本文介绍如何自定义云安全中心的访问控制权限,并授予RAM用户使用云安全中心不同功能的权限,实现精细化的权限管理。

前提条件

已创建RAM用户。更多信息请参见创建RAM用户

背景信息

阿里云访问控制服务为各云产品提供默认的访问控制系统策略,同时支持用户自定义访问控制策略。系统策略由阿里云默认创建,不支持修改。
说明 云安全中心支持的默认策略为AliyunYundunSASFullAccess(表示允许RAM用户对云安全中心的所有功能进行操作)和AliyunYundunSASReadOnlyAccess(表示允许RAM用户只读访问云安全中心的所有数据)。

如果您需要对RAM用户访问和操作云产品进行更精确地限制,您可以使用自定义权限(即RAM Policy)。

本文以自定义资产中心的权限为例,介绍自定义权限策略配置的流程。建议您提前了解权限策略的相关信息,更多信息请参见权限策略语法和结构。有关访问控制的基本概念介绍,请参见基本概念

步骤一:创建云安全中心自定义权限策略

  1. 使用阿里云主账号登录RAM控制台
  2. 在左侧导航栏单击权限管理 > 权限策略管理
  3. 单击创建权限策略
  4. 输入策略名称备注
  5. 配置模式选择脚本配置并编辑策略内容新建自定义权限策略
    常见自定义权限示例:
    • 资产中心
      • 授权RAM用户资产中心只读权限

        以下策略表示授予RAM用户(在步骤二中绑定对应的RAM账户完成授权)只读资产中心的资产列表、服务器各项统计数据、资产列表的权限,您可以通过设置yundun-sas:DescribeCloudCenterInstancesyundun-sas:DescribeFieldStatisticsyundun-sas:DescribeCriteria来进行授权。

        {
            "Version": "1",
            "Statement": [
                {
                   "Action": [
                             "yundun-sas:DescribeCloudCenterInstances",
                             "yundun-sas:DescribeFieldStatistics",
                             "yundun-sas:DescribeCriteria"
                             ],
                    "Resource": "*",
                    "Effect": "Allow"
                }
            ]
        }
      • 授予RAM用户资产中心安全检查的权限

        以下策略表示授权RAM用户(在步骤二中绑定对应的RAM账户完成授权)允许执行资产中心安全检查的权限。您可以通过设置yundun-sas:ModifyPushAllTask来进行该授权。

        {
            "Version": "1",
            "Statement": [
                {
                    "Action": "yundun-sas:ModifyPushAllTask",
                    "Resource": "*",
                    "Effect": "Allow"
                }
            ]
        }
    • 漏洞修复
      • 授权RAM用户漏洞修复只读权限

        以下策略表示授予RAM用户(在步骤二中绑定对应的RAM账户完成授权)只读漏洞修复的漏洞列表、漏洞白名单的权限,您可以通过设置yundun-sas:DescribeVulListyundun-sas:DescribeVulWhitelist来进行授权。

        {
            "Version": "1",
            "Statement": [
                {
                   "Action": [
                             "yundun-aegis:DescribeVulList",
                             "yundun-sas:DescribeVulWhitelist"
                             ],
                    "Resource": "*",
                    "Effect": "Allow"
                }
            ]
        }
      • 授予RAM用户修复漏洞的权限

        以下策略表示授权RAM用户(在步骤二中绑定对应的RAM账户完成授权)允许执行漏洞修复的权限。您可以通过设置yundun-aegis:OperateVul来进行该授权。

        {
            "Version": "1",
            "Statement": [
                {
                   "Action": "yundun-aegis:OperateVul",
                    "Resource": "*",
                    "Effect": "Allow"
                }
            ]
        }
  6. 单击确定

步骤二:为RAM用户授权

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏单击权限管理 > 授权
  3. 单击新增授权
  4. 被授权主体区域,选择需要授权的RAM用户。
    新创建的RAM用户默认不支持任何权限。如何创建RAM用户,请参见创建RAM用户
  5. 选择权限区域,选择自定义策略并选择在步骤一:创建云安全中心自定义权限策略中创建的云安全中心自定义策略。添加授权
  6. 单击确定
  7. 单击完成

支持自定义权限策略的操作

以下各表格介绍了云安全中心主要的功能模块支持的自定义权限策略:

资产中心
RAM权限策略Action 描述 支持的API
yundun-sas:DescribeCloudCenterInstances 查询资产列表信息,包括资产的类型、是否存在安全告警、客户端在线状态等。 DescribeCloudCenterInstances
yundun-sas:DescribeFieldStatistics 查询资产实例的统计信息。 DescribeFieldStatistics
yundun-sas:DescribeCriteria 取查询资产时能显示的资产属性模糊匹配的查询条件。 DescribeCriteria
yundun-sas:ModifyPushAllTask 一键下发安全检查任务。 ModifyPushAllTask
yundun-sas:DescribeDomainCount 查询域名资产的数量。 DescribeDomainCount
yundun-sas:DeleteGroup 删除资产的分组。 DeleteGroup
yundun-sas:DescribeVolDingdingMessage 查询钉钉群二维码地址。 DescribeVolDingdingMessage
yundun-sas:DescribeSearchCondition 获取查询条件。 DescribeSearchCondition
yundun-sas:DescribeSasAssetStatisticsColumn 获取查询资产的筛选条件。 DescribeSasAssetStatisticsColumn
yundun-sas:DescribeImageStatistics 查询容器镜像资产的风险统计信息。 DescribeImageStatistics
yundun-sas:DescribeGroupedTags 查询资产标签的统计信息。 DescribeGroupedTags
yundun-sas:DescribeDomainCount 获取域名资产数量。 DescribeDomainCount
yundun-sas:DescribeCloudProductFieldStatistics 获取云产品统计信息。 DescribeCloudProductFieldStatistics
yundun-sas:DescribeCloudCenterInstances 设置搜索条件查询符合条件的资产信息。 DescribeCloudCenterInstances
yundun-sas:DescribeAllGroups 查询所有服务器分组信息。 DescribeAllGroups
yundun-sas:DeleteGroup 删除服务器分组。 DeleteGroup
yundun-sas:CreateOrUpdateAssetGroup 修改资产与资产分组的关系。 CreateOrUpdateAssetGroup
yundun-sas:DescribeInstanceStatistics 查询资产的风险统计信息。 DescribeInstanceStatistics
yundun-sas:AddTagWithUuid 为指定服务器添加标签。 AddTagWithUuid
yundun-sas:DeleteTagWithUuid 删除资产页资产绑定的标签。 DeleteTagWithUuid
yundun-sas:PauseClient 启用或暂停Agent客户端。 PauseClient
yundun-sas:ModifyTagWithUuid 修改标签与服务器或云产品的关系。 ModifyTagWithUuid
yundun-sas:ModifyAssetImportant 修改资产重要性标签。 ModifyAssetImportant
yundun-sas:DescribeSasAssetStatisticsColumn 查询资产中心服务器列表中显示列的资产信息。 DescribeSasAssetStatisticsColumn
yundun-sas:RefreshAssets 同步最新资产。 RefreshAssets
yundun-sas:ExportRecord 导出基线检查、资产、AK泄露等检测结果的Excel文件。 ExportRecord
yundun-sas:DescribeExportInfo 查看资产结果excel导出的进度。 DescribeExportInfo
yundun-sas:DescribeIpTags 查询标签。 DescribeIpTags
yundun-sas:DescribeDomainList 查询域名资产信息。 DescribeDomainList
yundun-sas:DescribeDomainDetail 获取域名资产详情。 DescribeDomainDetail
yundun-sas:DescribeDomainSecureScore 获取网站安全评分。 DescribeDomainSecureScore
yundun-sas:DescribeDomainSecureStatistics 获取网站安全风险统计数据。 DescribeDomainSecureStatistics
yundun-sas:DescribeDomainSecureRiskList 获取存在安全风险的网站列表。 DescribeDomainSecureRiskList
yundun-sas:DescribeDomainSecureAlarmList 获取存在安全告警的网站列表。 DescribeDomainSecureAlarmList
yundun-sas:DescribeDomainSecureVulList 获取存在漏洞的网站列表。 DescribeDomainSecureVulList
yundun-sas:DescribeDomainSecureSuggests 获取云安全中心提供的网站安全及建议。 DescribeDomainSecureSuggests
yundun-aegis:DescribeAssetDetailByUuid 根据UUID查询服务器资产详情。 DescribeAssetDetailByUuid
漏洞修复
RAM权限策略Action 描述 支持的API
yundun-sas:DescribeVulWhitelist 分页查询漏洞白名单。 DescribeVulWhitelist
yundun-sas:ModifyOperateVul 对检测到的漏洞执行对应的操作,包括验证漏洞、忽略漏洞、修复漏洞等。 ModifyOperateVul
yundun-sas:ModifyVulTargetConfig 设置单台服务器的漏洞配置。 ModifyVulTargetConfig
yundun-aegis:DescribeConcernNecessity 查询关注的漏洞修复必要性信息。 DescribeConcernNecessity
yundun-aegis:DescribeVulList 根据漏洞类型查询对应漏洞信息。 DescribeVulList
yundun-aegis:OperateVul 处理漏洞,验证漏洞、忽略漏洞、修复漏洞等。 OperateVul
yundun-aegis:DescribeImageVulList 查看云安全中心为您检测出的容器镜像漏洞列表。 DescribeImageVulList
ecs:DescribeSnapshots 查询一台ECS实例或一块云盘所有的快照列表。 DescribeSnapshots
ecs:DescribeDisks 查询信息磁盘。 DescribeDisks
ecs:CreateSnapshot 对指定的磁盘存储设备创建快照。 CreateSnapshot
说明 多数情况下RAM自定义权限策略中的action与该云产品的API一一对应,但也有例外。

相关文档

权限策略基本元素

权限策略语法和结构

通过RAM限制用户的访问IP地址

通过RAM限制用户的登录时间段