AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 云安全中心 操作指南 接入云安全中心 接入第三方云资产 通过AK接入亚马逊云资产

通过AK接入亚马逊云资产

更新时间:
产品详情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

云安全态势管理(CSPM)通过自动化的风险检查、基线扫描和攻击路径分析,发现并管理云上资产的安全风险。该功能可发现云产品配置错误、服务器配置缺陷等安全隐患,并提供修复建议,以应对因配置不当导致的安全风险。

选择接入方案

需根据安全需求、支持功能和环境类型选择合适的接入方案。提供手动和快速两种配置方案。

对比项

快速配置方案

手动配置方案

授权账号类型

主账号访问密钥仅用于首次授权。

创建具备最小必要权限的 IAM 用户。

支持功能

仅支持主机资产

  • 主机资产

  • 云安全态势管理

  • 无代理检测非中国内地区域支持)

配置复杂度

简单

中等

方案一:快速配置方案(仅接入主机资产)

步骤1:在AWS创建主账号授权凭证

警告

主账号密钥仅用于首次授权,以便云安全中心在您的 AWS 账户中自动创建一个权限受限的专用子用户(AlibabaSasSubAccount_)。授权成功后,应立即删除此主账号密钥

  1. 登录AWS控制台

    登录AWS IAM控制台。在控制面板,单击我的安全凭证

    重要

    仅主账号可配置安全凭证

  2. 创建访问密钥

    我的安全凭证页面的,参考如下说明完成配置后,单击创建访问密钥

    • 使用案例根据业务场景选择案例即可,若不合适案例可选择其他

    • 设置描述标签(可选):最长256个字符。允许使用的字符包括字母、数字、以 UTF-8 表示的空格,以及 _ . : / = + - @。

  3. 保存密钥

    在创建完成后,进入检索访问密钥页面,查看并保存访问密钥(Access Key ID)和秘密访问密钥(Secret Access Key)。

    说明

    可单击下载.csv文件,将密钥保存至本地。

步骤2:在云安全中心完成接入

  1. 进入授权页面

    可以通过以下任意路径进入 AWS 资产接入流程:

    • 推荐路径:

      1. 登录云安全中心控制台

      2. 在左侧导航栏,选择系统设置 > 功能设置。在控制台左上角,选择需防护资产所在的区域:中国内地非中国内地

      3. 多云配置管理 > 多云资产页签,单击新增授权,然后选择AWS

    • 其他入口:

      在以下页面的“多云产品接入”或区域,找到并单击image图标下方的接入授权按钮:

      • 资产中心 > 主机资产

      • 风险治理 > 云安全态势管理 > 云产品配置风险

      • 威胁分析与响应 > 产品接入

      • 防护设置 > 主机防护 > 无代理检测(需先将区域切换至非中国内地

  2. 配置接入凭证

    1. 接入云外资产面板,选择快速配置方案,并勾选需要接入的功能后,单击下一步

    2. 提交AK页面,准确填写在AWS创建的凭证信息。

      • 子账号SecretID和子账号SecretKey:输入步骤1:在AWS创建主账号授权凭证

      • 接入地域:选择可用的AWS Region,系统将用选定地域验证资产可访问性。

      • Domain:根据选择的接入地域进行配置,AWS中国代理请选“中国版”,其他请选“国际版。

    3. 填写完毕后,单击下一步,系统将自动校验凭证和权限。

  3. 配置同步策略

    • 选择地域:选择需要接入的 AWS 资产所属的地域。

      说明

      同步的资产数据将归属于云安全中心控制台左上角所选区域对应的数据中心。

      • 中国内地:中国内地数据中心。

      • 非中国内地:新加坡数据中心。

    • 新增地域接入管理建议勾选。勾选后,该AWS账号下未来新增地域内的资产将自动同步,无需手动添加。

    • 主机资产同步频率:设置自动同步AWS 主机(EC2)资产的周期。如不需同步,可设为“关闭”。

    • AK服务状态检查:设置云安全中心自动检查 AWS 账号 API 密钥有效性的时间间隔。可选“关闭”,表示不进行检测。

  4. 完成配置后,单击同步最新资产,系统将自动将AWS账号下的主机资产同步到云安全中心。

    重要

    完成上述操作后,云安全中心会自动在AWS创建前缀为AlibabaSasSubAccount_的子用户,用于完成接入云安全中心的授权。请勿删除或禁用自动创建的子用户账号及其 API 密钥,否则将导致资产接入和安全监控中断。

步骤3:删除AWS主账号密钥

资产成功接入后,应立即删除用于初始授权的主账号访问密钥,以降低安全风险。

  1. 使用主账号登录AWS IAM控制台,在控制面板,单击我的安全凭证

  2. 访问密钥区域,定位至本次授权的密钥,单击操作下的删除按钮,完成删除确认。

方案二:手动配置方案

此方案通过在AWS创建权限受限的IAM子用户完成接入,兼具高安全性与功能完整性。

步骤1:在AWS创建子账号授权凭证

创建具备最低必要权限的IAM子用户,用于阿里云安全中心集成,并获取其访问密钥(Access Key)。

说明

更多信息,请参考AWS官方文档创建用户添加权限、。

  1. 登录AWS控制台

    登录AWS IAM控制台。单击左侧导航栏的用户,在用户列表页面,单击新建用户

  2. 配置用户信息

    • 用户名:自定义一个易于识别的名称(例如 aliyun-security-center-user)。

    • 提供用户对 AWS 管理控制台的访问权限不要勾选,此用户仅用于 API 访问。

  3. 设置用户权限

    • 选择直接附加策略

    • 根据计划在云安全中心使用的功能,勾选对应的权限策略。

      功能

      AWS策略

      备注

      主机资产

      AmazonEC2ReadOnlyAccess
      IAMReadOnlyAccess

      云安全态势管理(CSPM)

      ReadOnlyAccess

      如需要基于日志审计进行全面的风险检测,请参考CSPM配置AWS服务审计日志,在 AWS 中配置相关服务的审计日志。

      无代理检测

      需手动创建自定义策略。

      需要在AWS上建立一个由CloudTrail、S3SQS组成的日志投递管道具体操作步骤,请参考为无代理检测创建自定义策略

      image

  4. 查看并创建

    确认用户信息和权限策略无误后,单击创建用户

  5. 创建并保存 API 密钥

    1. 用户创建成功后,返回用户列表,单击刚刚创建的用户名进入其详情页。

    2. 摘要区域单击创建访问密钥,参考如下说明完成密钥配置。

      1. 使用案例:根据业务场景选择案例即可,若案例均不合适,请选择其他

      2. 描述标签:可留空或自定义一个标签(如 for-aliyun-sasc)。

    3. 单击创建访问密钥,进入检索访问密钥页面,查看并保存访问密钥(Access Key ID)和秘密访问密钥(Secret Access Key)。

    image

步骤2:在云安全中心完成接入配置

当已在 AWS 成功创建用于授权的子用户 API 密钥后,请返回云安全中心控制台以完成接入配置。

  1. 进入授权页面

    说明

    更多入口,请参考其他入口

    1. 登录云安全中心控制台

    2. 在左侧导航栏,选择系统设置 > 功能设置。在控制台左上角,选择需防护资产所在的区域:中国内地非中国内地

    3. 多云配置管理 > 多云资产页签,单击新增授权,然后选择AWS

  2. 配置接入凭证

    1. 接入云外资产面板,选择手动配置方案,并勾选需要接入的功能后,单击下一步

      • 主机资产:允许云安全中心自动发现并同步您的 AWS EC2 主机资产。

      • 云安全态势管理:使用云安全态势管理功能扫描AWS云产品的配置,发现并管理配置风险。

      • 无代理检测(仅非中国内地支持):使用无代理检测功能扫描 AWS 资产中的漏洞和风险。

    2. 提交AK页面,准确填写在AWS创建的凭证信息。

      • 子账号 SecretID和子账号 SecretKey:输入步骤1:在AWS创建子账号授权凭证

      • 接入地域:选择可用的AWS Region,系统将用选定地域验证资产可访问性。

      • Domain:根据选择的接入地域进行配置,AWS中国代理请选“中国版”,其他请选“国际版。

    3. 填写完毕后,单击下一步,系统将自动校验凭证和权限。

  3. 配置审计日志(可选)

    如果需要使用云安全态势管理(CSM)的日志审计功能,请在此处配置。否则,请直接单击跳过

    重要

    请先参考 CSPM配置AWS服务审计日志,在AWS控制台完成所有配置。

    • AWS 区域:填写AWS队列所在的区域ID,地域ID可参考AWS 地域ID

    • SQS Queue Name:填写创建的SQS队列的名称。

  4. 配置同步策略

    1. 策略配置页面,根据管理需求进行设置:

      • 选择地域:选择需要接入的 AWS 资产所属的地域。

        说明

        资产数据会自动归属在云安全中心控制台左上角选择的地域对应的数据中心。

        • 中国内地:中国内地数据中心。

        • 非中国内地:新加坡数据中心。

      • 新增地域接入管理建议勾选。勾选后,该AWS账号下未来新增地域内的资产将自动同步,无需手动添加。

      • 主机资产同步频率:设置自动同步AWS主机(EC2)资产的周期。如不需同步,可设为“关闭”。

        说明

        仅接入的功能包含主机资产时,需要配置该参数。

      • 云产品同步频率:设置自动同步 AWS 云产品配置的周期。如不需同步,可设为“关闭”。

        说明

        仅接入的功能包含时云安全态势管理,需要配置该参数。

      • AK服务状态检查:设置云安全中心自动检查 AWS 账号 API 密钥有效性的时间间隔。可选“关闭”,表示不进行检测。

  5. 完成配置后,单击同步最新资产,系统将自动将AWS账号下的数据同步到云安全中心。

管理已接入的资产

主机资产

前往资产中心 > 主机资产页面,在多云资产接入区域单击image图标,可查看接入的AWS主机。可参考如下步骤,对已接入的 AWS EC2 主机,进行深度防护和管理。

说明

更多信息,请参考主机资产

  1. 安装客户端:为AWS主机安装云安全中心客户端,在执行安装命令时,服务商需选择 AWS。具体操作,请参考安装客户端

  2. 升级版本获取防护:默认的免费版仅提供基础安全检测。为获得完整的安全防护能力(如防病毒、漏洞修复、入侵防御等),请为 AWS 主机绑定付费版本(防病毒版及以上),具体操作,请参考管理主机及容器安全授权数

云安全态势管理(CSPM)

在云安全中心控制台资产中心 > 云产品页面,左侧全部云产品导航中,单击AWS,可查看接入的AWS资产。已接入的 AWS 资产可使用CSPM如下功能:

说明

更多信息,请参考查看云产品信息

  1. 执行配置风险检查:检查AWS产品中是否存在配置风险,具体操作,请参考设置并执行云平台配置风险检查策略

  2. 处理风险项:根据检查结果,查看并修复未通过的风险检查项,提升云上资产的合规性与安全性。具体操作,请参考查看并处理未通过的云平台配置风险检查项

无代理检测

在云安全中心控制台,前往防护配置 > 主机防护 > 无代理检测页面,切换地域为非中国内地后,在多云资产接入区域,单击image图标即可产看接入的AWS资产数量。接入后可利用无代理检测功能对AWS主机进行漏洞、基线等检测,更多内容请参考无代理检测

AWS高级配置(无代理检测云安全态势管理

无代理检测创建自定义策略

说明

更多操作信息,请供参考AWS官方文档创建用户添加权限

  1. 登录AWS IAM控制台,进入策略页后,单击创建策略

  2. 策略编辑器区域,选择JSON,并复制下文JSON至编辑器。

    {
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Effect": "Allow",
            "Action":
            [
                "ec2:DeleteSubnet",
                "ec2:DeleteVpcEndpoints",
                "ec2:DeleteInternetGateway",
                "ec2:TerminateInstances",
                "ec2:StopInstances",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteVpc"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/Name": "alibaba-cloud-security-scan*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action":
            [
                "ec2:DeleteSnapshot"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/Name": "SAS_Agentless*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action":
            [
                "ec2:CopySnapshot",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeInstances",
                "ec2:CreateImage",
                "ec2:CreateVpc",
                "ec2:AttachInternetGateway",
                "ec2:CopyImage",
                "ec2:ModifyImageAttribute",
                "ec2:DescribeSnapshots",
                "ec2:ModifySubnetAttribute",
                "ec2:DescribeInternetGateways",
                "ec2:ModifySnapshotAttribute",
                "ec2:DescribeInstanceTypeOfferings",
                "ec2:DescribeAvailabilityZones",
                "ec2:CreateInternetGateway",
                "ec2:CreateSecurityGroup",
                "ec2:DescribeVolumes",
                "ec2:CreateSnapshot",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:RunInstances",
                "ec2:DetachInternetGateway",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeImages",
                "ec2:CreateVpcEndpoint",
                "ec2:CreateSnapshots",
                "ec2:DescribeVpcs",
                "ec2:DescribeImageAttribute",
                "ec2:DescribeVpcEndpoints",
                "ec2:CreateSubnet",
                "ec2:DescribeSubnets",
                "ec2:ModifyVpcEndpoint",
                "ec2:CreateTags",
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DescribeRegions",
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant",
                "kms:GenerateDataKey",
                "kms:ReEncrypt*"
                "iam:GetUser"
            ],
            "Resource": "*"
        }
    ]
}

    image

  3. 单击下一步,为策略命名(如AliyunSASC-AgentlessScan-Policy)后单击创建策略

  4. 参考设置用户权限,将此策略附加给AWS子账号。

CSPM配置AWS服务审计日志

步骤1:创建 CloudTrail 跟踪

此步骤用于在 AWS CloudTrail 中创建日志跟踪,实现对指定区域内云资源的管理操作进行全程记录和存储,为CSPM数据采集提供基础日志支持。更多操作信息,请参考AWS官方文档创建日志跟踪

  1. 登录AWS CloudTrail控制台

    1. 登录AWS CloudTrail控制台,在控制台右上角的区域选择器中,选择希望监控的 AWS 区域。

    2. 在控制面板主页或在左侧导航栏选择跟踪,然后单击创建跟踪

  2. 配置跟踪属性

    选择跟踪属性页面,参照如下说明进行配置,配置完成后,单击下一步

    • 跟踪名称:自定义一个清晰的名称(例如 aliyun-sasc-audit-trail),方便识别用途。

    • 存储位置

      重要

      请记录存储桶名称,以便后续配置使用。

      • 创建新的 S3 存储桶:输入一个全局唯一且全英文小写的存储桶名称。

      • 使用现有的 S3 存储桶:在跟踪日志存储桶名称区域,单击浏览,在弹窗内勾选目标存储桶。

    • 日志文件 SSE-KMS 加密取消勾选,使用默认SSE-S3加密法来加密日志文件即可。

  3. 选择日志事件

    选择日志事件页面参照如下说明进行配置,配置完成后,单击下一步

    • 事件类型:管理事件。

    • API 活动读取、写入。

  4. 审核并创建

    查看并创建页面检查所有配置项确认信息无误后,单击创建跟踪

步骤2:创建SQS消息队列

此队列用于接收由 S3 存储桶发送的日志文件事件通知,作为日志推送的目标消息通道。更多信息,请参考AWS官方文档创建消息队列

  1. 登录 AWS SQS 控制台。

    登录AWS SQS控制台,选择区域后单击创建队列

    警告

    请务确保选择的区域与上一步创建 CloudTrail 的区域相同

  2. 配置队列信息

    • 类型标准

    • 名称:输入一个易于识别的队列名称(例如 aliyun-sasc-log-queue)。

      重要

      此队列名称将用于生成其唯一的 ARN,并用于后续的访问策略配置,请确保填写无误。

  3. 配置访问策略

    这是最关键的一步。此策略定义了谁可以向这个队列发送消息,以及谁可以读取队列中的消息。

    1. 访问策略面板,选择高级

      重要

      请记录默认策略中的 Account ID 和 队列 ARN ,用于后续的访问策略配置。

      image

    2. 将下面的 JSON 模板完整复制并粘贴到策略编辑器中,替换掉原有的所有内容。

      {
  "Version": "2012-10-17",
  "Id": "__default_policy_ID",
  "Statement": [
    {
      "Sid": "__owner_statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::${Account ID}:root"
      },
      "Action": "SQS:*",
      "Resource": "${SQS ARN}"
    },
    {
            "Sid": "example-statement-ID",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "SQS:SendMessage"
            ],
            "Resource": "${SQS ARN}",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:*:*:${S3 bucket name}"
                }
            }
        }
  ]
}

    3. 【重要】请根据下表说明,替换模板中的占位符:

      占位符

      如何获取该值

      示例

      ${Account ID}

      前一步保存的Account ID。

      99********1

      ${SQS ARN}

      前一步保存的SQS ARN

      arn:aws:sqs:ap-northeast-1:123******012:aliyun-sasc-log-queue

      ${S3 bucket name}

      创建 CloudTrail 时设置的 S3 存储桶的名称。

      说明

      可登录AWS S3控制台,在对应地域下查找bucket,并在详情页查看信息。

      aws-cloudtrail-logs-123******12-abcdef

    4. 完成替换后,滚动到页面底部,单击创建队列

步骤3:创建S3事件通知

此步骤配置 S3 存储桶的事件通知规则,实现当有新的日志文件生成时,自动向指定的 SQS 队列发送通知。更多信息,请参考AWS官方文档Amazon S3 事件通知

  1. 登录 AWS SQS 控制台

    1. 登录AWS S3控制台,在区域选择器后, 单击通用存储桶

      警告

      请务确保选择的区域与创建 CloudTrail 的区域相同

    2. 通用存储桶页签,定位至创建CloudTrail 时设置的 S3 存储桶的名称,并进入详情页。

  2. 配置事件通知

    属性页签的事件通知区域,单击创建事件通知。参考如下说明,完成配置。

    1. 事件类型:勾选发送

    2. 目标:选择SQS 队列,并在指定 SQS 队列为步骤2:创建SQS消息队列创建的队列。

    3. 完成配置后,单击保存更改

步骤4:配置队列读写权限

此步骤为云安全中心创建的专用 IAM 用户添加读取 SQS 队列中的通知消息权限。

  1. 创建SQS策略:

    1. 登录AWS IAM控制台。在策略页下,单击创建策略

    2. 参考如下说明完成配置。

      1. 选定服务:SQS。

      2. Effect允许。

      3. 读取勾选GetQueueUrlReceiveMessage。

      4. 写入勾选ReceiveMessage。

      5. 资源:单击添加 ARN资源ARN填入队列ARN

        说明

        可登录AWS SQS控制台,在对应地域下查找队列,并在详情页查看RAN信息。

  2. 为 IAM 用户附加策略:

    参考设置用户权限,将上一步创建的 SQS 策略附加到目标 IAM 用户。

常见问题

  • 为什么在云安全中心看不到部分接入的AWS资源?

    • 区域未选择:在云安全中心的接入配置中,检查是否已勾选该资源所在的AWS区域。

    • 同步延迟:首次接入或配置变更后,资产同步可能存在一定延迟,请等待同步完成。

  • 填写完AK后,自动校验凭证和权限失败怎么办?

    • 权限问题:子账号权限不足,请参考设置用户权限,前往 AWS 控制台修改或补充相关用户权限策略。

    • 账号问题:若是快速配置方案,访问密钥(Access Key)需为主账号生成。参考步骤1:在AWS创建主账号授权凭证,使用主账号登录AWS控制台并创建API访问密钥。

    • 地域问题:当前选择的地域不可用,请切换至其他可用地域或对应的Domain,然后重新提交。

上一篇:通过AK接入华为云资产下一篇:通过AK接入火山引擎资产