如需对RAM用户使用云安全中心相关功能做精细化的权限管理,您可以通过授予RAM用户系统权限策略或自定义权限策略来实现。本文介绍如何授予RAM用户系统权限策略和自定义权限策略,实现精细化的权限管理。
背景信息
阿里云访问控制服务为各云产品提供默认的访问控制系统策略,同时支持用户自定义访问控制策略。系统策略由阿里云默认创建,不支持修改。您可以使用自定义权限对RAM用户访问和操作云安全中心进行精确的限制。
云安全中心支持的默认策略为AliyunYundunSASFullAccess(表示允许RAM用户对云安全中心的所有功能进行操作)和AliyunYundunSASReadOnlyAccess(表示允许RAM用户只读访问云安全中心的所有数据)。
前提条件
已创建RAM用户。具体操作,请参见创建RAM用户。
授予RAM用户系统策略
阿里云提供了费用中心、访问或管理云安全中心相关的系统策略。如果RAM用户购买、续费、退订云安全中心实例时提示无权限,或RAM用户访问云安全中心提示暂无权限,请检查权限,您可以参考以下步骤授予RAM用户对应的系统策略实现为RAM用户授权。
费用中心的系统权限策略对所有云产品生效。给RAM用户授权费用中心相关系统策略后,RAM用户将拥有购买、续费、退订所有云产品的权限。
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在用户页面,单击目标RAM用户操作列的添加权限。
您也可以选中多个RAM用户,单击用户列表下方的添加权限,为RAM用户批量授权。
在添加权限面板中,为RAM用户添加权限。
选择资源范围。
账号级别:权限在当前阿里云账号内生效。
资源组级别:权限在指定的资源组内生效。
重要指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务。资源组授权示例,请参见使用资源组限制RAM用户管理指定的ECS实例。
选择授权主体。
授权主体即需要添加权限的RAM用户。系统会自动选择当前的RAM用户。
根据使用场景选择系统策略下的指定策略,并单击确认新增授权。
场景
系统策略
购买、续费、退订云安全中心实例
AliyunBSSOrderAccess、AliyunBSSRefundAccess
只读访问云安全中心
AliyunYundunSASReadOnlyAccess
管理云安全中心
AliyunYundunSASFullAccess
单击关闭。
授予RAM用户自定义策略
参考以下步骤使用自定义权限对RAM用户访问和操作云安全中心进行精确的限制。
步骤一:创建云安全中心自定义权限策略
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在权限策略页面,单击创建权限策略。
在创建权限策略页面,单击脚本编辑页签。
根据您的使用场景配置对应脚本。
说明在运维人员权限场景中,该脚本的权限策略允许RAM用户使用漏洞扫描、漏洞修复、基线检查和资产中心功能并进行相关操作。添加该策略后,RAM用户具体可以执行的操作,请参见本文支持自定义权限策略的操作表格中的Action及其说明。
使用场景
脚本配置
自动续费的询价(
bssapi:QueryAvailableInstances)和设置(bssapi:SetRenewal){ "Version": "1", "Statement": [ { "Action": [ "bssapi:QueryAvailableInstances", "bssapi:SetRenewal", "bss:ModifyPrepaidInstanceAutoRenew", "bss:PayOrder", "bss:QueryPrice", "bss:RefundBatchRemainRefund" ], "Resource": "*", "Effect": "Allow" } ] }修改自动续费(
bss:ModifyPrepaidInstanceAutoRenew)续费和变配的订单支付(
bss:PayOrder)折扣价格显示(
bss:QueryPrice)申请退款(
bss:RefundBatchRemainRefund)资产中心只读
{ "Version": "1", "Statement": [ { "Action": [ "yundun-sas:DescribeCloudCenterInstances", "yundun-sas:DescribeFieldStatistics", "yundun-sas:DescribeCriteria" ], "Resource": "*", "Effect": "Allow" } ] }资产中心安全检查
{ "Version": "1", "Statement": [ { "Action": "yundun-sas:ModifyPushAllTask", "Resource": "*", "Effect": "Allow" } ] }漏洞管理只读
{ "Version": "1", "Statement": [ { "Action": [ "yundun-sas:DescribeVulList", "yundun-sas:DescribeVulWhitelist" ], "Resource": "*", "Effect": "Allow" } ] }漏洞管理
{ "Version": "1", "Statement": [ { "Action": "yundun-sas:OperateVul", "Resource": "*", "Effect": "Allow" } ] }运维人员权限
{ "Version": "1", "Statement": [{ "Action": [ "yundun-sas:OperateVul", "yundun-sas:ModifyStartVulScan" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "yundun-sas:FixCheckWarnings", "yundun-sas:IgnoreHcCheckWarnings", "yundun-sas:ValidateHcWarnings" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ecs:RebootInstance", "Effect": "Allow", "Resource": "*", "Condition": { "Bool": { "acs:MFAPresent": "true" } } }, { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:*" ] }, { "Action": "ecs:CreateSnapshot", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:*", "acs:ecs:*:*:snapshot/*" ] }, { "Action": [ "ecs:Describe*" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "yundun-sas:ModifyPushAllTask", "yundun-sas:DeleteTagWithUuid", "yundun-sas:ModifyTagWithUuid", "yundun-sas:CreateOrUpdateAssetGroup", "yundun-sas:DeleteGroup", "yundun-sas:ModifyAssetImportant", "yundun-sas:RefreshAssets" ], "Resource": "*", "Effect": "Allow" } ] }单击继续编辑基本信息,然后输入权限策略的名称和备注。
单击确定。
步骤二:为RAM用户授权
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在授权页面,单击新增授权。
在新增授权面板,为RAM用户添加权限。
新创建的RAM用户默认不支持任何权限。
选择资源范围。
账号级别:权限在当前阿里云账号内生效。
资源组级别:权限在指定的资源组内生效。
重要指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务。资源组授权示例,请参见使用资源组限制RAM用户管理指定的ECS实例。
选择授权主体。
授权主体即需要添加权限的RAM用户。支持批量选中多个RAM用户。
选择权限策略。
搜索并选择AliyunYundunSASReadOnlyAccess策略。该系统策略可以授予运维人员只读访问云安全中心服务的权限。
搜索并选择步骤一:创建云安全中心自定义权限策略中创建的自定义策略。
单击确认新增授权。
支持自定义权限策略的操作
相关文档
权限策略基本元素:RAM中使用权限策略描述授权的具体内容,权限策略由效果(Effect)、操作(Action)、资源(Resource)、条件(Condition)和授权主体(Principal)等基本元素组成。
权限策略语法和结构:正确理解权限策略的语法和结构,以完成创建或更新权限策略。
通过RAM管控多运维人员的权限:当您的企业涉及多种运维需求时,通过RAM控制每种运维人员的权限,便于管理和控制。
通过访问控制服务限制RAM用户访问云资源的IP地址:RAM可以限制用户只能通过指定的IP地址访问企业的云资源,从而增强访问安全性。
通过访问控制服务限制RAM用户访问云资源的时间段:RAM可以限制用户只能在指定的时间段访问企业的云资源,从而增强访问安全性。