接入 Ucloud 资产

更新时间:
复制 MD 格式

多云环境下安全管理分散、风险响应效率低。通过访问密钥(AK)将 Ucloud 资产接入云安全中心,可实现跨云资产的集中监控、事件检测与策略统一管理。本文档介绍在 Ucloud 创建身份与访问管理(IAM)授权凭证、在云安全中心配置接入并完成资产同步的完整流程。

步骤一:创建账号接入凭证

子账号接入

  1. 创建子账号

    1. 登录Ucloud 控制台,单击右上角个人账号图标。

    2. 在账号信息面板,单击访问控制。

    3. 在左侧导航栏,选择用户管理后,单击邀请子用户

    4. 邀请子用户弹框内,填写用户名和昵称后,单击确定

  2. 配置权限

    1. 在子用户列表页,单击新建子用户操作列的添加权限

    2. 在添加权限页面,参考如下防护说明完成配置。

      • 配置权限策略:根据计划在云安全中心使用的功能,勾选对应的权限策略。

        说明

        若不需要作精细化权限控制,可只设置全局只读策略ReadOnlyAccess

        功能

        Ucloud 策略

        主机资产

        IAMReadOnlyAccess

        UHostReadOnlyAccess

        云安全态势管理(CSPM)

        • UHostReadOnlyAccess

        • UMongoDBReadOnlyAccess

        • UDBReadOnlyAccess

        • KafkaSinkerReadOnlyAccess

        • UMemReadOnlyAccess

        • URocketMQReadOnlyAccess

        • UFileReadOnlyAccess

        • ULogReadOnlyAccess

        • IAMReadOnlyAccess

        • VPCReadOnlyAccess

        • UCDNReadOnlyAccess

        • IPSecVPNReadOnlyAccess

      • 配置项目级策略应用范围:选择当前子账号可访问的项目后,单击确定

  3. 创建 API 密钥

    1. 返回子用户列表页,单击新建子用户的名称,进入详情页。

    2. API 密钥区域,单击新建密钥。

    3. 在创建完成后,在列表页查看并保存公钥私钥

主账号接入

  1. 登录Ucloud 控制台,单击右上角个人账号图标。

  2. 在账号信息面板,单击账号管理。

  3. 在左侧导航栏,选择 API 密钥后,单击创建访问密钥

  4. 在创建完成后,在列表页查看并保存公钥私钥

步骤二:在云安全中心完成接入

  1. 进入授权页面

    1. 登录云安全中心控制台

    2. 在左侧导航栏,选择系统设置 > 功能设置。在控制台左上角,选择需防护资产所在的区域:中国内地非中国内地

    3. 多云配置管理 > 多云资产页签,单击新增授权,然后选择Ucloud

  2. 配置接入凭证

    1. 接入云外资产面板,选择快速配置方案,并勾选需要接入的功能后,单击下一步

      • 主机资产:允许云安全中心自动发现并同步您的 Ucloud UHost 主机资产。

      • 云安全态势管理:使用云安全态势管理功能扫描 Ucloud 云产品的配置,发现并管理配置风险。

    2. 提交AK页面,准确填写在 Ucloud 创建的凭证信息。

      • 请输入子账号SecretID:输入前面步骤一中获得的公钥

      • 请输入子账号SecretKey输入前面步骤一中获得的私钥

      • Domain:根据选择的接入地域进行配置,中国代理请选"中国版",其他请选"国际版"。

    3. 填写完毕后,单击下一步,系统将自动校验凭证和权限。

      说明

      验证成功后,页面将自动跳转至同步策略配置步骤。验证失败,请参考填写完 AK 后,自动校验凭证和权限失败怎么办?

  3. 配置同步策略

    • 选择地域:选择需要接入的 Ucloud 资产所属的地域。

      说明

      同步的资产数据将归属于云安全中心控制台左上角所选区域对应的数据中心。

      • 中国内地:中国内地数据中心。

      • 非中国内地:新加坡数据中心。

    • 新增地域接入管理建议勾选。勾选后,该 Ucloud 账号下未来新增地域内的资产将自动同步,无需手动添加。

    • 主机资产同步频率:设置自动同步 Ucloud 主机(UHost)资产的周期。如不需同步,可设为"关闭"。

    • AK服务状态检查:设置云安全中心自动检查 Ucloud 账号 API 密钥有效性的时间间隔。可选“关闭",表示不进行检测。

  4. 完成配置后,单击同步最新资产,系统将自动将 Ucloud 账号下的主机资产同步到云安全中心。

说明

接入完成后,可前往资产中心 > 主机资产页面,确认 Ucloud 主机资产已成功显示在资产列表中。

查看与管理已接入资产

主机资产

前往资产中心 > 主机资产页面,在多云资产接入区域单击image图标,可查看接入的 Ucloud 主机。可参考如下步骤,对已接入的 Ucloud UHost 主机,进行深度防护和管理。

说明

更多信息,请参考主机资产

  1. 安装客户端:为 Ucloud 主机安装云安全中心客户端,在执行安装命令时,服务商需选择 Ucloud。具体操作,请参考安装客户端

  2. 升级版本获取防护:默认的免费版仅提供基础安全检测。为获得完整的安全防护能力(如防病毒、漏洞修复、入侵防御等),请为 Ucloud 主机绑定付费版本(防病毒版及以上),具体操作,请参考管理主机及容器安全授权数

云安全态势管理(CSPM)

在云安全中心控制台资产中心 > 资产总览 > 云产品页面,左侧全部云产品导航中,单击 Ucloud,可查看接入的 Ucloud 资产。已接入的 Ucloud 资产可使用 CSPM 如下功能:

说明

更多信息,请参考查看云产品信息

  1. 执行配置风险检查:检查 Ucloud 产品中是否存在配置风险,具体操作,请参考设置并执行云平台配置风险检查策略

  2. 处理风险项:根据检查结果,查看并修复未通过的风险检查项,提升云上资产的合规性与安全性。具体操作,请参考查看并处理未通过的云平台配置风险检查项

运维管理

密钥轮换

为保障账户安全,建议定期轮换访问密钥(AK)。

  1. 在 Ucloud 控制台为专用 IAM 用户创建新的 AccessKey。

  2. 在云安全中心 系统设置 > 功能设置 > 多云配置管理 > 多云资产 页面,找到对应的 Ucloud 账号,单击修改,将 AK/SK 更新为新创建的凭证。

  3. 验证新密钥可以正常同步资产后,返回 Ucloud IAM 控制台,删除旧的 AccessKey。

更新授权范围

若需将新的 Ucloud 产品纳入云安全中心管理,需要更新授权范围。

  1. 在 Ucloud 控制台,找到用户,为其授予新产品对应的权限策略。

  2. 云安全中心会在下一次同步周期中自动发现并纳管新授权的资产。

    说明

    也可以在系统设置 > 功能设置 > 多云配置管理 > 多云资产页面手动触发同步最新资产

删除接入

不再需要通过云安全中心管理某个 Ucloud 账号时,可以将其删除。

  1. 在云安全中心 系统设置 > 功能设置 > 多云配置管理 > 多云资产页面找到需要删除的 Ucloud 账号,单击删除

  2. 删除后,云安全中心将停止对该账号下所有资产的监控和风险扫描,相关资产信息不再显示。

说明

删除后建议同时在 Ucloud 控制台删除或禁用对应的专用子用户,以避免密钥泄露风险。

常见问题

  • 为什么在云安全中心看不到部分接入的 Ucloud 资源?

    • 区域未选择:检查接入配置中是否已勾选该资源所在的 Ucloud 区域。

    • 同步延迟:首次接入或配置变更后,资产同步可能存在延迟,请等待同步完成。

    • 权限不足:确认提供的访问密钥具有足够的只读权限来查询云资源信息。

  • 填写完 AK 后,自动校验凭证和权限失败怎么办?

    • 权限问题:访问密钥权限不足,请参考"在 Ucloud 创建授权凭证"补充相关用户权限策略。

    • 账号问题:确认访问密钥有效且未过期。

    • 地域问题:当前选择的 Domain 与账号所在地域不一致,请切换至其他可用地域后重新提交。