RAM用户权限管理最佳实践

如需对RAM用户使用云安全中心相关功能做精细化的权限管理,您可以通过授予RAM用户系统权限策略或自定义权限策略来实现。本文介绍如何授予RAM用户系统权限策略和自定义权限策略,实现精细化的权限管理。

背景信息

阿里云访问控制服务为各云产品提供默认的访问控制系统策略,同时支持用户自定义访问控制策略。系统策略由阿里云默认创建,不支持修改。您可以使用自定义权限对RAM用户访问和操作云安全中心进行精确的限制。

说明

云安全中心支持的默认策略为AliyunYundunSASFullAccess(表示允许RAM用户对云安全中心的所有功能进行操作)和AliyunYundunSASReadOnlyAccess(表示允许RAM用户只读访问云安全中心的所有数据)。

前提条件

已创建RAM用户。具体操作,请参见创建RAM用户

授予RAM用户系统策略

阿里云提供了费用中心、访问或管理云安全中心相关的系统策略。如果RAM用户购买、续费、退订云安全中心实例时提示无权限,或RAM用户访问云安全中心提示暂无权限,请检查权限,您可以参考以下步骤授予RAM用户对应的系统策略实现为RAM用户授权。

重要

费用中心的系统权限策略对所有云产品生效。给RAM用户授权费用中心相关系统策略后,RAM用户将拥有购买、续费、退订所有云产品的权限。

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 用户

  3. 用户页面,单击目标RAM用户操作列的添加权限

    image

    您也可以选中多个RAM用户,单击用户列表下方的添加权限,为RAM用户批量授权。

  4. 添加权限面板中,为RAM用户添加权限。

    1. 选择资源范围。

    2. 选择授权主体。

      授权主体即需要添加权限的RAM用户。系统会自动选择当前的RAM用户。

    3. 根据使用场景选择系统策略下的指定策略,并单击确认新增授权

      场景

      系统策略

      购买、续费、退订云安全中心实例

      AliyunBSSOrderAccess、AliyunBSSRefundAccess

      只读访问云安全中心

      AliyunYundunSASReadOnlyAccess

      管理云安全中心

      AliyunYundunSASFullAccess

  5. 单击关闭

授予RAM用户自定义策略

参考以下步骤使用自定义权限对RAM用户访问和操作云安全中心进行精确的限制。

步骤一:创建云安全中心自定义权限策略

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择权限管理 > 权限策略

  3. 权限策略页面,单击创建权限策略

  4. 创建权限策略页面,单击脚本编辑页签。

    根据您的使用场景配置对应脚本。

    说明

    在运维人员权限场景中,该脚本的权限策略允许RAM用户使用漏洞扫描、漏洞修复、基线检查和资产中心功能并进行相关操作。添加该策略后,RAM用户具体可以执行的操作,请参见本文支持自定义权限策略的操作表格中的Action及其说明。

    使用场景

    脚本配置

    自动续费的询价(bssapi:QueryAvailableInstances)和设置(bssapi:SetRenewal)

    {
        "Version": "1",
        "Statement": [
            {
               "Action": [
                         "bssapi:QueryAvailableInstances",
                         "bssapi:SetRenewal",
                         "bss:ModifyPrepaidInstanceAutoRenew",
                         "bss:PayOrder",
                         "bss:QueryPrice",
                         "bss:RefundBatchRemainRefund"
                         ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }

    修改自动续费(bss:ModifyPrepaidInstanceAutoRenew

    续费和变配的订单支付(bss:PayOrder

    折扣价格显示(bss:QueryPrice

    申请退款(bss:RefundBatchRemainRefund

    资产中心只读

    {
        "Version": "1",
        "Statement": [
            {
               "Action": [
                         "yundun-sas:DescribeCloudCenterInstances",
                         "yundun-sas:DescribeFieldStatistics",
                         "yundun-sas:DescribeCriteria"
                         ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }

    资产中心安全检查

    {
        "Version": "1",
        "Statement": [
            {
                "Action": "yundun-sas:ModifyPushAllTask",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }

    漏洞管理只读

    {
        "Version": "1",
        "Statement": [
            {
               "Action": [
                         "yundun-sas:DescribeVulList",
                         "yundun-sas:DescribeVulWhitelist"
                         ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }

    漏洞管理

    {
        "Version": "1",
        "Statement": [
            {
               "Action": "yundun-sas:OperateVul",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }

    运维人员权限

    {
        "Version": "1",
        "Statement": [{
                "Action": [
                    "yundun-sas:OperateVul",
                    "yundun-sas:ModifyStartVulScan"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "yundun-sas:FixCheckWarnings",
                    "yundun-sas:IgnoreHcCheckWarnings",
                    "yundun-sas:ValidateHcWarnings"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": "ecs:RebootInstance",
                "Effect": "Allow",
                "Resource": "*",
                "Condition": {
                    "Bool": {
                        "acs:MFAPresent": "true"
                    }
                }
            },
            {
                "Action": "ecs:*",
                "Effect": "Allow",
                "Resource": [
                    "acs:ecs:*:*:*"
                ]
            },
            {
                "Action": "ecs:CreateSnapshot",
                "Effect": "Allow",
                "Resource": [
                    "acs:ecs:*:*:*",
                    "acs:ecs:*:*:snapshot/*"
                ]
            },
            {
                "Action": [
                    "ecs:Describe*"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }, {
                "Action": [
                    "yundun-sas:ModifyPushAllTask",
                    "yundun-sas:DeleteTagWithUuid",
                    "yundun-sas:ModifyTagWithUuid",
                    "yundun-sas:CreateOrUpdateAssetGroup",
                    "yundun-sas:DeleteGroup",
                    "yundun-sas:ModifyAssetImportant",
                    "yundun-sas:RefreshAssets"
    
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
  5. 单击继续编辑基本信息,然后输入权限策略的名称备注

  6. 单击确定

步骤二:为RAM用户授权

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择权限管理 > 授权

  3. 授权页面,单击新增授权

    image

  4. 新增授权面板,为RAM用户添加权限。

    新创建的RAM用户默认不支持任何权限。

    1. 选择资源范围。

    2. 选择授权主体。

      授权主体即需要添加权限的RAM用户。支持批量选中多个RAM用户。

    3. 选择权限策略。

  5. 单击确认新增授权

支持自定义权限策略的操作

以下内容介绍云安全中心主要的功能模块支持的自定义权限策略。

说明

多数情况下,RAM自定义权限策略中的Action与该云产品的API一一对应。

资产中心

RAM权限策略Action

描述

支持的API

yundun-sas:DescribeCloudCenterInstances

查询资产列表信息。包括资产的类型、是否存在安全告警、客户端在线状态等。

DescribeCloudCenterInstances - 查询资产信息

yundun-sas:DescribeFieldStatistics

查询您资产中服务器的统计信息。

DescribeFieldStatistics - 查询资产中服务器的统计信息

yundun-sas:DescribeCriteria

获取查询资产时,输入的模糊匹配值对应的查询条件信息。

DescribeCriteria - 查询资产时的查询条件

yundun-sas:ModifyPushAllTask

对服务器执行安全检查任务。

ModifyPushAllTask - 一键下发安全检查任务

yundun-sas:DeleteGroup

删除资产的分组。

DeleteGroup - 删除服务器分组

yundun-sas:DescribeSearchCondition

查询资产的筛选条件。

DescribeSearchCondition - 查询资产的筛选条件

yundun-sas:DescribeImageStatistics

查询容器镜像资产的风险统计信息。

DescribeImageStatistics - 查询容器镜像资产的风险统计信息

yundun-sas:DescribeGroupedTags

查询资产标签的统计信息。

DescribeGroupedTags - 查询标签的统计信息

yundun-sas:DescribeDomainCount

获取域名资产数量。

DescribeDomainCount - 查询域名资产数量

yundun-sas:DescribeCloudProductFieldStatistics

获取云产品统计信息。

DescribeCloudProductFieldStatistics - 查询云产品统计信息

yundun-sas:DescribeCloudCenterInstances

查询资产信息。

DescribeCloudCenterInstances - 查询资产信息

yundun-sas:DescribeAllGroups

查询所有服务器分组信息。

DescribeAllGroups - 查询服务器分组信息

yundun-sas:CreateOrUpdateAssetGroup

创建服务器分组或修改服务器分组下的服务器。

CreateOrUpdateAssetGroup - 修改资产与资产分组关系

yundun-sas:DescribeInstanceStatistics

查询资产的风险统计信息。

DescribeInstanceStatistics - 查询服务器的统计信息

yundun-sas:PauseClient

启用或暂停Agent客户端。

PauseClient - 启用或暂停Agent客户端

yundun-sas:ModifyTagWithUuid

修改资产的标签名称或修改指定标签下包含的资产。

ModifyTagWithUuid - 修改资产标签名或标签中的资产

yundun-sas:RefreshAssets

同步最新资产。

RefreshAssets - 同步资产

yundun-sas:ExportRecord

导出资产中心、云安全态势管理、镜像安全扫描、攻击分析、AK泄露检测等页面的检测结果的Excel文件。

ExportRecord - 导出结果列表

yundun-sas:DescribeExportInfo

查看资产导出任务的进度。

DescribeExportInfo - 查看资产列表的导出进度

yundun-sas:DescribeDomainList

查询域名资产信息列表。

DescribeDomainList - 查询域名资产信息

yundun-sas:DescribeDomainDetail

获取域名资产详情。

DescribeDomainDetail - 查询域名资产详情

yundun-sas:DescribeAssetDetailByUuid

使用资产的UUID查询资产的详情。

DescribeAssetDetailByUuid - 查询服务器资产详情和扩展信息

漏洞修复

RAM权限策略Action

描述

支持的API

yundun-sas:DescribeVulWhitelist

分页查询漏洞白名单。

DescribeVulWhitelist - 分页查询漏洞白名单

yundun-sas:ModifyOperateVul

对检测到的漏洞进行处理,处理方式包括修复、验证、忽略等。

ModifyOperateVul - 对检测到的漏洞进行处理

yundun-sas:ModifyVulTargetConfig

设置单台服务器的漏洞检测配置。

ModifyVulTargetConfig - 设置单台服务器的漏洞检测配置

yundun-sas:DescribeConcernNecessity

查询关注的漏洞修复必要性信息。

DescribeConcernNecessity - 查询关注的漏洞修复必要性信息

yundun-sas:DescribeVulList

根据漏洞类型查询对应漏洞信息。

DescribeVulList - 根据漏洞类型查询对应漏洞信息

yundun-sas:ModifyOperateVul

对检测到的漏洞进行处理,处理方式包括修复、验证、忽略等。

ModifyOperateVul - 对检测到的漏洞进行处理

yundun-sas:DescribeImageVulList

查看镜像安全扫描的漏洞的详情及受漏洞影响容器镜像的信息列表。

DescribeImageVulList - 查看容器镜像漏洞列表

yundun-sas:ExportVul

导出漏洞列表。

ExportVul - 导出漏洞列表

yundun-sas:DescribeVulExportInfo

查看漏洞导出任务的进度。

DescribeVulExportInfo - 查看漏洞导出任务的进度

基线检查

RAM权限策略Action

描述

支持的API

yundun-sas:FixCheckWarnings

修复基线检查风险项。

FixCheckWarnings - 修复基线检查风险项

yundun-sas:IgnoreHcCheckWarnings

忽略或取消忽略基线检查风险项。

IgnoreHcCheckWarnings - 对基线的风险项批量执行忽略或取消忽略

yundun-sas:ValidateHcWarnings

验证基线检查风险项。

ValidateHcWarnings - 批量验证基线检查风险项

相关文档

权限策略基本元素:RAM中使用权限策略描述授权的具体内容,权限策略由效果(Effect)、操作(Action)、资源(Resource)、条件(Condition)和授权主体(Principal)等基本元素组成。

权限策略语法和结构:正确理解权限策略的语法和结构,以完成创建或更新权限策略。

通过RAM管控多运维人员的权限:当您的企业涉及多种运维需求时,通过RAM控制每种运维人员的权限,便于管理和控制。

通过访问控制服务限制RAM用户访问云资源的IP地址:RAM可以限制用户只能通过指定的IP地址访问企业的云资源,从而增强访问安全性。

通过访问控制服务限制RAM用户访问云资源的时间段:RAM可以限制用户只能在指定的时间段访问企业的云资源,从而增强访问安全性。