云安全中心如何防护跨账号资产安全_云安全中心(Security Center)-阿里云帮助中心

您可以使用云安全中心多账号安全管理功能，为企业中的多个阿里云账号进行统一的安全产品购买、安全防护配置及安全风险处置，并实时监测各个成员账号的安全风险状况。本文介绍如何使用多账号安全管理功能。

多账号使用场景

安全配置、风险统一管理

安全防护配置、安全风险的统一管理
成员账号的数据、配置相互独立，可通过云安全中心委派管理员账号统一管理多个成员账号的安全防护配置，处理安全风险并进行安全加固，提高安全运营效率，解决多个账号安全运维困难的问题。
跨账号日志接入、存储和威胁分析
使用云安全中心威胁分析与响应功能，可将成员账号的数据接入到委派管理员账号中，进行集中存储和分析，挖掘跨账号安全风险，提供全局的安全事件洞察视角。

多账号统一付费共享授权

委派管理员可统一购买云安全中心多个功能的授权数，然后向成员账号分配对应功能的授权数，成员账号无需购买可直接使用分配到的授权。可使企业实现统一购买云安全中心提供的安全功能，便于内部费用结算。

重要

如果成员账号已经购买了云安全中心实例，则不支持通过授权管理为该账号分配授权。如需分配授权，该成员账号需退订包年包月实例并关闭按量付费实例后，才支持分配授权。
如果您需要统一支付企业内成员账号的所有云产品费用，您可以使用财务托管功能。更多信息，请参见财务托管业务须知。
出于账号安全考虑，建议您使用云安全中心委派管理员购买授权，不使用管理账号。

多账号体系示例

由安全领域的专家使用安全账号（云安全中心委派管理员），统一管理企业内部生产环境、测试环境的阿里云账号，统一进行风险排查、风险处理和安全加固，可以提升安全运营效率。如果您企业的多账号场景较为复杂，您可以提交工单获取技术支持。

前提条件

已开通资源目录。具体操作，请参见开通资源目录。
已在资源目录中创建新的成员账号或邀请已有的阿里云账号。具体操作，请参见创建成员、邀请阿里云账号加入资源目录。

步骤一：添加委派管理员账号

资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后，委派管理员账号将获得管理账号的授权，可以在对应可信服务中访问资源目录组织和成员信息，并在该组织范围内进行业务管理。

使用企业管理账号登录资源管理控制台。
在左侧导航栏，选择资源目录 > 可信服务。
在可信服务页面，找到云安全中心，在操作列单击管理。
在委派管理员账号区域，单击添加。
在添加委派管理员账号面板，选择需要设置为委派管理员的成员，然后单击确定。
添加成功后，使用该委派管理员账号访问云安全中心的多账号安全管理功能，即可进行资源目录组织范围内的管理操作。
说明
最多支持添加10个云安全中心委派管理员账号。

步骤二：配置账号管控范围

使用委派管理员可以对成员账号进行统一管理，您可以参考下述操作步骤配置委派管理员可管辖的成员账号范围。

重要

委派管理员仅可查看并操作其管辖范围的成员账号，无法查看并操作其他委派管理员管辖范围的成员账号。如果您使用管理账号配置了账号管理范围，仅管理账号可以查看并操作自身已配置的成员账号。
成员账号在同一时间仅可归属于单一委派管理员管辖。

使用委派管理员账号登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
在左侧导航栏，选择系统设置 > 多账号安全管理。
（首次使用必选）在多账号安全管理页面，单击开启云安全中心管控。
在配置页签监控账号总数区域，单击账号管控。
在多账号管控设置面板，选中需要当前账号管控的成员账号。
（可选）开启新增账号自动管控，设置新增账号的管控策略。
开启该选项后，单击设置策略，选择目标资源目录节点，单击确定。当已选资源目录节点有新增账号时，将自动添加至管控列表。
单击确定。
在配置页签下可查看管控范围内的成员账号。

步骤三：（可选）授权数分配

企业可以使用委派管理员账号统一购买云安全中心包年包月的功能授权数，然后分配给成员账号使用。

授权分配限制

仅支持委派管理员账号为管辖范围内的成员账号分配云安全中心包年包月实例的授权。仅支持为未购买云安全中心包年包月实例，且未开通除无代理检测和Serverless安全外其他的按量付费服务的成员账号分配授权。支持分配的功能如下表。

功能名称	分配起始量和步长限制	补充说明
主机及容器安全旗舰版服务器授权企业版服务器授权高级版服务器授权防病毒版服务器授权	分配起始量：1台或1核步长：1台或1核	不支持对云安全中心按量付费实例进行统一结算或授权分配。不支持分配以下功能对应的授权数：漏洞修复安全大屏无代理检测（仅支持按量付费） Serverless安全（仅支持按量付费）说明已分配授权的成员账号需要使用漏洞修复能力时，可以为该成员账号分配高级版、企业版或旗舰版授权并绑定对应的服务器，这些版本可不限次进行漏洞修复。防病毒版不支持进行漏洞修复。不支持已分配授权的成员账号使用安全大屏功能。已分配授权的成员账号需要使用无代理检测和Serverless安全时，可以直接为该成员账号开通对应的按量付费服务。
防勒索容量	分配起始量：10 GB 步长：10 GB 说明购买防勒索托管服务后，成员账号分配的防勒索容量默认使用防勒索托管能力。
防勒索托管服务	分配起始量：10 GB 步长：10 GB 说明购买防勒索托管服务后，成员账号分配的防勒索容量默认使用防勒索托管能力。
日志分析容量	分配起始量：10 GB 步长：10 GB
容器镜像安全扫描	分配起始量：20 个步长：20 个
应用防护	分配起始量：1个步长：1个
云蜜罐	分配起始量：20个步长：20个
网页防篡改	分配起始量：1台步长：1台
云安全态势管理	分配起始量：15,000次步长：55,000次
恶意文件检测SDK	分配起始量：10万次步长：10万次
威胁分析与响应-日志接入流量	分配起始量：100 GB 步长：100 GB
威胁分析与响应-日志存储容量	分配起始量：1000 GB 步长：1000 GB

查看并购买授权数

使用委派管理员账号登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
在总览页面包年包月服务区域，查看云安全中心包年包月实例的授权数。
该区域展示了所有您已购买的功能及额度。如下图防勒索（GB）右侧显示的132.9/150，其中150表示当前阿里云账号购买的防勒索容量总授权数为150 GB，132.9表示当前账号已使用的防勒索容量（包括中国和全球（不含中国）区域）。
如需购买更多授权数，单击立即购买或立即升级，并完成购买。
具体操作，请参见购买包年包月实例、升级与降配。

分配授权数

使用委派管理员账号登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
在总览页面包年包月服务区域，单击多账号管理。
您也可以在系统配置 > 多账号安全管理页面配置页签下，单击监控账号总数下方的授权管理，进入多账号授权管理页面。
在多账号授权管理页面，单击编辑。
单击添加管控账号，在添加管控账号对话框，选择需要分配授权的成员账号，并单击确定。
- 仅支持为当前委派管理员管辖范围内的成员账号分配授权。不支持为未管控的成员账号或其他委派管理员账号管辖范围内的成员账号分配授权。
- 仅支持选择未购买云安全中心包年包月实例，且未开通除无代理检测和Serverless安全外其他的按量付费服务的成员账号。
在授权分配管理区域，为成员账号分配授权。
在已购买授权区域，查看当前账号已购买的功能及授权数。
授权分配管理区域显示的第一个账号为当前账号下剩余的可分配的授权数量，该账号所在的行不支持编辑，未分配的授权数会自动分配给当前账号。为成员账号分配某一个功能的授权数时，本次分配的授权数总额不得大于该列第一行最开始显示的数字。您为成员账号分配授权后，第一行的授权数会相应的减少。分配授权的起始量和步长限制，请参见授权分配限制。
单击保存。
为成员账号分配服务器授权后，系统会自动将已分配的授权随机绑定至成员账号的服务器中，尽可能的消耗完授权。后续为成员账号追加的授权，不会自动与服务器绑定，您需要切换到成员账号中手动绑定追加分配的授权。具体操作，请参见管理主机及容器安全授权数。

步骤四：管理成员账号的安全配置和风险

查看风险总览信息

查看成员账号的风险信息汇总
在系统配置 > 多账号安全管理页面总览页签，可查看管控范围内的成员账号的安全评分、风险资产数量、安全告警、漏洞、基线问题等统计数据。识别存在较多安全风险的成员账号。
在系统配置 > 多账号安全管理页面配置页签，可查看成员账号中存在的安全风险的统计数据。
查看成员账号的风险详情
在云安全中心控制台左上角，切换成员账号后，即可在成员账号的总览页面，查看该账号的安全运营信息。更多信息，请参见总览（新版）。

管理成员账号的安全配置及风险

使用委派管理员账号登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
在左侧导航栏，选择系统设置 > 多账号安全管理。
在系统配置 > 多账号安全管理页面配置页签，单击成员账号操作列的设置。
在设置面板，为成员账号设置客户端配置、漏洞和基线扫描设置，并单击确定。
- 客户端管理：配置安全防御能力及告警设置。
- 漏洞管理：为成员账号配置漏洞扫描设置。配置参数说明，请参见扫描漏洞。
- 基线检查：为成员账号配置基线检查策略。配置参数说明，请参见设置并执行基线检查策略。
在控制台左上角，切换成员账号，即可切换至成员账号控制台。
切换到成员账号控制台后，委派管理员账号可以进行资产梳理、风险发现、安全加固、实时防护和主动检测与响应。云安全中心的功能介绍请参见功能特性。

多账号安全管理