在特定场景中,为了顺利执行某个功能,云安全中心需要借助服务关联角色SLR(Service Linked Role)获取对其他云服务的访问权限。本文介绍云安全中心所使用的服务关联角色,包括其定义、应用场景等。
概述
云安全中心提供的服务关联角色如下表所示。
服务关联角色 | 云服务标识 | 应用场景 |
AliyunServiceRoleForSas | sas.aliyuncs.com |
|
AliyunServiceRoleForSasCloudSiem | cloudsiem.sas.aliyuncs.com | 允许云安全中心访问专有网络VPC、云防火墙等云产品的资源,以便威胁分析功能检测已接入的云产品日志,进行日志投递,并处置相关事件,提供告警统一管理、威胁溯源分析等能力。 |
AliyunServiceRoleForSasCspm | cspm.sas.aliyuncs.com | 允许云安全中心访问操作审计等云产品中的资源,以便云平台配置检查功能提供云平台配置检测能力。 |
AliyunServiceRoleForSasRd | rd.sas.aliyuncs.com | 用于在多账号场景下允许云安全中心委派管理员访问资源目录成员账号的云安全中心控制台,以便对企业的多个成员账号进行统一的安全防护配置,实时监测各个成员账号的安全风险状况。 |
AliyunServiceRoleForAntiRansomwareMssp | antiransomware.mssp.aliyuncs.com | 用于用户购买了防勒索托管服务后,允许托管服务专家访问云安全中心控制台及其他云产品中的资源,监控防勒索备份任务是否正常运行,以便提供防勒索托管服务。 |
创建服务关联角色
AliyunServiceRoleForSas
系统会在您首次使用以下功能并执行授权操作后,自动创建服务关联角色AliyunServiceRoleForSas。
功能模块 | 具体功能 |
风险治理 |
|
容器安全 |
|
主机安全 |
|
其他配置 |
|
AliyunServiceRoleForSasCloudSiem
首次使用威胁分析功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasCloudSiem。具体操作,请参见授权威胁分析功能访问云资源。
AliyunServiceRoleForSasCspm
首次使用云平台配置检查功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasCspm。
北京时间2022年11月21日起,云平台配置检查权限策略由服务关联角色AliyunServiceRoleForSas迁移至AliyunServiceRoleForSasCspm。为确保可以继续使用云平台配置检查提供的功能,您需要在访问云平台配置检查页面时,在角色权限策略迁移提醒对话框,单击确定,确认权限策略迁移信息。然后再单击立即授权,完成授权操作。
AliyunServiceRoleForSasRd
企业管理账号或委派管理员账号使用多账号安全管理功能将资源目录成员账号添加至监控账号列表后,自动在资源目录成员账号下创建服务关联角色AliyunServiceRoleForSasRd。
AliyunServiceRoleForAntiRansomwareMssp
首次使用防勒索服务并执行授权操作,或购买防勒索托管服务时创建服务关联角色,系统会自动创建服务关联角色AliyunServiceRoleForAntiRansomwareMssp。
查看服务关联角色
当服务关联角色创建成功后,您可以在RAM控制台的角色页面查看该服务关联角色的以下信息:
基本信息
在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。
权限策略
在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。
说明您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。
信任策略
在角色详情页的信任策略管理页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的
Service
字段查看。
关于如何查看服务关联角色,请参见查看RAM角色。
删除服务关联角色
当您长时间不使用云安全中心或者需要注销阿里云账号前,您可能需要在访问控制管理控制台手动删除服务关联角色。具体操作,请参见删除RAM角色。
相关文档
关于服务关联角色的更多信息,请参见服务关联角色。
- 本页导读 (1)