本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
通过云安全中心的多云配置管理功能,可将百度智能云的产品接入阿里云,以进行统一的云安全态势管理(CSPM),实现跨云环境的统一安全视图和风险检测。
步骤一:在百度云创建子账号授权凭证
创建具备最低必要权限的IAM子用户,用于阿里云安全中心集成,并获取其访问密钥(Access Key)。
登录子用户控制台
登录百度云-子账号管理控制台,单击创建子账号。
配置用户信息
用户名:自定义一个易于识别的名称(例如
aliyun-security-center-user)。访问方式:选择编程访问。
快速授权:建议不要勾选,避免权限过大。
设置用户权限
在用户列表,单击目标用户操作列的添加权限。
根据计划在云安全中心使用的功能,勾选对应的权限策略。
功能
策略方案
备注
云安全态势管理(CSPM)
方案一:
IAMReadAccessPolicy+GlobalReadPolicy方案二:
IAMReadAccessPolicy+BCCReadAccessPolicy+百度云产品各策略权限。
GlobalReadPolicy包含所有产品的只读权限,方便快速接入。若需精细化授权,请采用方案二,按需添加云产品的策略。
创建并保存AK
在用户列表,单击目标用户名称,进入用户详情页。
在用户详情页的AccessKey区域,单击创建AccessKey。
完成安全验证后,在创建完成弹框内,单击下载AccessKey,保存AccessKeyID和AccessKeySecret。
警告关闭弹窗后,将不在提供AK下载服务,请及时下载并妥善保管AK信息。
步骤二:在云安全中心完成接入配置
当已在百度云成功创建用于授权的子用户API密钥后,请返回云安全中心控制台以完成接入配置。
进入授权页面
可以通过以下任意路径进入 AWS 资产接入流程:
推荐路径:
访问云安全中心控制台-系统配置-功能设置,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
在页签,单击新增授权,然后选择百度云。
其他入口:
的多云云产品接入区域,单击
图标下方的接入按钮。
配置接入凭证
在接入云外资产面板,选择需要授权的模块区域,勾选需要接入的功能后,单击下一步。
说明目前仅支持云安全态势管理。
在提交AK页面,准确填写在步骤1中创建的AK信息。
填写完毕后,单击下一步,系统将自动校验凭证和权限。
说明验证失败,请参考为什么在云安全中心看不到部分接入的百度云资源?
配置同步策略:
选择地域:选择需要接入的百度云资产所属的地域。
说明同步的资产数据将归属于云安全中心控制台左上角所选区域对应的数据中心。
中国内地:中国内地数据中心。
非中国内地:新加坡数据中心。
新增地域接入管理:建议勾选。勾选后,该百度云账号下未来新增地域内的云产品将自动同步,无需手动添加。
云产品同步频率:设置自动同步百度云产品的周期。如不需同步,可设为“关闭”。
AK服务状态检查:设置云安全中心自动检查百度云账号 API 密钥有效性的时间间隔。可选“关闭”,表示不进行检测。
完成配置后,单击同步最新资产,系统将自动将百度云账号下的云产品同步到云安全中心。
步骤三:查看已接入的产品
在云安全中心控制台页面,左侧全部云产品导航中,单击百度云,可查看接入的百度云资产。更多信息,请参考查看云产品信息。
首次接入或配置变更后,资产同步可能存在一定延迟。
附录:百度云产品权限策略
云安全中心支持的百度云产品将持续更新,更多产品支持请以控制台为准。
策略名称 | 权限说明 |
| Redis 实例的只读访问权限。 |
| Kafka 实例的只读访问权限。 |
| MongoDB 实例的只读访问权限。 |
| RDS 实例的只读访问权限。 |
| VPC 资源的只读访问权限。 |
| BOS 存储桶读取权限。 |
| BLB 实例的只读访问权限。 |
常见问题
为什么在云安全中心看不到部分接入的百度云资源?
区域未选择:在云安全中心的接入配置中,检查是否已勾选该资源所在的百度云区域。
同步延迟:首次接入或配置变更后,资产同步可能存在一定延迟,请等待同步完成。
填写完AK后,自动校验凭证和权限失败怎么办?
通常为子账号权限不足,请参考设置用户权限,前往百度云控制台修改或补充相关用户权限策略。