如果需要为运维人员自定义云安全中心的访问控制权限,例如只允许运维人员使用漏洞扫描、漏洞修复和基线检查功能,您可以在RAM控制台创建自定义策略并为运维人员的RAM用户授权,实现精细化权限管理。本文介绍如何为运维人员自定义云安全中心的访问控制权限。

前提条件

已为运维人员创建RAM用户。具体操作,请参见创建RAM用户

背景信息

阿里云访问控制服务为各云产品提供默认的访问控制系统策略,同时支持用户自定义访问控制策略。您可以使用自定义权限对RAM用户访问和操作云安全中心进行精确的限制。本文仅介绍如何对运维人员进行权限策略设置,实现只允许运维人员使用漏洞扫描、漏洞修复、基线检查和资产中心的功能。如果有其他的精细化权限管理需求,您可以自定义权限策略。具体操作,请参见RAM用户自定义权限最佳实践

步骤一:为运维人员创建云安全中心自定义权限策略

  1. 使用阿里云主账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略管理
  3. 单击创建权限策略
  4. 新建自定义权限策略页面,输入策略名称备注
  5. 配置模式选择脚本配置并编辑策略内容新建自定义权限策略
    策略内容中输入以下内容。
    说明 以下策略允许RAM用户使用漏洞扫描、漏洞修复、基线检查和资产中心功能并进行相关操作。添加该策略后,RAM用户具体可以执行的操作,请参见权限策略Action说明表格中的Action及其说明。
    {
        "Version": "1",
        "Statement": [{
                "Action": [
                    "yundun-aegis:OperateVul",
                    "yundun-aegis:ModifyStartVulScan"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "yundun-aegis:FixCheckWarnings",
                    "yundun-aegis:IgnoreHcCheckWarnings",
                    "yundun-aegis:ValidateHcWarnings"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": "ecs:RebootInstance",
                "Effect": "Allow",
                "Resource": "*",
                "Condition": {
                    "Bool": {
                        "acs:MFAPresent": "true"
                    }
                }
            },
            {
                "Action": "ecs:*",
                "Effect": "Allow",
                "Resource": [
                    "acs:ecs:*:*:*"
                ]
            },
            {
                "Action": "ecs:CreateSnapshot",
                "Effect": "Allow",
                "Resource": [
                    "acs:ecs:*:*:*",
                    "acs:ecs:*:*:snapshot/*"
                ]
            },
            {
                "Action": [
                    "ecs:Describe*"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }, {
                "Action": [
                    "yundun-sas:ModifyPushAllTask",
                    "yundun-sas:DeleteTagWithUuid",
                    "yundun-sas:ModifyTagWithUuid",
                    "yundun-sas:CreateOrUpdateAssetGroup",
                    "yundun-sas:DeleteGroup",
                    "yundun-sas:ModifyAssetImportant",
                    "yundun-sas:RefreshAssets"
    
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
  6. 单击确定

步骤二:为运维人员使用的RAM用户授权

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,单击权限管理 > 授权
  3. 单击新增授权
  4. 添加权限面板的被授权主体区域,选择需要授权的运维人员的RAM用户。
    新创建的RAM用户默认不支持任何权限。
  5. 选择权限区域,选择需要授予运维人员RAM用户的权限。
    您需要按照以下步骤选择权限。
    1. 系统策略下,搜索并选择AliyunYundunSASReadOnlyAccess策略。
      该系统策略可以授予运维人员只读访问云安全中心服务的权限。
    2. 单击自定义策略
    3. 选择步骤一:为运维人员创建云安全中心自定义权限策略中创建的自定义策略。
      该自定义策略可以授予运维人员管理云安全中心资产中心、漏洞扫描、漏洞修复和基线检查功能的权限,例如为服务器执行安全检查、执行一键漏洞扫描、修复漏洞等权限。
  6. 单击确定

权限策略Action说明

功能模块 Action 说明
漏洞修复 yundun-aegis:OperateVul 处理漏洞,包括执行验证漏洞、忽略漏洞、修复漏洞等操作。
yundun-aegis:ModifyStartVulScan 一键扫描漏洞。
ecs:RebootInstance 漏洞修复后重启实例。
ecs:CreateSnapshot 修复漏洞前创建快照。
基线检查 yundun-aegis:FixCheckWarnings 修复基线检查风险项。
yundun-aegis:IgnoreHcCheckWarnings 忽略或取消忽略基线检查风险项。
yundun-aegis:ValidateHcWarnings 验证基线检查风险项。
资产中心 yundun-sas:ModifyPushAllTask 为服务器执行安全检查任务。
yundun-sas:DeleteTagWithUuid 删除自定义标签。
yundun-sas:ModifyTagWithUuid 修改标签与服务器或云产品的关系。
yundun-sas:CreateOrUpdateAssetGroup 修改服务器与服务器分组的关系。
yundun-sas:DeleteGroup 删除服务器分组。
yundun-sas:ModifyAssetImportant 修改资产重要性标签。
yundun-sas:RefreshAssets 同步最新资产。

相关文档

RAM用户自定义权限最佳实践

RAM对多运维人员的权限管控

权限策略基本元素

权限策略语法和结构