Azure Prisma Cloud オンボーディングでストレージ アカウントのリーダーとデータ アクセスの役割が必要な理由
13812
Created On 06/13/19 22:41 PM - Last Modified 03/26/21 17:42 PM
Question
Azure オンボーディングでストレージ アカウント
のリーダーとデータ アクセスの役割が必要な理由サブスクリプション レベルでアプリケーションに与えられた閲覧者ロール Prisma Cloud には、サブスクリプション内のすべてのリソースに対する読み取り権限があります。
| */読み取り | シークレットを除くすべてのタイプのリソースを読み取ります。 |
サブスクリプション Prisma Cloud レベル の閲覧者ロールからは利用できないキャプチャには何が必要ですか。
Environment
Prisma Cloud
Azure
Answer
サブスクリプション レベルの閲覧者ロールは、サブスクリプション内のすべてのリソースに対する読み取りアクセスを提供しますが、ストレージ アカウント内の BLOB、テーブル、およびキューのメタデータを取得するアクセスは提供されません。
このアクセス許可がないと、BLOB、テーブル、キューのログ プロパティを評価できません。
- BLOB の Azure ストレージ アカウントのログが無効になっています
- テーブルの Azure ストレージ アカウントのログが無効になっている
- テーブルの Azure ストレージ アカウントのログが無効になっている
アクセス権が与えられていない場合、ストレージ アカウントのリソース構成メタデータは、有効か無効かにかかわらず、ログプロパティの null を示します。 これにより、これら 3 つのポリシーに対するアラートが生成されます。
"ログプロパティ": {
"blob": {},
"キュー": {},
"テーブル":
{}
"blob": {},
"キュー": {},
"テーブル":
{}
Additional Information
サブスクリプション レベルの閲覧者とデータ アクセスの役割は ONLY 、ストレージ アカウント ( ) に対するアクセス許可 SA を持っています。
| マイクロソフトストレージ/storageAccounts/listKeys/アクション | 指定したストレージ アカウントのアクセス キーを返します。 |
| ストレージ/ストレージアカウント/リストアカウントサス/アクション | SAS指定したストレージ アカウントのアカウント トークンを返します。 |
| マイクロソフトストレージ/storageAccounts/読み取り | ストレージ アカウントの一覧を返すか、指定したストレージ アカウントのプロパティを取得します。 |