首次登录全流量威胁检测与响应NDR(Network Detection and Response)控制台时,您必须授予NDR可以访问相关云资源的权限,才能正常使用NDR服务。本文介绍通过NDR服务关联角色AliyunServiceRoleForCloudNDR,进行云资源访问授权的相关内容,以及如何删除AliyunServiceRoleForCloudNDR。
背景信息
为了向您提供云上资产流量接入与检测能力,需要您授权允许NDR需要访问您的云服务器 ECS、负载均衡SLB、日志服务SLS等云服务资源,您可通过系统自动创建的NDR服务关联角色AliyunServiceRoleForCloudNDR进行访问授权。服务关联角色无需您手动创建或做任何修改。相关内容,请参见服务关联角色。
前提条件
使用阿里云账号或具备创建与删除服务关联角色权限的RAM用户账号。
如何为RAM用户授予操作服务关联角色的权限,请参见RAM用户无法自动创建全流量威胁检测与响应NDR服务关联角色AliyunServiceRoleForCloudNDR?。
如果RAM子用户已获得NDR的FullAccess权限,则其已拥有创建NDR专属服务关联角色的权限。
操作步骤
单击立即授权。
完成后,阿里云将自动为您创建NDR服务关联角色AliyunServiceRoleForCloudNDR。
您可以在RAM控制台的角色页面,查看阿里云为NDR自动创建的服务关联角色。只有创建服务关联角色AliyunServiceRoleForCloudNDR后,NDR实例才能访问ECS、SLB、SLS等资源,使用该权限查询实例、管理SLS等。
AliyunServiceRoleForCloudNDR权限说明
AliyunServiceRoleForCloudNDR默认拥有AliyunServiceRolePolicyForCloudNDR系统权限策略的授权。
AliyunServiceRolePolicyForCloudNDR中定义的权限如下所示。
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:DescribeInstances",
"ecs:DescribeNetworkInterfaces"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"slb:DescribeLoadBalancers"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"nlb:ListLoadBalancers"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"alb:GetLoadBalancerAttribute",
"alb:ListLoadBalancers"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeEipAddresses",
"vpc:DescribeNatGateways",
"vpc:DescribeIpv6Addresses"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:DescribeService",
"log:EnableService"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:ListProject",
"log:ListLogStores"
],
"Resource": "acs:log:*:*:project/*",
"Effect": "Allow"
},
{
"Action": [
"log:PostLogStoreLogs",
"log:GetProject",
"log:GetLogStore",
"log:CreateLogStore",
"log:CreateProject",
"log:GetIndex",
"log:CreateIndex",
"log:UpdateIndex",
"log:CreateDashboard",
"log:ClearLogStoreStorage",
"log:UpdateLogStore",
"log:UpdateDashboard",
"log:DeleteProject",
"log:CreateSavedSearch",
"log:UpdateSavedSearch",
"log:DeleteLogStore"
],
"Resource": "acs:log:*:*:project/ndr*",
"Effect": "Allow"
},
{
"Action": "yundun-aegis:DescribeAccesskeyLeakList",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "ndr.aliyuncs.com"
}
}
}
]
}关于权限策略语法的详细说明,请参见权限策略基本元素。
删除服务关联角色
如果不再使用全流量威胁检测与响应,您可以删除全流量威胁检测与响应服务关联角色AliyunServiceRoleForCloudNDR。只有当全流量威胁检测与响应实例已经过期并自动释放后,您才可以删除服务关联角色。具体操作,请参见删除RAM角色。
相关问题
您在使用主账号下的子用户进行产品登录与操作期间,弹窗提示没有权限怎么办?
您需要提前使用主账号对子用户进行授权,如果使用未授权的子用户登录后访问NDR产品时则会弹窗提示没有权限。具体操作步骤请参见账号开通与授权。
RAM用户无法自动创建全流量威胁检测与响应NDR服务关联角色AliyunServiceRoleForCloudNDR?
您需要拥有指定的权限才能自动创建或删除AliyunServiceRoleForCloudNDR。在RAM用户无法自动创建AliyunServiceRoleForCloudNDR时,您需为RAM用户添加以下权限策略。具体步骤,请参见为RAM用户授权。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:主账号ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"ndr.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}