为什么 Prisma Cloud Azure 入职需要存储帐户的读卡器和数据访问角色?
13808
Created On 06/13/19 22:41 PM - Last Modified 03/26/21 17:42 PM
Question
为什么 Azure 入职需要存储帐户的读卡器和数据访问角色?
在 Prisma Cloud 订阅级别授予应用程序的读者角色已阅读订阅内所有资源的权限。
| */阅读 | 阅读除机密以外的所有类型的资源。 |
需要从 Prisma Cloud 订阅级阅读器角色中捕获哪些无法捕获的内容?
Environment
Prisma Cloud
蔚蓝
Answer
尽管订阅级的"读者"角色提供了对订阅中所有资源的读取访问权限,但它不提供检索存储帐户内 blobs、表和队列元数据的访问权限。
未经此许可,无法评估 blob、表、队列的记录属性,这些属性用于以下三个开箱即用策略:
- 禁用斑点的 Azure 存储帐户记录
- 已禁用用于表的 Azure 存储帐户记录
- 已禁用用于表的 Azure 存储帐户记录
如果不提供访问权限,存储帐户中的资源配置元数据显示记录属性无效,无论它们是否启用或禁用。 这导致对这三个策略的警报。
"记录专业
":{"blob":{},"
队列":{},"
表":{}}
":{"blob":{},"
队列":{},"
表":{}}
Additional Information
订阅级的读取器和数据访问角色 ONLY 在存储帐户上具有权限 ( SA )
| 微软. Storage/storagecoortsséligiskeysaction | 返回指定存储帐户的访问密钥。 |
| 微软.存储/存储帐户/列表帐户萨斯/行动 | 返回 SAS 指定存储帐户的帐户令牌。 |
| 软件. Storage/Storagecoorts/改为 | 返回存储帐户列表或获取指定存储帐户的属性。 |