本文介绍如何自定义云安全中心的访问控制权限,并授予RAM用户使用云安全中心不同功能的权限,实现精细化的权限管理。

背景信息

阿里云访问控制服务为各云产品提供默认的访问控制系统策略,同时支持用户自定义访问控制策略。系统策略由阿里云默认创建,不支持修改。
说明 云安全中心支持的默认策略为AliyunYundunSASFullAccess(表示允许RAM用户对云安全中心的所有功能进行操作)和AliyunYundunSASReadOnlyAccess(表示允许RAM用户只读访问云安全中心的所有数据)。

如果您需要对RAM用户访问和操作云产品进行更精确地限制,您可以使用自定义权限(即RAM Policy)。

本文以自定义资产中心的权限为例,介绍自定义权限策略配置的流程。建议您提前了解权限策略的相关信息,更多信息,请参见权限策略语法和结构。有关访问控制的基本概念介绍,请参见基本概念

前提条件

已创建RAM用户。更多信息,请参见创建RAM用户

步骤一:创建云安全中心自定义权限策略

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略
  3. 权限策略页面,单击创建权限策略
  4. 创建权限策略页面,单击脚本编辑页签。
  5. 脚本编辑页签下,根据要自定义的权限策略类型配置策略内容。
    配置脚本如下:
    • 授权RAM用户资产中心只读权限

      以下策略表示授予RAM用户只读资产中心的资产列表、服务器各项统计数据、资产列表的权限,您可以通过设置yundun-sas:DescribeCloudCenterInstancesyundun-sas:DescribeFieldStatisticsyundun-sas:DescribeCriteria来进行授权。

      {
          "Version": "1",
          "Statement": [
              {
                 "Action": [
                           "yundun-sas:DescribeCloudCenterInstances",
                           "yundun-sas:DescribeFieldStatistics",
                           "yundun-sas:DescribeCriteria"
                           ],
                  "Resource": "*",
                  "Effect": "Allow"
              }
          ]
      }
    • 授予RAM用户资产中心安全检查的权限

      以下策略表示授权RAM用户(在步骤二中绑定对应的RAM账户完成授权)执行资产中心安全检查的权限。您可以通过设置yundun-sas:ModifyPushAllTask来进行该授权。

      {
          "Version": "1",
          "Statement": [
              {
                  "Action": "yundun-sas:ModifyPushAllTask",
                  "Resource": "*",
                  "Effect": "Allow"
              }
          ]
      }
    • 授权RAM用户漏洞修复只读权限

      以下策略表示授予RAM用户(在步骤二中绑定对应的RAM账户完成授权)只读漏洞修复的漏洞列表、漏洞白名单的权限,您可以通过设置yundun-aegis:DescribeVulListyundun-sas:DescribeVulWhitelist来进行授权。

      {
          "Version": "1",
          "Statement": [
              {
                 "Action": [
                           "yundun-aegis:DescribeVulList",
                           "yundun-sas:DescribeVulWhitelist"
                           ],
                  "Resource": "*",
                  "Effect": "Allow"
              }
          ]
      }
    • 授予RAM用户修复漏洞的权限

      以下策略表示授权RAM用户(在步骤二中绑定对应的RAM账户完成授权)允许执行漏洞修复的权限。您可以通过设置yundun-aegis:OperateVul来进行该授权。

      {
          "Version": "1",
          "Statement": [
              {
                 "Action": "yundun-aegis:OperateVul",
                  "Resource": "*",
                  "Effect": "Allow"
              }
          ]
      }
  6. 单击下一步:编辑基本信息,然后输入权限策略的名称备注
  7. 单击确定

步骤二:为RAM用户授权

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏选择权限管理 > 授权
  3. 授权页面,单击新增授权
  4. 授权主体区域,选择需要授权的RAM用户。
    新创建的RAM用户默认不支持任何权限。
  5. 选择权限区域,选择自定义策略,并选择在步骤一中创建的云安全中心自定义策略,单击确定,然后单击完成

支持自定义权限策略的操作

以下各表格介绍了云安全中心主要的功能模块支持的自定义权限策略:

资产中心

RAM权限策略Action 描述 支持的API
yundun-sas:DescribeCloudCenterInstances 查询资产列表信息。包括资产的类型、是否存在安全告警、客户端在线状态等。 DescribeCloudCenterInstances
yundun-sas:DescribeFieldStatistics 查询您资产中服务器的统计信息。 DescribeFieldStatistics
yundun-sas:DescribeCriteria 获取查询资产时,输入的模糊匹配值对应的查询条件信息。 DescribeCriteria
yundun-sas:ModifyPushAllTask 对服务器执行安全检查任务。 ModifyPushAllTask
yundun-sas:DescribeDomainCount 获取域名资产的数量。 DescribeDomainCount
yundun-sas:DeleteGroup 删除资产的分组。 DeleteGroup
yundun-sas:DescribeSearchCondition 查询资产的筛选条件。 DescribeSearchCondition
yundun-sas:DescribeImageStatistics 查询容器镜像资产的风险统计信息。 DescribeImageStatistics
yundun-sas:DescribeGroupedTags 查询资产标签的统计信息。 DescribeGroupedTags
yundun-sas:DescribeDomainCount 获取域名资产数量。 DescribeDomainCount
yundun-sas:DescribeCloudProductFieldStatistics 获取云产品统计信息。 DescribeCloudProductFieldStatistics
yundun-sas:DescribeCloudCenterInstances 查询资产信息。 DescribeCloudCenterInstances
yundun-sas:DescribeAllGroups 查询所有服务器分组信息。 DescribeAllGroups
yundun-sas:DeleteGroup 删除服务器分组。 DeleteGroup
yundun-sas:CreateOrUpdateAssetGroup 创建服务器分组或修改服务器分组下的服务器。 CreateOrUpdateAssetGroup
yundun-sas:DescribeInstanceStatistics 查询资产的风险统计信息。 DescribeInstanceStatistics
yundun-sas:PauseClient 启用或暂停Agent客户端。 PauseClient
yundun-sas:ModifyTagWithUuid 修改资产的标签名称或修改指定标签下包含的资产。 ModifyTagWithUuid
yundun-sas:RefreshAssets 同步最新资产。 RefreshAssets
yundun-sas:ExportRecord 导出资产中心、云平台配置检查、镜像安全扫描、攻击分析、AK泄露检测等页面的检测结果的Excel文件。 ExportRecord
yundun-sas:DescribeExportInfo 查看资产导出任务的进度。 DescribeExportInfo
yundun-sas:DescribeDomainList 查询域名资产信息列表。 DescribeDomainList
yundun-sas:DescribeDomainDetail 获取域名资产详情。 DescribeDomainDetail
yundun-aegis:DescribeAssetDetailByUuid 使用资产的UUID查询资产的详情。 DescribeAssetDetailByUuid

漏洞修复

RAM权限策略Action 描述 支持的API
yundun-sas:DescribeVulWhitelist 分页查询漏洞白名单。 DescribeVulWhitelist
yundun-sas:ModifyOperateVul 对检测到的漏洞进行处理,处理方式包括修复、验证、忽略等。 ModifyOperateVul
yundun-sas:ModifyVulTargetConfig 设置单台服务器的漏洞检测配置。 ModifyVulTargetConfig
yundun-aegis:DescribeConcernNecessity 查询关注的漏洞修复必要性信息。 DescribeConcernNecessity
yundun-aegis:DescribeVulList 根据漏洞类型查询对应漏洞信息。 DescribeVulList
yundun-aegis:ModifyOperateVul 对检测到的漏洞进行处理,处理方式包括修复、验证、忽略等。 ModifyOperateVul
yundun-aegis:DescribeImageVulList 查看镜像安全扫描的漏洞的详情及受漏洞影响容器镜像的信息列表。 DescribeImageVulList
yundun-aegis:ExportVul 导出漏洞列表。 ExportVul - 导出漏洞列表
yundun-aegis:DescribeVulExportInfo 查看漏洞导出任务的进度。 DescribeVulExportInfo - 查看漏洞导出任务的进度
说明 多数情况下RAM自定义权限策略中的Action与该云产品的API一一对应,但也有例外。

相关文档

权限策略基本元素

权限策略语法和结构

通过RAM限制用户的访问IP地址

通过RAM限制用户的访问时间段