接入第三方云资产

登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。

在左侧导航栏，选择系统配置 > 功能设置。

在多云配置管理 > 多云资产页签，单击新增授权，在下拉列表中，选择需要接入的多云厂商（腾讯云、华为云或AWS）。

在接入云外资产面板，按照指引完成创建对应云厂商的子账号，建立第三方云服务器和云安全中心服务之间的连接。

1. 根据控制台页面提示操作，登录第三方云厂商平台，创建第三方账号AK（AccessKey）。

   支持选择手动配置方案和快速配置方案。

   • （推荐）手动配置方案：手动创建第三方云厂商子账号，将子账号AK授权给云安全中心。

     根据您需要使用的云安全中心防护能力，选择权限说明中对应的功能：

     • 主机资产：授予云安全中心第三方账号下云服务器的读权限。如果您需要云安全中心为第三方云资产提供风险检查、威胁防御等安全能力时，请选中该配置项。

     • 云安全态势管理：授予云安全中心第三方账号下所有云资产的读权限。如果您需要使用云安全态势管理功能扫描第三方云资产，请选中该配置项。

     • 威胁分析与响应：授予云安全中心第三方账号下所有云资产的读权限以及部分云资产的写权限。如果您需要使用威胁分析与响应功能统一管理第三方云资产的日志，并联动云资产进行处置响应时，请选中该配置项。

     说明

     不同云厂商支持接入的资产类型不同，请以实际页面显示为准。

     使用子账号AK时，您需要为子账号授予云安全中心服务所需的权限，否则会导致云安全中心无法正常防护第三方云资产。请参考控制台步骤配置子账号权限。

     防护第三方云子账号所需的权限

     资产类型	腾讯云	华为云	AWS
     主机资产	QcloudCVMReadOnlyAccess	ECSReadOnlyAccess	AmazonEC2ReadOnlyAccess
     云安全态势管理	CloudResourceReadOnlyAccess QcloudCamReadOnlyAccess	暂不支持	ReadOnlyAccess
     威胁分析与响应	请参见接入第三方云产品日志。		暂不支持

   • 快速配置方案：将主账号AK授权给云安全中心，由云安全中心自动为您创建子账号AK。

     说明

     该配置方案仅支持接入主机资产进行防护。不支持接入资产使用云安全态势管理和威胁分析与响应功能。

2. 在提交AK向导页面，输入已获取的账号AK信息和账号名称，并单击下一步。

   账号名称用于区分同一云厂商下的不同账户资产，建议您根据其用途设置具有明确含义的名称。

3. 在审计日志配置向导页面，配置接入第三方资产的日志数据，单击下一步。如果不需要接入审计日志，请单击跳过。

   重要

   • 审计日志配置用于获取云安全态势管理中身份权限管理（CIEM）的检测项的数据。第三方云资产使用云安全态势管理功能时，如果不配置该项，云安全中心将无法检测CIEM相关检查项。

   • 仅支持腾讯云和AWS资产配置该项。华为云资产无需配置该选项。

     • 在进行腾讯云资产审计日志配置前，您需要先前往腾讯云控制台，创建一个日志主题并完成相应的自定义权限配置。具体操作，请参见步骤一：配置第三方云平台账号。

     • 在进行AWS资产审计日志配置前，您需要先前往AWS控制台，创建一个SQS队列并完成相应的自定义权限策略配置。具体操作，请参见步骤一：配置第三方云平台账号。

   • 接入AWS账号时，依次输入获取到的AWS SQS所在的地域ID和SQS队列名称。

   • 接入腾讯云账号时，依次输入获取到腾讯云CLS日志服务的Kafka主题名称、Kafka外网服务接入地址信息和所属日志集ID。

4. 在策略配置向导页面，配置接入第三方资产的地域、数据同步频率等，单击确定。

   配置项	说明
   选择地域(选择接入本管理中心的数据)	选择第三方账号下需接入资产所属地域，云安全中心根据您在控制台左上角选择的数据管理中心（中国或全球（不含中国）），将第三方账号下的资产数据接入对应的管理中心。
   新增地域接入管理	选中该项后，第三方账号下如果有新增地域，云安全中心默认将新增地域的第三方资产数据接入到当前所在的数据管理中心。 不选中该项时，新增地域将不会被接入到云安全中心进行防护。
   主机资产同步频率	选择云安全中心自动同步第三方主机资产的时间间隔。选择关闭，表示不同步。 说明 当接入的资产权限说明选择主机资产时，需要配置该参数。
   云产品同步频率	选择云安全中心自动同步第三方云产品的时间间隔。选择关闭，表示不同步。 说明 当接入的资产权限说明选择云安全态势管理时，需要配置该参数。
   AK服务状态检查	选择云安全中心自动检测第三方账号AK有效性的时间间隔。选择关闭，表示不检测。

5. 单击同步最新资产，将第三方账号下的资产同步到云安全中心。

   • 如果您使用的是主账号AK，该主账号下的所有子账号的资产将自动同步到云安全中心。

   • 如果您使用的是子账号AK，该子账号的资产将自动同步到云安全中心。

登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。

在左侧导航栏，选择系统配置 > 功能设置。

在多云配置管理 > 多云资产页签，单击新增授权，在下拉列表中，选择需要接入的多云厂商（Azure）。

在接入云外资产面板，按照指引完成创建对应云厂商的子账号，建立第三方云服务器和云安全中心服务之间的连接。

1. 创建第三方云厂商的子账号。

   根据控制台页面提示操作，您需要登录第三方云厂商平台，手动创建一个用于接入云安全中心的Azure账号，并获取操作命令执行结果中的appId、displayName、name、password和tenant信息。

   重要

   您需要为创建的Azure账号授予Microsoft.Compute permissions资源下的只读权限。

2. 在提交AK向导页面，输入上述步骤获取到的请输入appId、请输入password、tenant和Domain，选择需要接入的资产类型，并单击下一步。

   支持接入的资产类型为主机资产，表示授权云安全中心第三方云平台账号下云服务器的读权限。

3. 在审计日志配置向导页面，配置接入第三方资产的日志数据，单击下一步。如果不需要接入审计日志，请单击跳过。

   重要

   • 审计日志配置用于获取云安全态势管理中身份权限管理（CIEM）的检测项的数据。第三方云资产使用云安全态势管理功能时，如果不配置该项，云安全中心将无法检测CIEM相关检查项。

   • 仅支持腾讯云和AWS资产配置该项。华为云资产无需配置该选项。

     • 在进行腾讯云资产审计日志配置前，您需要先前往腾讯云控制台，创建一个日志主题并完成相应的自定义权限配置。具体操作，请参见步骤一：配置第三方云平台账号。

     • 在进行AWS资产审计日志配置前，您需要先前往AWS控制台，创建一个SQS队列并完成相应的自定义权限策略配置。具体操作，请参见步骤一：配置第三方云平台账号。

   • 接入AWS账号时，依次输入获取到的AWS SQS所在的地域ID和SQS队列名称。

   • 接入腾讯云账号时，依次输入获取到腾讯云CLS日志服务的Kafka主题名称、Kafka外网服务接入地址信息和所属日志集ID。

4. 在策略配置向导页面，配置接入第三方资产的地域、数据同步频率等，单击确定。

   配置项	说明
   选择地域(选择接入本管理中心的数据)	选择第三方账号下需接入资产所属地域，云安全中心根据您在控制台左上角选择的数据管理中心（中国或全球（不含中国）），将第三方账号下的资产数据接入对应的管理中心。
   新增地域接入管理	选中该项后，第三方账号下如果有新增地域，云安全中心默认将新增地域的第三方资产数据接入到当前所在的数据管理中心。 不选中该项时，新增地域将不会被接入到云安全中心进行防护。
   主机资产同步频率	选择云安全中心自动同步第三方主机资产的时间间隔。选择关闭，表示不同步。 说明 当接入的资产权限说明选择主机资产时，需要配置该参数。
   云产品同步频率	选择云安全中心自动同步第三方云产品的时间间隔。选择关闭，表示不同步。 说明 当接入的资产权限说明选择云安全态势管理时，需要配置该参数。
   AK服务状态检查	选择云安全中心自动检测第三方账号AK有效性的时间间隔。选择关闭，表示不检测。