本文介绍如何自定义云安全中心的访问控制权限,并授予RAM用户使用云安全中心不同功能的权限,实现精细化的权限管理。
前提条件
背景信息
阿里云访问控制服务为各云产品提供默认的访问控制系统策略,同时支持用户自定义访问控制策略。系统策略由阿里云默认创建,不支持修改。
说明 云安全中心支持的默认策略为
AliyunYundunSASFullAccess(表示允许RAM用户对云安全中心的所有功能进行操作)和AliyunYundunSASReadOnlyAccess(表示允许RAM用户只读访问云安全中心的所有数据)。
如果您需要对RAM用户访问和操作云产品进行更精确地限制,您可以使用自定义权限(即RAM Policy)。
本文以自定义资产中心的权限为例,介绍自定义权限策略配置的流程。建议您提前了解权限策略的相关信息,更多信息请参见权限策略语法和结构。有关访问控制的基本概念介绍,请参见基本概念。
步骤一:创建云安全中心自定义权限策略
- 配置模式选择脚本配置并编辑策略内容。
常见自定义权限示例:- 资产中心
- 授权RAM用户资产中心只读权限
以下策略表示授予RAM用户(在步骤二中绑定对应的RAM账户完成授权)只读资产中心的资产列表、服务器各项统计数据、资产列表的权限,您可以通过设置
yundun-sas:DescribeCloudCenterInstances、yundun-sas:DescribeFieldStatistics和yundun-sas:DescribeCriteria来进行授权。{ "Version": "1", "Statement": [ { "Action": [ "yundun-sas:DescribeCloudCenterInstances", "yundun-sas:DescribeFieldStatistics", "yundun-sas:DescribeCriteria" ], "Resource": "*", "Effect": "Allow" } ] } - 授予RAM用户资产中心安全检查的权限
以下策略表示授权RAM用户(在步骤二中绑定对应的RAM账户完成授权)允许执行资产中心安全检查的权限。您可以通过设置
yundun-sas:ModifyPushAllTask来进行该授权。{ "Version": "1", "Statement": [ { "Action": "yundun-sas:ModifyPushAllTask", "Resource": "*", "Effect": "Allow" } ] }
- 授权RAM用户资产中心只读权限
- 漏洞修复
- 授权RAM用户漏洞修复只读权限
以下策略表示授予RAM用户(在步骤二中绑定对应的RAM账户完成授权)只读漏洞修复的漏洞列表、漏洞白名单的权限,您可以通过设置
yundun-sas:DescribeVulList和yundun-sas:DescribeVulWhitelist来进行授权。{ "Version": "1", "Statement": [ { "Action": [ "yundun-aegis:DescribeVulList", "yundun-sas:DescribeVulWhitelist" ], "Resource": "*", "Effect": "Allow" } ] } - 授予RAM用户修复漏洞的权限
以下策略表示授权RAM用户(在步骤二中绑定对应的RAM账户完成授权)允许执行漏洞修复的权限。您可以通过设置
yundun-aegis:OperateVul来进行该授权。{ "Version": "1", "Statement": [ { "Action": "yundun-aegis:OperateVul", "Resource": "*", "Effect": "Allow" } ] }
- 授权RAM用户漏洞修复只读权限
- 资产中心
步骤二:为RAM用户授权
- 在选择权限区域,选择自定义策略并选择在步骤一:创建云安全中心自定义权限策略中创建的云安全中心自定义策略。
支持自定义权限策略的操作
以下各表格介绍了云安全中心主要的功能模块支持的自定义权限策略:
资产中心
| RAM权限策略Action | 描述 | 支持的API |
|---|---|---|
| yundun-sas:DescribeCloudCenterInstances | 查询资产列表信息,包括资产的类型、是否存在安全告警、客户端在线状态等。 | DescribeCloudCenterInstances |
| yundun-sas:DescribeFieldStatistics | 查询资产实例的统计信息。 | DescribeFieldStatistics |
| yundun-sas:DescribeCriteria | 取查询资产时能显示的资产属性模糊匹配的查询条件。 | DescribeCriteria |
| yundun-sas:ModifyPushAllTask | 一键下发安全检查任务。 | ModifyPushAllTask |
| yundun-sas:DescribeDomainCount | 查询域名资产的数量。 | DescribeDomainCount |
| yundun-sas:DeleteGroup | 删除资产的分组。 | DeleteGroup |
| yundun-sas:DescribeVolDingdingMessage | 查询钉钉群二维码地址。 | DescribeVolDingdingMessage |
| yundun-sas:DescribeSearchCondition | 获取查询条件。 | DescribeSearchCondition |
| yundun-sas:DescribeSasAssetStatisticsColumn | 获取查询资产的筛选条件。 | DescribeSasAssetStatisticsColumn |
| yundun-sas:DescribeImageStatistics | 查询容器镜像资产的风险统计信息。 | DescribeImageStatistics |
| yundun-sas:DescribeGroupedTags | 查询资产标签的统计信息。 | DescribeGroupedTags |
| yundun-sas:DescribeDomainCount | 获取域名资产数量。 | DescribeDomainCount |
| yundun-sas:DescribeCloudProductFieldStatistics | 获取云产品统计信息。 | DescribeCloudProductFieldStatistics |
| yundun-sas:DescribeCloudCenterInstances | 设置搜索条件查询符合条件的资产信息。 | DescribeCloudCenterInstances |
| yundun-sas:DescribeAllGroups | 查询所有服务器分组信息。 | DescribeAllGroups |
| yundun-sas:DeleteGroup | 删除服务器分组。 | DeleteGroup |
| yundun-sas:CreateOrUpdateAssetGroup | 修改资产与资产分组的关系。 | CreateOrUpdateAssetGroup |
| yundun-sas:DescribeInstanceStatistics | 查询资产的风险统计信息。 | DescribeInstanceStatistics |
| yundun-sas:AddTagWithUuid | 为指定服务器添加标签。 | AddTagWithUuid |
| yundun-sas:DeleteTagWithUuid | 删除资产页资产绑定的标签。 | DeleteTagWithUuid |
| yundun-sas:PauseClient | 启用或暂停Agent客户端。 | PauseClient |
| yundun-sas:ModifyTagWithUuid | 修改标签与服务器或云产品的关系。 | ModifyTagWithUuid |
| yundun-sas:ModifyAssetImportant | 修改资产重要性标签。 | ModifyAssetImportant |
| yundun-sas:DescribeSasAssetStatisticsColumn | 查询资产中心服务器列表中显示列的资产信息。 | DescribeSasAssetStatisticsColumn |
| yundun-sas:RefreshAssets | 同步最新资产。 | RefreshAssets |
| yundun-sas:ExportRecord | 导出基线检查、资产、AK泄露等检测结果的Excel文件。 | ExportRecord |
| yundun-sas:DescribeExportInfo | 查看资产结果excel导出的进度。 | DescribeExportInfo |
| yundun-sas:DescribeIpTags | 查询标签。 | DescribeIpTags |
| yundun-sas:DescribeDomainList | 查询域名资产信息。 | DescribeDomainList |
| yundun-sas:DescribeDomainDetail | 获取域名资产详情。 | DescribeDomainDetail |
| yundun-sas:DescribeDomainSecureScore | 获取网站安全评分。 | DescribeDomainSecureScore |
| yundun-sas:DescribeDomainSecureStatistics | 获取网站安全风险统计数据。 | DescribeDomainSecureStatistics |
| yundun-sas:DescribeDomainSecureRiskList | 获取存在安全风险的网站列表。 | DescribeDomainSecureRiskList |
| yundun-sas:DescribeDomainSecureAlarmList | 获取存在安全告警的网站列表。 | DescribeDomainSecureAlarmList |
| yundun-sas:DescribeDomainSecureVulList | 获取存在漏洞的网站列表。 | DescribeDomainSecureVulList |
| yundun-sas:DescribeDomainSecureSuggests | 获取云安全中心提供的网站安全及建议。 | DescribeDomainSecureSuggests |
| yundun-aegis:DescribeAssetDetailByUuid | 根据UUID查询服务器资产详情。 | DescribeAssetDetailByUuid |
漏洞修复
| RAM权限策略Action | 描述 | 支持的API |
|---|---|---|
| yundun-sas:DescribeVulWhitelist | 分页查询漏洞白名单。 | DescribeVulWhitelist |
| yundun-sas:ModifyOperateVul | 对检测到的漏洞执行对应的操作,包括验证漏洞、忽略漏洞、修复漏洞等。 | ModifyOperateVul |
| yundun-sas:ModifyVulTargetConfig | 设置单台服务器的漏洞配置。 | ModifyVulTargetConfig |
| yundun-aegis:DescribeConcernNecessity | 查询关注的漏洞修复必要性信息。 | DescribeConcernNecessity |
| yundun-aegis:DescribeVulList | 根据漏洞类型查询对应漏洞信息。 | DescribeVulList |
| yundun-aegis:OperateVul | 处理漏洞,验证漏洞、忽略漏洞、修复漏洞等。 | OperateVul |
| yundun-aegis:DescribeImageVulList | 查看云安全中心为您检测出的容器镜像漏洞列表。 | DescribeImageVulList |
| ecs:DescribeSnapshots | 查询一台ECS实例或一块云盘所有的快照列表。 | DescribeSnapshots |
| ecs:DescribeDisks | 查询信息磁盘。 | DescribeDisks |
| ecs:CreateSnapshot | 对指定的磁盘存储设备创建快照。 | CreateSnapshot |
说明 多数情况下RAM自定义权限策略中的action与该云产品的API一一对应,但也有例外。
在文档使用中是否遇到以下问题
更多建议
匿名提交