配置NDR拒绝查看敏感数据和拒绝导出数据策略_云防火墙(Cloud Firewall)-阿里云帮助中心

阿里云全流量威胁检测与响应NDR（Network Detection and Response）产品默认支持查看和下载敏感信息详情及相关报文Payload信息。为防止敏感信息泄露，企业可能需要限制这些数据的查看和导出权限。本文介绍如何通过RAM产品配置策略，限制RAM账号查看和导出敏感数据的权限。

支持检测的敏感数据类型

说明

表格中短划线（-）表示为空。

序号	数据类型	序号	数据类型	序号	数据类型	序号	数据类型	序号	数据类型	序号	数据类型
1	储蓄银行卡	9	身份证(中国内地)	17	AccessKeyId	25	港澳通行证	33	护照号(中国内地)	41	军官证
2	KEY私钥	10	身份证(中国香港)	18	姓名（简体中文）	26	地址（中国内地）	34	手机号（中国内地）	42	邮箱
3	车牌号（中国内地）	11	固定电话（中国内地）	19	性别	27	民族	35	省份（中国内地）	43	城市（中国内地）
4	姓名（繁体中文）	12	姓名（英文）	20	身份证号（马来西亚）	28	身份证号（新加坡）	36	国际银行账号（swiftcode）	44	美国社会安全号码（SSN）
5	固定电话（美国）	13	宗教信仰	21	MAC地址	29	JDBC连接串	37	PEM证书	45	AccessKeySecret
6	IMEI	14	MEID	22	Linux-Passwd文件	30	Linux-Shadow文件	38	营业执照号码	46	税务登记证号码
7	组织机构代码	15	统一社会信用代码	23	车辆识别码（车架号VIN）	31	阿里云AKSK密钥对	39	密码	47	LegacyOpenaiApiKey
8	ProjectOpenaiApiKey	16	BailianApiKey	24	HuggingFaceApiKey	32	GroqApiKey	40	PaiEasToken	48	—

前提条件

已创建RAM用户，创建RAM用户操作请参见创建RAM用户。
管理账号具备RAM产品的使用权限和能力，能够创建RAM子账号和管理RAM策略。

NDR产品涉及敏感数据查看和导出数据的权限列表

鉴权操作	说明
`yundun-cloudfirewall:DescribeDecryptData`	对敏感数据解密
`yundun-cloudfirewall:DescribeAssetRiskDataPublicLogPayload`	查看传输敏感数据的报文 Payload
`yundun-cloudfirewall:CreateExportTask`	导出数据

操作步骤

创建自定义权限策略

在左侧导航栏，选择权限管理 > 权限策略，单击创建权限策略，选择脚本编辑页签。

在脚本编辑页签中，添加如下脚本，并单击确定。

{
    "Version": "1",
    "Statement": [
        {
            "Action": "yundun-cloudfirewall:DescribeDecryptData",
            "Resource": "*",
            "Effect": "Deny"
        },
        {
            "Action": "yundun-cloudfirewall:DescribeAssetRiskDataPublicLogPayload",
            "Resource": "*",
            "Effect": "Deny"
        }
    ]
}

在创建权限策略弹窗中设置权限策略名称和备注，并单击确定。
权限策略名称命名为拒绝查看敏感数据。

在权限策略页面，单击创建权限策略，在脚本编辑页签中添加脚本，并单击确定。

{
    "Version": "1",
    "Statement": [
        {
          "Action": "yundun-cloudfirewall:CreateExportTask",
          "Resource": "*",
          "Effect": "Deny"
        }
    ]
}

在创建权限策略弹窗中设置名称为拒绝导出数据，设置备注为禁止授权用户导出数据，并单击确定。
在左侧导航栏，选择权限管理 > 权限策略，策略类型下拉列表中选择自定义策略，查看创建的自定义权限策略。

配置权限策略

在左侧导航栏，选择身份管理 > 用户，选择需要授权的用户，单击操作列中的添加权限。

根据实际需要选择拒绝敏感数据查看权限、拒绝导出数据权限和NDR的系统权限。

权限策略名称	权限范围
`AliyunYundunCloudFirewallReadOnlyAccess`	只读访问云盾云防火墙（CloudFirewall）的权限
`AliyunYundunCloudFirewallFullAccess`	管理云盾云防火墙（CloudFirewall）的权限
拒绝查看敏感数据	RAM用户拒绝查看敏感数据权限策略
拒绝导出数据	RAM用户拒绝导出数据权限策略

说明

只读访问云盾云防火墙（CloudFirewall）的权限和管理云盾云防火墙（CloudFirewall）的权限都可以添加拒绝查看敏感数据权限策略和拒绝导出数据权限策略。

单击确认新增授权。

已授权策略验证

登录全流量威胁检测与响应控制台。
在左侧导航栏，选择检测响应 > 行为分析。
选择登录行为页签，分别在特权账号、弱口令、明文密码、已泄露AKSK等页签中的列表右上方。
- 单击敏感信息，如果该账号配置了敏感数据访问权限控制，则该操作会被拒绝并弹窗提示。
- 单击图标，进行数据导出操作时，如果该账号配置了导出数据权限控制，则该操作会被拒绝并弹窗提示。
- 单击操作列中的详情，在详情面板中。
  单击操作列中的查看Payload查看数据时，如果该账号进行了敏感数据访问权限控制，则该操作会被拒绝并弹窗提示，或者单击列表右上角的图标，进行数据下载操作时，如果该账号进行了导出数据权限控制，则该操作会被拒绝并弹窗提示。
选择敏感数据行为页签。
- 单击图标，进行数据导出操作时，如果该账号配置了导出数据权限控制，则该操作会被拒绝并弹窗提示。
- 单击操作列中的详情，在详情面板中。
  - 单击敏感信息数量列中的数字、操作列中的查看Payload查看数据时，如果该账号进行了敏感数据访问权限控制，则该操作会被拒绝并弹窗提示。
  - 单击列表右上角的图标，进行数据下载操作时，如果该账号进行了导出数据权限控制，则该操作会被拒绝并弹窗提示。