云安全中心服务关联角色

在特定场景中,为了顺利执行某个功能,云安全中心需要借助服务关联角色SLR(Service Linked Role)获取对其他云服务的访问权限。本文介绍云安全中心所使用的服务关联角色,包括其定义、应用场景等。

服务关联角色是一种可信实体为阿里云服务的RAM角色。云安全中心使用服务关联角色获取其他云服务或云资源的访问权限。

通常情况下,服务关联角色是在您执行某项操作时,由系统自动创建。在自动创建服务关联角色失败或云安全中心不支持自动创建时,您需要手动创建服务关联角色。

阿里云访问控制为每个服务关联角色提供了一个系统权限策略,该策略不支持修改。如果您想了解该系统策略的具体内容,可前往指定服务关联角色的详情页面查看。详情请参见系统策略参考

应用场景

云安全中心提供的服务关联角色如下表所示。

服务关联角色

云服务标识

应用场景

AliyunServiceRoleForSas

sas.aliyuncs.com

  • 允许云安全中心访问容器镜像服务、RDS数据库等云产品中的资源,以便检测容器资产中存在的安全风险。

  • 允许云安全中心访问专有网络VPC、云服务器ECS等云产品中的资源,以便云蜜罐功能为您提供云内外的攻击发现、攻击溯源能力。

  • 允许云安全中心访问云服务器ECS等云产品的资源,以便使用防暴力破解功能防止服务器的账号密码被暴力破解。

  • 允许云安全中心访问日志服务等云产品的资源,以便日志分析功能提供日志查询和分析能力。

  • 允许云安全中心访问云服务器ECS、ECS快照、ECS镜像等资源,以便无代理检测功能将对应快照或镜像共享给云安全中心服务账号,提供安全扫描服务。

  • 允许云安全中心访问云备份(Cloud Backup)、云服务器ECS等云产品的资源,以便防勒索功能提供勒索病毒防护和数据备份能力。

  • 允许云安全中心访问资源目录等云产品的资源(适用于企业管理员和委派管理员账号),以便多账号安全管理功能提供统一管控多个成员账号安全风险的能力。

  • 允许云安全中心访问对象存储OSS的资源,以便恶意文件检测SDK功能提供对OSS文件的病毒检测能力。

  • 允许云安全中心访问密钥管理服务 KMS(Key Management Service)的资源,以便恶意文件检测SDK功能对使用KMS托管密钥进行加密(SSE-KMS)的OSS文件进行解密后检测。

AliyunServiceRoleForSasCloudSiem

cloudsiem.sas.aliyuncs.com

允许云安全中心访问专有网络VPC、云防火墙等云产品的资源,以便使用威胁分析与响应功能检测已接入的云产品日志,进行日志投递,并处置相关事件,提供告警统一管理、威胁溯源分析等能力。

AliyunServiceRoleForSasCspm

cspm.sas.aliyuncs.com

允许云安全中心访问操作审计等云产品中的资源,以便云平台配置检查功能提供云平台配置检测能力。

AliyunServiceRoleForSasRd

rd.sas.aliyuncs.com

用于在多账号场景下允许云安全中心委派管理员访问资源目录成员账号的云安全中心控制台,以便对企业的多个成员账号进行统一的安全防护配置,实时监测各个成员账号的安全风险状况。

AliyunServiceRoleForAntiRansomwareMssp

antiransomware.mssp.aliyuncs.com

用于您购买了防勒索托管服务后,允许托管服务专家访问云安全中心控制台及其他云产品中的资源,监控防勒索备份任务是否正常运行,以便提供防勒索托管服务。

AliyunServiceRoleForSasSecurityLake

security-lake.sas.aliyuncs.com

用于您使用威胁分析冷数据功能时,允许冷数据功能访问对象存储OSS、数据湖构建DLF中的资源,以便管理您的威胁分析与响应的日志数据,对数据进行交互式查询和分析。

AliyunServiceRoleForSasSecllm

secllm.sas.aliyuncs.com

用于您使用云安全中心智能助手时,允许智能助手查询云安全中心的安全评分、漏洞列表等信息,以便智能助手根据您资产的安全状况提供更智能、更准确的咨询服务。

创建服务关联角色

AliyunServiceRoleForSas

系统会在您首次使用以下功能并执行授权操作后,自动创建服务关联角色AliyunServiceRoleForSas。

功能模块

具体功能

风险治理

  • 恶意文件检测SDK

  • 日志分析

容器安全

  • 容器资产

  • 镜像安全扫描

  • 容器签名

  • 容器K8s威胁检测

主机安全

  • 云蜜罐

  • 防暴力破解

  • 无代理检测

  • 防勒索

  • 病毒查杀

  • 自适应威胁检测能力

其他配置

  • 任务中心

  • 多账号安全管理

AliyunServiceRoleForSasCloudSiem

首次使用威胁分析与响应功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasCloudSiem。具体操作,请参见授权威胁分析与响应功能访问云资源

AliyunServiceRoleForSasCspm

首次使用云平台配置检查功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasCspm。

说明

北京时间2022年11月21日起,云平台配置检查权限策略由服务关联角色AliyunServiceRoleForSas迁移至AliyunServiceRoleForSasCspm。为确保可以继续使用云平台配置检查提供的功能,您需要在访问云平台配置检查页面时,在角色权限策略迁移提醒对话框,单击确定,确认权限策略迁移信息。然后再单击立即授权,完成授权操作。

AliyunServiceRoleForSasRd

企业管理账号或委派管理员账号使用多账号安全管理功能将资源目录成员账号添加至监控账号列表后,自动在资源目录成员账号下创建服务关联角色AliyunServiceRoleForSasRd。

AliyunServiceRoleForAntiRansomwareMssp

首次使用防勒索服务并执行授权操作,或购买防勒索托管服务时创建服务关联角色,系统会自动创建服务关联角色AliyunServiceRoleForAntiRansomwareMssp。

AliyunServiceRoleForSasSecurityLake

首次使用威胁分析与响应日志管理的冷数据功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasSecurityLake。

AliyunServiceRoleForSasSecllm

首次使用云安全中心智能助手功能并执行授权操作后,系统会自动创建服务关联角色AliyunServiceRoleForSasSecllm。

查看服务关联角色

当服务关联角色创建成功后,您可以在RAM控制台的角色页面查看该服务关联角色的以下信息:

  • 基本信息

    在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    在角色详情页的权限管理页签,单击权限策略名称,查看权限策略内容。

    说明

    您只能通过服务关联角色,查看其关联的权限策略内容,不能在RAM控制台的权限策略页面直接查看该权限策略。

  • 信任策略

    在角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。服务关联角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

关于如何查看服务关联角色,请参见查看RAM角色

删除服务关联角色

重要

删除服务关联角色后,依赖该角色的对应功能将无法正常使用,请谨慎删除。

当您长时间不使用云安全中心或者需要注销阿里云账号前,您可能需要在访问控制管理控制台手动删除服务关联角色。具体操作,请参见删除RAM角色

相关文档

服务关联角色的更多信息,请参见服务关联角色