文档

云安全中心服务关联角色

更新时间:

在特定场景中,为了顺利执行某个功能,云安全中心需要借助服务关联角色SLR(Service Linked Role)获取对其他云服务的访问权限。本文介绍云安全中心所使用的服务关联角色,包括其定义、应用场景等。

概述

云安全中心提供的服务关联角色如下表所示。

服务关联角色

云服务标识

应用场景

AliyunServiceRoleForSas

sas.aliyuncs.com

  • 允许云安全中心访问容器镜像服务、RDS数据库等云产品中的资源,以便检测容器资产中存在的安全风险。

  • 允许云安全中心访问专有网络VPC、云服务器ECS等云产品中的资源,以便云蜜罐功能为您提供云内外的攻击发现、攻击溯源能力。

  • 允许云安全中心访问云服务器ECS等云产品的资源,以便防暴力破解功能防止服务器的账号密码被暴力破解。

  • 允许云安全中心访问日志服务等云产品的资源,以便日志分析功能提供日志查询和分析能力。

  • 允许云安全中心访问云备份(Cloud Backup)、云服务器ECS等云产品的资源,以便防勒索功能提供勒索病毒防护和数据备份能力。

  • 允许云安全中心访问资源目录等云产品的资源(适用于企业管理员和委派管理员账号),以便多账号安全管理功能提供统一管控多个成员账号安全风险的能力。

  • 允许云安全中心访问对象存储OSS的资源,以便恶意文件检测SDK功能提供对OSS文件的病毒检测能力。

AliyunServiceRoleForSasCloudSiem

cloudsiem.sas.aliyuncs.com

允许云安全中心访问专有网络VPC、云防火墙等云产品的资源,以便威胁分析功能检测已接入的云产品日志,进行日志投递,并处置相关事件,提供告警统一管理、威胁溯源分析等能力。

AliyunServiceRoleForSasCspm

cspm.sas.aliyuncs.com

允许云安全中心访问操作审计等云产品中的资源,以便云平台配置检查功能提供云平台配置检测能力。

AliyunServiceRoleForSasRd

rd.sas.aliyuncs.com

用于在多账号场景下允许云安全中心委派管理员访问资源目录成员账号的云安全中心控制台,以便对企业的多个成员账号进行统一的安全防护配置,实时监测各个成员账号的安全风险状况。

AliyunServiceRoleForAntiRansomwareMssp

antiransomware.mssp.aliyuncs.com

用于用户购买了防勒索托管服务后,允许托管服务专家访问云安全中心控制台及其他云产品中的资源,监控防勒索备份任务是否正常运行,以便提供防勒索托管服务。

创建服务关联角色

AliyunServiceRoleForSas

系统会在您首次使用以下功能并执行授权操作后,自动创建服务关联角色AliyunServiceRoleForSas。

功能模块

具体功能

风险治理

  • 恶意文件检测SDK

  • 日志分析

容器安全

  • 容器资产

  • 镜像安全扫描

  • 容器签名

  • 容器K8s威胁检测

主机安全

  • 云蜜罐

  • 防暴力破解

  • 防勒索

  • 病毒查杀

  • 自适应威胁检测能力

其他配置

  • 任务中心

  • 多账号安全管理

AliyunServiceRoleForSasCloudSiem

首次使用威胁分析功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasCloudSiem。具体操作,请参见授权威胁分析功能访问云资源

AliyunServiceRoleForSasCspm

首次使用云平台配置检查功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasCspm。

说明

北京时间2022年11月21日起,云平台配置检查权限策略由服务关联角色AliyunServiceRoleForSas迁移至AliyunServiceRoleForSasCspm。为确保可以继续使用云平台配置检查提供的功能,您需要在访问云平台配置检查页面时,在角色权限策略迁移提醒对话框,单击确定,确认权限策略迁移信息。然后再单击立即授权,完成授权操作。

AliyunServiceRoleForSasRd

企业管理账号或委派管理员账号使用多账号安全管理功能将资源目录成员账号添加至监控账号列表后,自动在资源目录成员账号下创建服务关联角色AliyunServiceRoleForSasRd。

AliyunServiceRoleForAntiRansomwareMssp

首次使用防勒索服务并执行授权操作,或购买防勒索托管服务时创建服务关联角色,系统会自动创建服务关联角色AliyunServiceRoleForAntiRansomwareMssp。

查看服务关联角色

当服务关联角色创建成功后,您可以在RAM控制台的角色页面查看该服务关联角色的以下信息:

  • 基本信息

    在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。

    说明

    您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。

  • 信任策略

    在角色详情页的信任策略管理页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

关于如何查看服务关联角色,请参见查看RAM角色

删除服务关联角色

当您长时间不使用云安全中心或者需要注销阿里云账号前,您可能需要在访问控制管理控制台手动删除服务关联角色。具体操作,请参见删除RAM角色

相关文档

关于服务关联角色的更多信息,请参见服务关联角色

  • 本页导读 (1)
文档反馈