure pour les tables est désactivée
  • La journalisation du compte de stockage Azure pour les tables est désactivée

Si l’accès n’est pas donné, les métadonnées de config de ressources du compte de stockage s’affiche nulle pour les propriétés de journalisation, qu’elles soient activées ou désactivées. Il en résulte l’alerte pour ces trois politiques.
 
« loggingProperties »: {
« blob »: {},
« file d’attente »: {},
« table »: {}
},

Additional Information



Le rôle lecteur et accès aux données au niveau de l’abonnement a des autorisations ONLY sur le compte de stockage ( SA )
 
Microsoft. Storage/storageAccounts/listKeys/actionRenvoie les clés d’accès pour le compte de stockage spécifié.
Microsoft.Storage/storageAccounts/ListAccountSas/action Microsoft.Storage/storageAccounts/ListAccountSas/action Microsoft.Storage/storageAccounts/ListAccountSas/action Microsoft.Renvoie le SAS jeton de compte pour le compte de stockage spécifié.
Microsoft. Storage/storageAccounts/lectureRetourne la liste des comptes de stockage ou obtient les propriétés pour le compte de stockage spécifié.
Ces autorisations permettent Prisma Cloud d’obtenir les clés de la SA , et lire les métadonnées sur les blobs, tables et files d’attente. Il permet également d’écrire/modifier des actions sur SA les conteneurs et ses contenants (blobs, tables, files d’attente). Toutefois, besoin Prisma Cloud DOES NOT et utiliser DOES NOT l’action de modification. Prisma Cloud utilise la listeKeys pour accéder aux SA métadonnées et les lire sur ses conteneurs.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PMA1CAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language