云安全中心无代理检测功能需要设置以下权限才能访问账号下的加密快照和加密镜像,本文介绍如何操作授权。
ECS 加密盘检测授权
授权内容说明
无代理检测需要在您的账号中创建以下资源,以获得访问加密快照和加密镜像的权限。
资源名称 | 说明 |
| 加密快照共享角色。用于 ECS 将加密快照共享给云安全中心,并授权访问密钥管理服务(KMS)密钥以解密快照数据。 |
| 加密镜像共享角色。用于 ECS 将加密镜像共享给云安全中心,并授权访问密钥管理服务(KMS)密钥以解密镜像数据。 |
操作授权的当前账号需要有 RAM 管理权限(
AliyunRAMFullAccess或等效策略)。关于 ECS 加密资源共享权限的更多信息,请参见 加密相关的权限说明。
操作授权
步骤一:创建加密快照共享角色
登录 RAM 控制台。
在页面左侧导航栏选择身份管理 > 角色,然后单击创建角色。
在创建角色对话框中,信任主体类型选择云服务,单击下一步。
信任主体名称选择云服务器 ECS,单击下一步。
填写角色名称为
AliyunECSShareEncryptSnapshotDefaultRole,单击完成。角色创建完成后,单击关闭,回到角色列表。找到
AliyunECSShareEncryptSnapshotDefaultRole,单击角色名称进入详情页。在信任策略管理页签,单击修改信任策略,将以下内容替换现有策略,然后单击保存。
说明云安全中心服务商 UID 为
1699778034952274,已在上方 JSON 中预填。如需添加多个服务商 UID,在 Service 数组中依次添加。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "1699778034952274@ecs.aliyuncs.com" ] }, "Action": "sts:AssumeRole" } ] }在权限管理页签,单击添加权限。在添加权限对话框中,权限类型选择系统策略,搜索并选择
AliyunKMSFullAccess,单击确认。
步骤二:创建加密镜像共享角色
加密镜像共享角色的创建流程与加密快照共享角色类似,以下列出关键差异步骤,其余操作请参考步骤一。
登录 RAM 控制台。
在页面左侧导航栏选择身份管理 > 角色,然后单击创建角色。
在创建角色对话框中,信任主体类型选择云服务,单击下一步。
信任主体名称选择云服务器 ECS,单击下一步。
填写角色名称为
AliyunECSShareEncryptImageDefaultRole(与步骤一的角色名称不同),单击完成。角色创建完成后,单击关闭,回到角色列表。找到
AliyunECSShareEncryptImageDefaultRole,单击角色名称进入详情页。在信任策略管理页签,单击修改信任策略,将以下内容替换现有策略,然后单击保存。
说明信任策略 JSON 与步骤一相同,Service 中的服务商 UID 同为
1699778034952274。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "1699778034952274@ecs.aliyuncs.com" ] }, "Action": "sts:AssumeRole" } ] }在权限管理页签,单击添加权限。在添加权限对话框中,权限类型选择系统策略,搜索并选择
AliyunKMSFullAccess,单击确认。
步骤三:验证角色创建结果
所有角色创建完成后,在左侧导航栏选择身份管理 > 角色,在角色列表中分别搜索新创建的两个角色,确认是否均已创建成功。
AliyunECSShareEncryptSnapshotDefaultRoleAliyunECSShareEncryptImageDefaultRole
后续操作
完成 ECS 授权后,请参照无代理检测创建检测任务。在配置扫描范围时,勾选已授权的 ECS 实例。”
常见问题
加密盘检测需要满足什么条件?
除完成上述授权外,加密盘所用的密钥管理服务(KMS)密钥还需授权云安全中心访问。请确认
AliyunECSShareEncryptSnapshotDefaultRole和AliyunECSShareEncryptImageDefaultRole均已绑定AliyunKMSFullAccess策略。授权完成后多久生效?
授权完成后立即生效,无需等待。返回云安全中心控制台刷新页面即可看到授权状态变更。