在特定场景中,为了顺利执行某个功能,云安全中心需要借助服务关联角色SLR(Service Linked Role)获取对其他云服务的访问权限。本文介绍云安全中心所使用的服务关联角色,包括其定义、应用场景等。
服务关联角色是一种可信实体为阿里云服务的RAM角色。云安全中心使用服务关联角色获取其他云服务或云资源的访问权限。
通常情况下,服务关联角色是在您执行某项操作时,由系统自动创建。在自动创建服务关联角色失败或云安全中心不支持自动创建时,您需要手动创建服务关联角色。
阿里云访问控制为每个服务关联角色提供了一个系统权限策略,该策略不支持修改。如果您想了解该系统策略的具体内容,可前往指定服务关联角色的详情页面查看。详情请参见系统策略参考。
应用场景
云安全中心提供的服务关联角色如下表所示。
服务关联角色 | 云服务标识 | 应用场景 |
AliyunServiceRoleForSas | sas.aliyuncs.com |
|
AliyunServiceRoleForSasCloudSiem | cloudsiem.sas.aliyuncs.com | 允许云安全中心访问专有网络VPC、云防火墙等云产品的资源,以便使用威胁分析与响应功能检测已接入的云产品日志,进行日志投递,并处置相关事件,提供告警统一管理、威胁溯源分析等能力。 |
AliyunServiceRoleForSasCspm | cspm.sas.aliyuncs.com | 允许云安全中心访问操作审计等云产品中的资源,以便云平台配置检查功能提供云平台配置检测能力。 |
AliyunServiceRoleForSasRd | rd.sas.aliyuncs.com | 用于在多账号场景下允许云安全中心委派管理员访问资源目录成员账号的云安全中心控制台,以便对企业的多个成员账号进行统一的安全防护配置,实时监测各个成员账号的安全风险状况。 |
AliyunServiceRoleForAntiRansomwareMssp | antiransomware.mssp.aliyuncs.com | 用于您购买了防勒索托管服务后,允许托管服务专家访问云安全中心控制台及其他云产品中的资源,监控防勒索备份任务是否正常运行,以便提供防勒索托管服务。 |
AliyunServiceRoleForSasSecurityLake | security-lake.sas.aliyuncs.com | 用于您使用威胁分析冷数据功能时,允许冷数据功能访问对象存储OSS、数据湖构建DLF中的资源,以便管理您的威胁分析与响应的日志数据,对数据进行交互式查询和分析。 |
AliyunServiceRoleForSasSecllm | secllm.sas.aliyuncs.com | 用于您使用云安全中心智能助手时,允许智能助手查询云安全中心的安全评分、漏洞列表等信息,以便智能助手根据您资产的安全状况提供更智能、更准确的咨询服务。 |
创建服务关联角色
AliyunServiceRoleForSas
系统会在您首次使用以下功能并执行授权操作后,自动创建服务关联角色AliyunServiceRoleForSas。
功能模块 | 具体功能 |
风险治理 |
|
容器安全 |
|
主机安全 |
|
其他配置 |
|
AliyunServiceRoleForSasCloudSiem
首次使用威胁分析与响应功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasCloudSiem。具体操作,请参见授权威胁分析与响应功能访问云资源。
AliyunServiceRoleForSasCspm
首次使用云平台配置检查功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasCspm。
北京时间2022年11月21日起,云平台配置检查权限策略由服务关联角色AliyunServiceRoleForSas迁移至AliyunServiceRoleForSasCspm。为确保可以继续使用云平台配置检查提供的功能,您需要在访问云平台配置检查页面时,在角色权限策略迁移提醒对话框,单击确定,确认权限策略迁移信息。然后再单击立即授权,完成授权操作。
AliyunServiceRoleForSasRd
企业管理账号或委派管理员账号使用多账号安全管理功能将资源目录成员账号添加至监控账号列表后,自动在资源目录成员账号下创建服务关联角色AliyunServiceRoleForSasRd。
AliyunServiceRoleForAntiRansomwareMssp
首次使用防勒索服务并执行授权操作,或购买防勒索托管服务时创建服务关联角色,系统会自动创建服务关联角色AliyunServiceRoleForAntiRansomwareMssp。
AliyunServiceRoleForSasSecurityLake
首次使用威胁分析与响应日志管理的冷数据功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasSecurityLake。
AliyunServiceRoleForSasSecllm
首次使用云安全中心智能助手功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasSecllm。
查看服务关联角色
当服务关联角色创建成功后,您可以在RAM控制台的角色页面查看该服务关联角色的以下信息:
基本信息
在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。
权限策略
在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。
说明您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。
信任策略
在角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的
Service
字段查看。
关于如何查看服务关联角色,请参见查看RAM角色。
删除服务关联角色
删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请谨慎删除。
当您长时间不使用云安全中心或者需要注销阿里云账号前,您可能需要在访问控制管理控制台手动删除服务关联角色。具体操作,请参见删除RAM角色。
相关文档
服务关联角色的更多信息,请参见服务关联角色。