如需对RAM用户使用云安全中心相关功能做精细化的权限管理,您可以通过授予RAM用户系统权限策略或自定义权限策略来实现。本文介绍如何授予RAM用户系统权限策略和自定义权限策略,实现精细化的权限管理。

背景信息

阿里云访问控制服务为各云产品提供默认的访问控制系统策略,同时支持用户自定义访问控制策略。系统策略由阿里云默认创建,不支持修改。您可以使用自定义权限对RAM用户访问和操作云安全中心进行精确的限制。

说明 云安全中心支持的默认策略为AliyunYundunSASFullAccess(表示允许RAM用户对云安全中心的所有功能进行操作)和AliyunYundunSASReadOnlyAccess(表示允许RAM用户只读访问云安全中心的所有数据)。

前提条件

已创建RAM用户。具体操作,请参见创建RAM用户

授予RAM用户系统策略

阿里云提供了费用中心、访问或管理云安全中心相关的系统策略。如果RAM用户购买、续费、退订云安全中心实例时提示无权限,或RAM用户访问云安全中心提示暂无权限,请检查权限,您可以参考以下步骤授予RAM用户对应的系统策略实现为RAM用户授权。
重要 费用中心的系统权限策略对所有云产品生效。给RAM用户授权费用中心相关系统策略后,RAM用户将拥有购买、续费、退订所有云产品的权限。
  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户页面,单击目标RAM用户操作列的添加权限
  4. 添加权限面板,为RAM用户添加权限。
    1. 选择授权应用范围。
      • 整个云账号:权限在当前阿里云账号内生效。
      • 指定资源组:权限在指定的资源组内生效。
        说明 指定资源组授权生效的前提是该云服务已支持资源组。更多信息,请参见支持资源组的云服务
    2. 授权主体会自动填入当前RAM用户,无需手动填写。
    3. 根据使用场景选择系统策略下的指定策略,并单击确定

      如需为RAM用户授予购买、续费、退订云安全中心实例的权限,选择系统策略AliyunBSSOrderAccessAliyunBSSRefundAccess

      选择系统策略AliyunYundunSASReadOnlyAccess

      选择系统策略AliyunYundunSASFullAccess

  5. 单击完成

授予RAM用户自定义策略

参考以下步骤使用自定义权限对RAM用户访问和操作云安全中心进行精确的限制。

一、创建云安全中心自定义权限策略

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略
  3. 权限策略页面,单击创建权限策略
  4. 创建权限策略页面,单击脚本编辑页签。
    根据您的使用场景配置对应脚本。
    说明 在运维人员权限场景中,该脚本的权限策略允许RAM用户使用漏洞扫描、漏洞修复、基线检查和资产中心功能并进行相关操作。添加该策略后,RAM用户具体可以执行的操作,请参见支持自定义权限策略的操作表格中的Action及其说明。

    {
        "Version": "1",
        "Statement": [
            {
               "Action": [
                         "yundun-sas:DescribeCloudCenterInstances",
                         "yundun-sas:DescribeFieldStatistics",
                         "yundun-sas:DescribeCriteria"
                         ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
    {
        "Version": "1",
        "Statement": [
            {
                "Action": "yundun-sas:ModifyPushAllTask",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
    {
        "Version": "1",
        "Statement": [
            {
               "Action": [
                         "yundun-aegis:DescribeVulList",
                         "yundun-sas:DescribeVulWhitelist"
                         ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
    {
        "Version": "1",
        "Statement": [
            {
               "Action": "yundun-aegis:OperateVul",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
    {
        "Version": "1",
        "Statement": [{
                "Action": [
                    "yundun-aegis:OperateVul",
                    "yundun-aegis:ModifyStartVulScan"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "yundun-aegis:FixCheckWarnings",
                    "yundun-aegis:IgnoreHcCheckWarnings",
                    "yundun-aegis:ValidateHcWarnings"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": "ecs:RebootInstance",
                "Effect": "Allow",
                "Resource": "*",
                "Condition": {
                    "Bool": {
                        "acs:MFAPresent": "true"
                    }
                }
            },
            {
                "Action": "ecs:*",
                "Effect": "Allow",
                "Resource": [
                    "acs:ecs:*:*:*"
                ]
            },
            {
                "Action": "ecs:CreateSnapshot",
                "Effect": "Allow",
                "Resource": [
                    "acs:ecs:*:*:*",
                    "acs:ecs:*:*:snapshot/*"
                ]
            },
            {
                "Action": [
                    "ecs:Describe*"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }, {
                "Action": [
                    "yundun-sas:ModifyPushAllTask",
                    "yundun-sas:DeleteTagWithUuid",
                    "yundun-sas:ModifyTagWithUuid",
                    "yundun-sas:CreateOrUpdateAssetGroup",
                    "yundun-sas:DeleteGroup",
                    "yundun-sas:ModifyAssetImportant",
                    "yundun-sas:RefreshAssets"
    
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
  5. 单击下一步:编辑基本信息,然后输入权限策略的名称备注
  6. 单击确定

二、为RAM用户授权

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 授权
  3. 授权页面,单击新增授权
  4. 新增授权面板,为RAM用户添加权限。
    新创建的RAM用户默认不支持任何权限。
    1. 选择授权应用范围。
      • 整个云账号:权限在当前阿里云账号内生效。
      • 指定资源组:权限在指定的资源组内生效。
        说明 指定资源组授权生效的前提是该云服务已支持资源组。更多信息,请参见支持资源组的云服务
    2. 输入授权主体。
      授权主体即需要授权的RAM用户。
    3. 系统策略页签下,搜索并选择AliyunYundunSASReadOnlyAccess策略。
      该系统策略可以授予运维人员只读访问云安全中心服务的权限。
    4. 单击自定义策略页签,选择一、创建云安全中心自定义权限策略中创建的自定义策略。
  5. 单击确定

支持自定义权限策略的操作

以下内容介绍云安全中心主要的功能模块支持的自定义权限策略。
说明 多数情况下RAM自定义权限策略中的Action与该云产品的API一一对应。

资产中心

RAM权限策略Action 描述 支持的API
yundun-sas:DescribeCloudCenterInstances 查询资产列表信息。包括资产的类型、是否存在安全告警、客户端在线状态等。 DescribeCloudCenterInstances - 查询资产信息
yundun-sas:DescribeFieldStatistics 查询您资产中服务器的统计信息。 DescribeFieldStatistics - 查询资产中服务器的统计信息
yundun-sas:DescribeCriteria 获取查询资产时,输入的模糊匹配值对应的查询条件信息。 DescribeCriteria - 查询资产时的查询条件
yundun-sas:ModifyPushAllTask 对服务器执行安全检查任务。 ModifyPushAllTask - 一键下发安全检查任务
yundun-sas:DescribeDomainCount 获取域名资产的数量。 ModifyPushAllTask - 一键下发安全检查任务
yundun-sas:DeleteGroup 删除资产的分组。 DeleteGroup - 删除服务器分组
yundun-sas:DescribeSearchCondition 查询资产的筛选条件。 DescribeSearchCondition - 查询资产的筛选条件
yundun-sas:DescribeImageStatistics 查询容器镜像资产的风险统计信息。 DescribeImageStatistics - 查询容器镜像资产的风险统计信息
yundun-sas:DescribeGroupedTags 查询资产标签的统计信息。 DescribeGroupedTags - 查询标签的统计信息
yundun-sas:DescribeDomainCount 获取域名资产数量。 DescribeDomainCount - 查询域名资产数量
yundun-sas:DescribeCloudProductFieldStatistics 获取云产品统计信息。 DescribeCloudProductFieldStatistics - 查询云产品统计信息
yundun-sas:DescribeCloudCenterInstances 查询资产信息。 DescribeCloudCenterInstances - 查询资产信息
yundun-sas:DescribeAllGroups 查询所有服务器分组信息。 DescribeAllGroups - 查询服务器分组信息
yundun-sas:DeleteGroup 删除服务器分组。 DeleteGroup - 删除服务器分组
yundun-sas:CreateOrUpdateAssetGroup 创建服务器分组或修改服务器分组下的服务器。 CreateOrUpdateAssetGroup - 修改资产与资产分组关系
yundun-sas:DescribeInstanceStatistics 查询资产的风险统计信息。 DescribeInstanceStatistics - 查询服务器的统计信息
yundun-sas:PauseClient 启用或暂停Agent客户端。 PauseClient - 启用或暂停Agent客户端
yundun-sas:ModifyTagWithUuid 修改资产的标签名称或修改指定标签下包含的资产。 ModifyTagWithUuid - 修改资产标签名或标签中的资产
yundun-sas:RefreshAssets 同步最新资产。 RefreshAssets - 同步资产
yundun-sas:ExportRecord 导出资产中心、云平台配置检查、镜像安全扫描、攻击分析、AK泄露检测等页面的检测结果的Excel文件。 ExportRecord - 导出结果列表
yundun-sas:DescribeExportInfo 查看资产导出任务的进度。 DescribeExportInfo - 查看资产列表的导出进度
yundun-sas:DescribeDomainList 查询域名资产信息列表。 DescribeDomainList - 查询域名资产信息
yundun-sas:DescribeDomainDetail 获取域名资产详情。 DescribeDomainDetail - 查询域名资产详情
yundun-aegis:DescribeAssetDetailByUuid 使用资产的UUID查询资产的详情。 DescribeAssetDetailByUuid - 查询服务器资产详情和扩展信息

漏洞修复

RAM权限策略Action 描述 支持的API
yundun-sas:DescribeVulWhitelist 分页查询漏洞白名单。 DescribeVulWhitelist - 分页查询漏洞白名单
yundun-sas:ModifyOperateVul 对检测到的漏洞进行处理,处理方式包括修复、验证、忽略等。 ModifyOperateVul - 对检测到的漏洞进行处理
yundun-sas:ModifyVulTargetConfig 设置单台服务器的漏洞检测配置。 ModifyVulTargetConfig - 设置单台服务器的漏洞检测配置
yundun-aegis:DescribeConcernNecessity 查询关注的漏洞修复必要性信息。 DescribeConcernNecessity - 查询关注的漏洞修复必要性信息
yundun-aegis:DescribeVulList 根据漏洞类型查询对应漏洞信息。 DescribeVulList - 根据漏洞类型查询对应漏洞信息
yundun-aegis:ModifyOperateVul 对检测到的漏洞进行处理,处理方式包括修复、验证、忽略等。 ModifyOperateVul - 对检测到的漏洞进行处理
yundun-aegis:DescribeImageVulList 查看镜像安全扫描的漏洞的详情及受漏洞影响容器镜像的信息列表。 DescribeImageVulList - 查看容器镜像漏洞列表
yundun-aegis:ExportVul 导出漏洞列表。 ExportVul - 导出漏洞列表
yundun-aegis:DescribeVulExportInfo 查看漏洞导出任务的进度。 DescribeVulExportInfo - 查看漏洞导出任务的进度

基线检查

RAM权限策略Action 描述 支持的API
yundun-aegis:FixCheckWarnings 修复基线检查风险项。 FixCheckWarnings - 修复基线检查风险项
yundun-aegis:IgnoreHcCheckWarnings 忽略或取消忽略基线检查风险项。 IgnoreHcCheckWarnings - 对基线的风险项批量执行忽略或取消忽略
yundun-aegis:ValidateHcWarnings 验证基线检查风险项。 ValidateHcWarnings - 批量验证基线检查风险项

相关文档

权限策略基本元素

权限策略语法和结构

通过RAM管控多运维人员的权限

通过访问控制服务限制RAM用户访问云资源的IP地址

通过访问控制服务限制RAM用户访问云资源的时间段