Prisma Cloud:自定义角色 (RBAC) 用户支持的 RQL 查询类型

Prisma Cloud:自定义角色 (RBAC) 用户支持的 RQL 查询类型

4146
Created On 02/26/24 02:41 AM - Last Modified 05/07/24 14:01 PM


Question


  • 自定义角色 (RBAC) 用户支持哪些 RQL 查询类型?

Environment


  • 普里斯马云

Answer


  • 所有开箱即用的默认角色都具有所有可用查询类型的权限
  • 所有租户共有 8 种受支持的查询类型:
    1. 资产
    2. 资产配置 (Config)
    3. 应用程序资产 (AppSec)
    4. 漏洞
    5. 权限 (IAM)
    6. 网络配置 (CNA)
    7. 网络
    8. 审核事件
  • 此外,还有另一种名为 AppDNA 的查询类型,它目前处于 有限 GA 状态。
自定义角色支持的查询类型:
  • 自定义角色(由用户通过精细 RBAC 功能定义)将仅支持以下查询类型:
    1. 资产
    2. 资产配置 (Config)
    3. 权限 (IAM)
    4. 网络配置 (CNA)
    5. 网络
    6. 审核事件
  • 为上述查询类型配置必要的权限
    1. 对于权限 (IAM) 查询 - 应启用 IAM 模块,并且 User 角色下应具有 Investigate->Config->READ 权限
    2. 对于网络配置 (CNA) 查询 - Investigate->Config->READInvestigate->Network->READ 权限应在“用户”角色下可用

自定义角色不支持的查询类型:

  • 自定义角色不支持以下查询类型,并且超出了粒度 RBAC 的范围:
    1. 应用程序资产 (AppSec)
    2. 漏洞
    3. 应用DNA

Additional Information


下面是一个示例:

  • 现成的角色(如系统管理员)可以查看在“调查”菜单下访问的所有查询类型,如下所示:


image.png
 
  • 只有自定义角色支持的查询类型列在“设置”>“访问控制”>“权限组”>“添加权限组”
image.png
  • 分配了自定义角色的用户将只能访问“调查”菜单下的“支持的查询类型”:
image.png

注意:
 
自定义 Prisma 云角色

“分配权限”页上列出的权限并不全面,并且不会与现成角色的所有可用功能权限进行一对一映射。 例如,如果通过克隆系统管理员角色创建自定义权限,则“分配权限”页上列出的功能权限可能不包括开箱即用的系统管理员角色中可用的所有权限,因为这些功能权限当前未为自定义角色启用。 “分配权限”页上显示的功能权限列出了可以为任何给定自定义角色分配的所有可用权限。 请参阅 Prisma Cloud 管理员权限页面,获取按角色划分的默认权限的完整列表。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008XISCA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language