Azureに必要な権限と付与された権限

ビュー:

リソースのデプロイに必要な権限と、Terraformプロセス中に付与された権限を確認します。

Trend Vision One クラウドセキュリティリソースをサブスクリプションに正常にデプロイするには、次の権限が必要です。

Microsoft Entra IDユーザの場合、サインインには次の役割が必要です。
- アプリケーション管理者
- 特権ロール管理者
Microsoft Azureユーザの場合、接続するサブスクリプションで次のロール以上のロールがサインインに割り当てられている必要があります。
- ユーザアクセス管理者
Microsoft Defender for Endpoint CollectionまたはAzureアクティビティログを有効にするには、Microsoft Azureサインインに次のロールが必要です:
- Key Vault Secrets Officer

terraformプロセスは、Cloud AccountsおよびTrend Vision One Cloud Securityサービスとの接続を確立するために、特定の権限を自分自身に割り当てます。これらの権限には、Cloud Accountsアプリおよびセキュリティサービスが一時的な認証情報を取得し、Azureクラウド環境内でタスクを完了することが含まれます。

Azureに必要な権限

機能	サービス	必要な権限
主な機能	Azure	Microsoft.ContainerService/managedClusters/listClusterUserCredential/action Microsoft.ContainerService/managedClusters/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Authorization/roleAssignments/read Microsoft.Authorization/roleDefinitions/read */read
エージェントレスによる脆弱性と脅威の検出	Azure	Subscription-level permissions Microsoft.ContainerRegistry/registries/generateCredentials/action Microsoft.ContainerRegistry/registries/read Microsoft.ContainerRegistry/registries/pull/read Microsoft.ContainerRegistry/registries/tokens/write Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read Microsoft.ContainerRegistry/registries/scopeMaps/read Microsoft.ContainerRegistry/registries/tokens/read Microsoft.Compute/disks/read Microsoft.Compute/virtualMachines//read Microsoft.HybridCompute/machines//read Microsoft.Authorization/roleAssignments/write Microsoft.Authorization/roleAssignments/delete Microsoft.Authorization/roleAssignments/read Microsoft.Compute/locations/usages/read Microsoft.Quota/quotas/read
		Trend Micro resource group-level permissions Azure定義ロール: Contributor アクションを許可: * Microsoft.Authorization//Delete Microsoft.Authorization//Write Microsoft.Authorization/elevateAccess/Action Microsoft.Blueprint/blueprintAssignments/write Microsoft.Blueprint/blueprintAssignments/delete Microsoft.Compute/galleries/share/action Microsoft.Purview/consents/write Microsoft.Purview/consents/delete Microsoft.Resources/deploymentStacks/manageDenySetting/action Microsoft.Subscription/cancel/action Microsoft.Subscription/enable/action Azure定義ロール:AcrPull Microsoft.ContainerRegistry/registries/pull/read Azure定義ロール: Storage Blob Data Owner Microsoft.Storage/storageAccounts/blobServices/containers/* Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action Microsoft.Storage/storageAccounts/blobServices/containers/blobs/*
		Trend Micro Storage ID-level permissions Azure定義ロール: Storage Blob Data Reader Microsoft.Storage/storageAccounts/blobServices/containers/read Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read