如需对RAM用户使用云安全中心相关功能做精细化的权限管理,您可以通过授予RAM用户系统权限策略或自定义权限策略来实现。本文介绍如何授予RAM用户系统权限策略和自定义权限策略,实现精细化的权限管理。
背景信息
阿里云访问控制服务为各云产品提供默认的访问控制系统策略,同时支持用户自定义访问控制策略。系统策略由阿里云默认创建,不支持修改。您可以使用自定义权限对RAM用户访问和操作云安全中心进行精确的限制。
说明 云安全中心支持的默认策略为
AliyunYundunSASFullAccess(表示允许RAM用户对云安全中心的所有功能进行操作)和AliyunYundunSASReadOnlyAccess(表示允许RAM用户只读访问云安全中心的所有数据)。前提条件
已创建RAM用户。具体操作,请参见创建RAM用户。
授予RAM用户系统策略
阿里云提供了费用中心、访问或管理云安全中心相关的系统策略。如果RAM用户购买、续费、退订云安全中心实例时提示无权限,或RAM用户访问云安全中心提示暂无权限,请检查权限,您可以参考以下步骤授予RAM用户对应的系统策略实现为RAM用户授权。
重要 费用中心的系统权限策略对所有云产品生效。给RAM用户授权费用中心相关系统策略后,RAM用户将拥有购买、续费、退订所有云产品的权限。
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择。
- 在用户页面,单击目标RAM用户操作列的添加权限。
- 在添加权限面板,为RAM用户添加权限。
- 单击完成。
授予RAM用户自定义策略
参考以下步骤使用自定义权限对RAM用户访问和操作云安全中心进行精确的限制。
一、创建云安全中心自定义权限策略
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择。
- 在权限策略页面,单击创建权限策略。
- 在创建权限策略页面,单击脚本编辑页签。根据您的使用场景配置对应脚本。说明 在运维人员权限场景中,该脚本的权限策略允许RAM用户使用漏洞扫描、漏洞修复、基线检查和资产中心功能并进行相关操作。添加该策略后,RAM用户具体可以执行的操作,请参见支持自定义权限策略的操作表格中的Action及其说明。
使用场景 脚本配置 资产中心只读 { "Version": "1", "Statement": [ { "Action": [ "yundun-sas:DescribeCloudCenterInstances", "yundun-sas:DescribeFieldStatistics", "yundun-sas:DescribeCriteria" ], "Resource": "*", "Effect": "Allow" } ] }资产中心安全检查 { "Version": "1", "Statement": [ { "Action": "yundun-sas:ModifyPushAllTask", "Resource": "*", "Effect": "Allow" } ] }漏洞管理只读 { "Version": "1", "Statement": [ { "Action": [ "yundun-aegis:DescribeVulList", "yundun-sas:DescribeVulWhitelist" ], "Resource": "*", "Effect": "Allow" } ] }漏洞管理 { "Version": "1", "Statement": [ { "Action": "yundun-aegis:OperateVul", "Resource": "*", "Effect": "Allow" } ] }运维人员权限 { "Version": "1", "Statement": [{ "Action": [ "yundun-aegis:OperateVul", "yundun-aegis:ModifyStartVulScan" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "yundun-aegis:FixCheckWarnings", "yundun-aegis:IgnoreHcCheckWarnings", "yundun-aegis:ValidateHcWarnings" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ecs:RebootInstance", "Effect": "Allow", "Resource": "*", "Condition": { "Bool": { "acs:MFAPresent": "true" } } }, { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:*" ] }, { "Action": "ecs:CreateSnapshot", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:*", "acs:ecs:*:*:snapshot/*" ] }, { "Action": [ "ecs:Describe*" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "yundun-sas:ModifyPushAllTask", "yundun-sas:DeleteTagWithUuid", "yundun-sas:ModifyTagWithUuid", "yundun-sas:CreateOrUpdateAssetGroup", "yundun-sas:DeleteGroup", "yundun-sas:ModifyAssetImportant", "yundun-sas:RefreshAssets" ], "Resource": "*", "Effect": "Allow" } ] } - 单击下一步:编辑基本信息,然后输入权限策略的名称和备注。
- 单击确定。
二、为RAM用户授权
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择。
- 在授权页面,单击新增授权。
- 在新增授权面板,为RAM用户添加权限。新创建的RAM用户默认不支持任何权限。
- 单击确定。
支持自定义权限策略的操作
以下内容介绍云安全中心主要的功能模块支持的自定义权限策略。
说明 多数情况下RAM自定义权限策略中的Action与该云产品的API一一对应。
资产中心
| RAM权限策略Action | 描述 | 支持的API |
|---|---|---|
| yundun-sas:DescribeCloudCenterInstances | 查询资产列表信息。包括资产的类型、是否存在安全告警、客户端在线状态等。 | DescribeCloudCenterInstances - 查询资产信息 |
| yundun-sas:DescribeFieldStatistics | 查询您资产中服务器的统计信息。 | DescribeFieldStatistics - 查询资产中服务器的统计信息 |
| yundun-sas:DescribeCriteria | 获取查询资产时,输入的模糊匹配值对应的查询条件信息。 | DescribeCriteria - 查询资产时的查询条件 |
| yundun-sas:ModifyPushAllTask | 对服务器执行安全检查任务。 | ModifyPushAllTask - 一键下发安全检查任务 |
| yundun-sas:DescribeDomainCount | 获取域名资产的数量。 | ModifyPushAllTask - 一键下发安全检查任务 |
| yundun-sas:DeleteGroup | 删除资产的分组。 | DeleteGroup - 删除服务器分组 |
| yundun-sas:DescribeSearchCondition | 查询资产的筛选条件。 | DescribeSearchCondition - 查询资产的筛选条件 |
| yundun-sas:DescribeImageStatistics | 查询容器镜像资产的风险统计信息。 | DescribeImageStatistics - 查询容器镜像资产的风险统计信息 |
| yundun-sas:DescribeGroupedTags | 查询资产标签的统计信息。 | DescribeGroupedTags - 查询标签的统计信息 |
| yundun-sas:DescribeDomainCount | 获取域名资产数量。 | DescribeDomainCount - 查询域名资产数量 |
| yundun-sas:DescribeCloudProductFieldStatistics | 获取云产品统计信息。 | DescribeCloudProductFieldStatistics - 查询云产品统计信息 |
| yundun-sas:DescribeCloudCenterInstances | 查询资产信息。 | DescribeCloudCenterInstances - 查询资产信息 |
| yundun-sas:DescribeAllGroups | 查询所有服务器分组信息。 | DescribeAllGroups - 查询服务器分组信息 |
| yundun-sas:DeleteGroup | 删除服务器分组。 | DeleteGroup - 删除服务器分组 |
| yundun-sas:CreateOrUpdateAssetGroup | 创建服务器分组或修改服务器分组下的服务器。 | CreateOrUpdateAssetGroup - 修改资产与资产分组关系 |
| yundun-sas:DescribeInstanceStatistics | 查询资产的风险统计信息。 | DescribeInstanceStatistics - 查询服务器的统计信息 |
| yundun-sas:PauseClient | 启用或暂停Agent客户端。 | PauseClient - 启用或暂停Agent客户端 |
| yundun-sas:ModifyTagWithUuid | 修改资产的标签名称或修改指定标签下包含的资产。 | ModifyTagWithUuid - 修改资产标签名或标签中的资产 |
| yundun-sas:RefreshAssets | 同步最新资产。 | RefreshAssets - 同步资产 |
| yundun-sas:ExportRecord | 导出资产中心、云平台配置检查、镜像安全扫描、攻击分析、AK泄露检测等页面的检测结果的Excel文件。 | ExportRecord - 导出结果列表 |
| yundun-sas:DescribeExportInfo | 查看资产导出任务的进度。 | DescribeExportInfo - 查看资产列表的导出进度 |
| yundun-sas:DescribeDomainList | 查询域名资产信息列表。 | DescribeDomainList - 查询域名资产信息 |
| yundun-sas:DescribeDomainDetail | 获取域名资产详情。 | DescribeDomainDetail - 查询域名资产详情 |
| yundun-aegis:DescribeAssetDetailByUuid | 使用资产的UUID查询资产的详情。 | DescribeAssetDetailByUuid - 查询服务器资产详情和扩展信息 |
漏洞修复
| RAM权限策略Action | 描述 | 支持的API |
|---|---|---|
| yundun-sas:DescribeVulWhitelist | 分页查询漏洞白名单。 | DescribeVulWhitelist - 分页查询漏洞白名单 |
| yundun-sas:ModifyOperateVul | 对检测到的漏洞进行处理,处理方式包括修复、验证、忽略等。 | ModifyOperateVul - 对检测到的漏洞进行处理 |
| yundun-sas:ModifyVulTargetConfig | 设置单台服务器的漏洞检测配置。 | ModifyVulTargetConfig - 设置单台服务器的漏洞检测配置 |
| yundun-aegis:DescribeConcernNecessity | 查询关注的漏洞修复必要性信息。 | DescribeConcernNecessity - 查询关注的漏洞修复必要性信息 |
| yundun-aegis:DescribeVulList | 根据漏洞类型查询对应漏洞信息。 | DescribeVulList - 根据漏洞类型查询对应漏洞信息 |
| yundun-aegis:ModifyOperateVul | 对检测到的漏洞进行处理,处理方式包括修复、验证、忽略等。 | ModifyOperateVul - 对检测到的漏洞进行处理 |
| yundun-aegis:DescribeImageVulList | 查看镜像安全扫描的漏洞的详情及受漏洞影响容器镜像的信息列表。 | DescribeImageVulList - 查看容器镜像漏洞列表 |
| yundun-aegis:ExportVul | 导出漏洞列表。 | ExportVul - 导出漏洞列表 |
| yundun-aegis:DescribeVulExportInfo | 查看漏洞导出任务的进度。 | DescribeVulExportInfo - 查看漏洞导出任务的进度 |
基线检查
| RAM权限策略Action | 描述 | 支持的API |
|---|---|---|
| yundun-aegis:FixCheckWarnings | 修复基线检查风险项。 | FixCheckWarnings - 修复基线检查风险项 |
| yundun-aegis:IgnoreHcCheckWarnings | 忽略或取消忽略基线检查风险项。 | IgnoreHcCheckWarnings - 对基线的风险项批量执行忽略或取消忽略 |
| yundun-aegis:ValidateHcWarnings | 验证基线检查风险项。 | ValidateHcWarnings - 批量验证基线检查风险项 |
