华为云资产接入云安全中心_云安全中心(Security Center)-阿里云帮助中心

通过在阿里云云安全中心配置华为云账号Access Key（简称AK），云安全中心可通过访问华为云API获取资产信息，将华为云主机、云产品等云资源统一接入云安全中心的安全防护体系。本文详解通过提供华为云账号AK方式完成华为云资产接入的具体配置流程，帮助您实现跨云资产的集中安全管控，降低多云环境下的安全管理复杂度。

配置方案及支持的功能

配置方案	方案说明	支持的功能
手动配置方案	自行创建华为云子账号并授权，之后在云安全中心提交子账号AK完成接入授权。	主机资产云安全态势管理-云产品配置威胁分析与响应重要仅适用于威胁分析与响应1.0架构（不适用于2.0）。
快速配置方案（仅接入主机资产）	提交华为云主账号AK后，云安全中心自动创建华为云子账号并完成接入授权。	主机资产

重要

本文包含的所有在华为云控制台的操作步骤仅供参考，具体操作步骤请参见下文中的华为云文档链接。

手动配置方案

1. 创建用户组并完成授权

具体操作，请参见创建用户组并授权。

登录华为云控制台，进入用户组页面。在用户组页面右上角，单击创建用户组。
在创建用户组页面，填写用户组名称及描述，并单击确定。
在用户组页面，单击新创建的用户组操作列的授权。

根据您需要使用的功能，配置对应的权限，配置完成后单击下一步。

主机资产：
- ECS ReadOnlyAccess，弹性云服务器的只读访问权限。
- IAM ReadOnlyAccess，统一身份认证服务的只读权限。
云安全态势管理：
- Tenant Guest，全部云服务只读权限（除IAM权限）。
- IAM ReadOnlyAccess，统一身份认证服务的只读权限。

威胁分析与响应：单击新建策略，分别创建两个自定义策略siemBasePolicy和siemNormalPolicy。然后为当前用户组授权该策略。具体操作，请参见创建自定义策略。

说明

华为云创建自定义策略需要分别创建全局级和项目级两条策略，便于授权时设置最小授权范围。

siemBasePolicy对应全局级云服务权限，策略内容如下：

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:roles:listRoles",
                "iam:roles:getRole",
                "iam:groups:listGroupsForUser",
                "iam:groups:listGroups",
                "iam:users:getUser",
                "iam:groups:getGroup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rms:resources:list",
                "rms:resources:summarize"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:GetBucketLocation",
                "obs:bucket:HeadBucket",
                "obs:object:GetObjectVersionAcl",
                "obs:bucket:ListAllMyBuckets",
                "obs:bucket:ListBucket",
                "obs:object:GetObjectVersion",
                "obs:object:GetObjectAcl"
            ]
        }
    ]
}

siemNormalPolicy对应项目级云服务权限，策略内容如下：

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cfw:ipGroup:list",
                "cfw:acl:list",
                "cfw:ipMember:put",
                "cfw:ipMember:create",
                "cfw:ipGroup:create",
                "cfw:instance:get",
                "cfw:ipGroup:put",
                "cfw:ipMember:list",
                "cfw:ipGroup:get",
                "cfw:ipMember:delete"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "waf:whiteBlackIpRule:list",
                "waf:whiteBlackIpRule:put",
                "waf:ipgroup:get",
                "waf:whiteBlackIpRule:get",
                "waf:ipgroup:list",
                "waf:whiteBlackIpRule:create",
                "waf:whiteBlackIpRule:delete"
            ]
        }
    ]
}

在选择授权范围方案区域，选择所有资源，单击确定。

2. 创建IAM用户并获取AK

具体操作，请参见创建IAM用户。

在华为云控制台，进入用户页面。在用户页面右上角，单击创建用户。
在创建用户页面，填写用户名称，访问方式选择编程访问，单击下一步。
在加入用户组（可选）向导页面，选择上个步骤中创建的用户组，单击创建用户。
在下载访问密钥提示对话框，单击确定。
保存credentials文件中的Access Key Id和Secret Access Key。

3. 选择权限说明并提交子账号AK

登录云安全中心控制台。
在左侧导航栏，选择系统设置 > 功能设置。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
在多云配置管理 > 多云资产页签，单击新增授权，在下拉列表中选择华为云。
您也可以通过以下任意入口，打开接入云外资产面板。
- 在资产中心 > 主机资产页面，将鼠标移动至多云资产接入区域图标处，并单击华为云下方的接入。
- 在风险治理 > 云安全态势管理页面的云产品配置风险页签，将鼠标移动至多云云产品接入区域图标处，并单击华为云下方的接入。
- 在威胁分析与响应 > 产品接入页面，将鼠标移动至多云产品接入区域图标处，并单击华为云下方的接入授权。
在接入云外资产面板，保持默认选择手动配置方案，根据您需要使用的云安全中心能力，选择权限说明中对应的功能，单击下一步。
- 主机资产：如果您需要云安全中心控制台自动同步华为云主机资产时，请选中该配置项。选中该配置项后，在接下来的步骤中，您需要授予接入使用的子账号云服务器的读权限。
- 云安全态势管理：如果您需要使用云安全态势管理功能扫描华为云产品配置并管理云产品配置风险时，请选中该配置项。
- 威胁分析与响应：如果您需要使用威胁分析与响应功能联动华为云资产进行恶意IP封禁等处置响应时，请选中该配置项。
在提交AK向导页面，输入已获取的子账号AK和SK，并单击下一步。
账号名称用于区分同一云厂商下的不同账户资产，建议您根据其用途设置具有明确含义的名称。
重要
请勿删除或禁用子账号及AK，以免影响接入。

4. 完成接入策略配置

在云安全中心控制台接入云外资产面板的策略配置向导中，配置需接入的华为云资产的地域、数据同步频率等，单击确定。

配置项	说明
选择地域	选择需接入资产所属地域，云安全中心根据您在控制台左上角选择的数据管理中心（中国或全球（不含中国）），将当前账号下的资产数据接入对应的管理中心。
新增地域接入管理	选中该项后，当前华为云账号下如果有新增地域，云安全中心默认将新增地域的资产数据接入到当前所在的数据管理中心。不选中该项时，新增地域将不会被接入云安全中心。
主机资产同步频率	选择云安全中心自动同步华为云主机资产的时间间隔。选择关闭，表示不同步。说明当接入的资产权限说明选择主机资产时，需要配置该参数。
云产品同步频率	选择云安全中心自动同步华为云云产品的时间间隔。选择关闭，表示不同步。说明当接入的资产权限说明选择云安全态势管理时，需要配置该参数。
AK服务状态检查	选择云安全中心自动检测华为云账号API密钥有效性的时间间隔。选择关闭，表示不检测。

单击同步最新资产，将华为云账号下的所有资产同步到云安全中心。

快速配置方案（仅接入主机资产）

1. 新建主账号密钥

具体操作，请参见新增访问密钥。

登录华为云控制台，进入访问密钥页面。
单击新增访问密钥，在对话框中选中我已知悉，为账号创建访问密钥会带来的风险，单击继续创建。
在创建成功对话框，单击立即下载。
保存credentials文件中的Access Key Id和Secret Access Key。

2. 提交主账号AK

登录云安全中心控制台。
在左侧导航栏，选择系统设置 > 功能设置。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
在多云配置管理 > 多云资产页签，单击新增授权，在下拉列表中选择华为云。
您也可以通过以下任意入口，打开接入云外资产面板。
- 在资产中心 > 主机资产页面，将鼠标移动至多云资产接入区域图标处，并单击华为云下方的接入。
- 在风险治理 > 云安全态势管理页面的云产品配置风险页签，将鼠标移动至多云云产品接入区域图标处，并单击华为云下方的接入。
- 在威胁分析与响应 > 产品接入页面，将鼠标移动至多云产品接入区域图标处，并单击华为云下方的接入授权。
在接入云外资产面板，选择快速配置方案，单击下一步。
在提交AK向导页面，输入已获取的账号AccessKeyId、SecretAccessKey和账号名称，并单击下一步。
账号名称用于区分同一云厂商下的不同账户资产，建议您根据其用途设置具有明确含义的名称。

完成上述操作后，云安全中心会自动在华为云控制台创建前缀为AlibabaCloudGroup_的用户及用户组，用于完成接入云安全中心的授权。建议您不要删除或禁用该用户及其AK，以免影响华为云资产接入。

3. 完成接入策略配置

在云安全中心控制台接入云外资产面板的策略配置向导中，配置需接入华为云资产的地域、数据同步频率等，单击确定。

配置项	说明
选择地域	选择需接入资产所属地域，云安全中心根据您在控制台左上角选择的数据管理中心（中国或全球（不含中国）），将当前账号下的资产数据接入对应的管理中心。
新增地域接入管理	选中该项后，当前华为云账号下如果有新增地域，云安全中心默认将新增地域的资产数据接入到当前所在的数据管理中心。不选中该项时，新增地域将不会被接入云安全中心。
主机资产同步频率	选择云安全中心自动同步华为云主机资产的时间间隔。选择关闭，表示不同步。
AK服务状态检查	选择云安全中心自动检测华为云子账号AccessKey有效性的时间间隔。选择关闭，表示不检测。

单击同步最新资产，将华为云账号下的所有主机资产同步到云安全中心。

4. 删除主账号密钥

具体操作，请参见删除访问密钥。

登录华为云控制台，进入访问密钥页面。
单击访问密钥操作列的停用，并在提示对话框单击确定。
单击访问密钥操作列的删除，并在提示对话框单击确定。

接入结果验证

主机资产

在云安全中心控制台资产中心 > 主机资产页面，在多云资产接入区域单击图标，查看接入的华为云主机。更多信息，请参见主机资产。

云安全态势管理

在云安全中心控制台资产中心 > 云产品页面，查看已通过子账号接入的华为云产品列表。更多信息，请参见查看云产品信息。

威胁分析与响应

在云安全中心控制台系统配置 > 功能设置页面的多云配置管理页签，查看威胁分析与响应的服务状态。若服务状态显示正常，则接入成功。

后续操作

为主机资产安装客户端并绑定授权

为华为云资产安装云安全中心客户端。具体操作，请参见安装客户端。
重要
在执行新增安装命令操作时，服务商需选择华为云。
免费版仅支持基础的安全检测，无安全防护能力。您可以为接入的华为云服务器绑定云安全中心的付费防护版本（例如防病毒版、高级版、企业版或旗舰版），以便使用云安全中心的安全防护能力。具体操作，请参见管理主机及容器安全授权数。

执行云安全态势管理检查

设置并执行云平台配置风险检查策略，检查华为云产品中是否存在配置风险。
查看并处理未通过的云平台配置风险检查项。

将日志接入威胁分析与响应

您需要将华为云Web应用防火墙、云防火墙日志接入，才能使用威胁分析与响应提供的威胁检测、安全事件处置等能力。将日志接入的操作步骤如下：

将华为云日志接入威胁分析与响应。
使用威胁分析与响应的威胁检测、安全事件处置等能力。

华为云资产接入指南