本文为您介绍如何创建、查看和删除云安全中心服务关联角色。

概述

服务关联角色是一种可信实体为阿里云服务的RAM角色,旨在解决跨云服务的授权访问问题。云安全中心提供的服务关联角色如下表所示。
服务关联角色 云服务标识 权限策略
AliyunServiceRoleForSas sas.aliyuncs.com AliyunServiceRolePolicyForSas
AliyunServiceRoleForSasCloudSiem cloudsiem.sas.aliyuncs.com AliyunServiceRolePolicyForSasCloudSiem
AliyunServiceRoleForSasCspm cspm.sas.aliyuncs.com AliyunServiceRolePolicyForSasCspm

更多信息,请参见服务关联角色

AliyunServiceRoleForSas

应用场景

AliyunServiceRoleForSas的应用场景如下:

  • 用于允许云安全中心访问容器镜像服务、RDS数据库等云产品中的资源,以便检测您的容器资产中存在的安全风险。
  • 用于允许云安全中心访问专有网络VPC、云服务器ECS等云产品中的资源,以便云蜜罐功能为您提供云内外的攻击发现、攻击溯源能力。
  • 用于允许云安全中心访问云服务器ECS等云产品中的资源,以便防暴力破解功能防止您服务器的账号密码被暴力破解。
  • 用于允许云安全中心访问日志分析等云产品中的资源,以便日志分析功能为您提供日志查询和日志分析能力。
  • 用于允许云安全中心访问混合云备份、云服务器ECS等云产品中的资源,以便防勒索功能为您提供勒索病毒防护和数据备份能力。
  • 用于允许云安全中心访问资源目录等云产品中的资源,以便多账号安全管控功能为您提供统一管控多个阿里云账号和资源账号的能力。

创建服务关联角色

系统会在您首次使用以下功能并执行授权操作后,自动创建服务关联角色:
功能模块 具体功能
容器安全
  • 容器资产
  • 镜像安全扫描
  • 容器签名
  • 容器K8s威胁检测
主机安全
  • 云蜜罐
  • 防暴力破解
  • 防勒索
  • 病毒防御
  • 自适应威胁检测能力
检测响应 日志分析
其他配置
  • 任务中心
  • 多账号安全管控

查看服务关联角色

当服务关联角色创建成功后,您可以在RAM控制台的角色页面查看该服务关联角色的以下信息:

  • 基本信息

    在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。

    说明 您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。
  • 信任策略

    在角色详情页的信任策略管理页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

关于如何查看服务关联角色,请参见查看RAM角色

删除服务关联角色

当您长时间不使用云安全中心或者需要注销阿里云账号前,您可能需要在RAM控制台手动删除服务关联角色。具体操作,请参见删除RAM角色

AliyunServiceRoleForSasCloudSiem

应用场景

AliyunServiceRoleForSasCloudSiem用来允许云安全中心访问专有网络VPC、云防火墙等云产品中的资源,以便威胁分析功能检测您已接入的云产品的日志,进行日志投递,并处置相关事件,提供告警统一管理、威胁溯源分析等能力。

创建服务关联角色

首次使用威胁分析功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasCloudSiem。具体操作,请参见授权威胁分析功能访问云资源

查看服务关联角色

当服务关联角色创建成功后,您可以在RAM控制台的角色页面查看该服务关联角色的以下信息:

  • 基本信息

    在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。

    说明 您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。
  • 信任策略

    在角色详情页的信任策略管理页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

关于如何查看服务关联角色,请参见查看RAM角色

删除服务关联角色

当您长时间不使用云安全中心或者需要注销阿里云账号前,您可能需要在RAM控制台手动删除服务关联角色。具体操作,请参见删除RAM角色

AliyunServiceRoleForSasCspm

应用场景

AliyunServiceRoleForSasCspm用来允许云安全中心访问您在操作审计等云产品中的资源,以便云平台配置检查功能为您提供云平台配置检测能力。

创建服务关联角色

首次使用云平台配置检查功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasCspm。

说明 北京时间2022年11月21日云平台配置检查权限策略由服务关联角色AliyunServiceRoleForSas迁移至AliyunServiceRoleForSasCspm。为确保可以继续使用云平台配置检查提供的功能,您需要在访问云平台配置检查页面时,在角色权限策略迁移提醒对话框,单击确定,确认权限策略迁移信息。然后再单击立即授权,完成授权操作。

查看服务关联角色

当服务关联角色创建成功后,您可以在RAM控制台的角色页面查看该服务关联角色的以下信息:

  • 基本信息

    在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。

    说明 您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。
  • 信任策略

    在角色详情页的信任策略管理页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

关于如何查看服务关联角色,请参见查看RAM角色

删除服务关联角色

当您长时间不使用云安全中心或者需要注销阿里云账号前,您可能需要在RAM控制台手动删除服务关联角色。具体操作,请参见删除RAM角色