すべてのプロダクト
Search
ドキュメントセンター

Security Center:RAMユーザーの権限を管理するためのベストプラクティス

最終更新日:Dec 16, 2024

Resource access Management (RAM) ユーザーにSecurity Centerの機能の詳細なアクセス制御を実装する場合は、RAMユーザーにシステムポリシーまたはカスタムポリシーをアタッチできます。 このトピックでは、システムポリシーとカスタムポリシーをRAMユーザーにアタッチして、きめ細かいアクセス制御を実装する方法について説明します。

背景情報

RAMは、クラウドサービスに次のタイプのポリシーを提供します。システムポリシーとカスタムポリシーです。 システムポリシーはAlibaba Cloudによって作成されます。 システムポリシーは変更できません。 Security Centerにきめ細かいアクセス制御を実装するには、カスタムポリシーを使用できます。

説明

Alibaba Cloudは、Security Centerに対する権限を付与するAliyunYundunSASFullAccessおよびAliyunYundunSASReadOnlyAccessシステムポリシーを提供しています。 AliyunYundunSASFullAccessポリシーをRAMユーザーにアタッチすると、そのRAMユーザーにはSecurity Centerに対する完全な権限が付与されます。 AliyunYundunSASReadOnlyAccessポリシーをRAMユーザーにアタッチすると、RAMユーザーにはSecurity Centerの読み取り専用権限が付与されます。

前提条件

RAM ユーザーを作成します。 詳細については、「RAM ユーザーの作成」をご参照ください。

RAMユーザーにシステムポリシーをアタッチする

Alibaba Cloudは、課金管理に関連するシステムポリシーと、Security Centerへのアクセスまたは管理権限を付与するシステムポリシーの両方を提供します。 RAMユーザーがSecurity Centerから購入、更新、または登録解除すると、RAMユーザーに必要な権限がないことを示すメッセージが表示されることがあります。 RAMユーザーがSecurity Centerにアクセスすると、RAMユーザーに必要な権限がないため、権限を確認する必要があるというメッセージが表示される場合があります。 このような場合は、次の手順を実行して、必要なシステムポリシーをRAMユーザーにアタッチします。

重要

課金管理に関連するシステムポリシーは、すべてのクラウドサービスで有効になります。 課金管理に関連するシステムポリシーをRAMユーザーにアタッチすると、RAMユーザーはすべてのクラウドサービスのリソースを購入、更新、およびサブスクリプション解除できます。

  1. RAMコンソールRAM管理者としてにログインします。

  2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

  3. On theユーザーページで必要なRAMユーザーを見つけ、権限の追加で、アクション列を作成します。

    image

    複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。

  4. では、権限の追加パネルで、RAMユーザーに権限を付与します。

    1. [リソーススコープ] パラメーターを設定します。

    2. Principalパラメーターを設定します。

      プリンシパルは、権限を付与するRAMユーザーです。 現在のRAMユーザーが自動的に選択されます。

    3. 次のシナリオに基づいてシステムポリシーを選択し、権限の付与をクリックします。

      シナリオ

      システムポリシー

      セキュリティセンターからの購入、更新、または退会

      AliyunBSSOrderAccessおよびAliyunBSSRefundAccess

      読み取り専用モードでのセキュリティセンターへのアクセス

      AliyunYundunSASReadOnlyAccess

      セキュリティセンターの管理

      AliyunYundunSASFullAccess

  5. クリック閉じる.

RAMユーザーにカスタムポリシーをアタッチする

Security Centerにきめ細かいアクセス制御を実装するには、次の手順を実行してRAMユーザーにカスタムポリシーをアタッチします。

手順1: Security Centerの権限を付与するカスタムポリシーを作成する

  1. RAMコンソールRAM管理者としてにログインします。

  2. 左側のナビゲーションウィンドウで、権限 > ポリシーを選択します。

  3. ポリシーページで、ポリシーの作成をクリックします。

  4. ポリシーの作成ページで、JSONタブをクリックします。

    ビジネス要件に基づいてポリシーを設定します。

    説明

    O&M操作の権限を指定するポリシーを使用すると、RAMユーザーは脆弱性検出、脆弱性修正、およびベースラインチェック機能を使用し、Assetsモジュールで操作を実行できます。 ポリシーで許可されている操作の詳細については、[カスタムポリシーでサポートされている操作] 表の操作と説明を参照してください。

    シナリオ

    スクリプト

    自動更新料金 (bssapi:QueryAvailableInstances) を照会し、自動更新設定 (bssapi:SetRenewal) を構成する権限

    {
        "Version": "1",
        "Statement": [
            {
               "Action": [
                         "bssapi:QueryAvailableInstances",
                         "bssapi:SetRenewal",
                         "bss:ModifyPrepaidInstanceAutoRenew",
                         "bss:PayOrder",
                         "bss:QueryPrice",
                         "bss:RefundBatchRemainRefund"
                         ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }

    自動更新設定を変更する権限 (bss:ModifyPrepaidInstanceAutoRenew)

    更新および構成変更の注文に対する支払い権限 (bss:PayOrder)

    割引価格を照会する権限 (bss:QueryPrice)

    払い戻しをリクエストする権限 (bss:RefundBatchRemainRefund)

    Assetsモジュールの読み取り専用権限

    {
        "Version": "1",
        "Statement": [
            {
               "Action": [
                         "yundun-sas:DescribeCloudCenterInstances",
                         "yundun-sas:DescribeFieldStatistics",
                         "yundun-sas:DescribeCriteria"
                         ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }

    Assetsモジュールでセキュリティチェックを実行する権限

    {
        "Version": "1",
        "Statement": [
            {
                "Action": "yundun-sas:ModifyPushAllTask",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }

    脆弱性管理機能に対する読み取り専用権限

    {
        "Version": "1",
        "Statement": [
            {
               "Action": [
                         "yundun-sas:DescribeVulList",
                         "yundun-sas:DescribeVulWhitelist"
                         ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }

    脆弱性管理機能の権限

    {
        "Version": "1",
        "Statement": [
            {
               "Action": "yundun-sas:OperateVul",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }

    O&M操作の権限

    {
        "Version": "1",
        "Statement": [{
                "Action": [
                    "yundun-sas:OperateVul",
                    "yundun-sas:ModifyStartVulScan"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "yundun-sas:FixCheckWarnings",
                    "yundun-sas:IgnoreHcCheckWarnings",
                    "yundun-sas:ValidateHcWarnings"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": "ecs:RebootInstance",
                "Effect": "Allow",
                "Resource": "*",
                "Condition": {
                    "Bool": {
                        "acs:MFAPresent": "true"
                    }
                }
            },
            {
                "Action": "ecs:*",
                "Effect": "Allow",
                "Resource": [
                    "acs:ecs:*:*:*"
                ]
            },
            {
                "Action": "ecs:CreateSnapshot",
                "Effect": "Allow",
                "Resource": [
                    "acs:ecs:*:*:*",
                    "acs:ecs:*:*:snapshot/*"
                ]
            },
            {
                "Action": [
                    "ecs:Describe*"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }, {
                "Action": [
                    "yundun-sas:ModifyPushAllTask",
                    "yundun-sas:DeleteTagWithUuid",
                    "yundun-sas:ModifyTagWithUuid",
                    "yundun-sas:CreateOrUpdateAssetGroup",
                    "yundun-sas:DeleteGroup",
                    "yundun-sas:ModifyAssetImportant",
                    "yundun-sas:RefreshAssets"
    
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
  5. [次へ] をクリックしてポリシー情報を編集します。 表示されるページで、ポリシーの [名前] パラメーターと [説明] パラメーターを設定します。

  6. クリックOK.

ステップ2: RAMユーザーに権限を付与する

  1. にログインします。RAMコンソールRAM管理者として

  2. 左側のナビゲーションウィンドウで、権限 > 助成金.

  3. On the権限ページをクリックします。権限付与.

    image

  4. では、権限付与パネルで、RAMユーザーに権限を付与します。

    デフォルトでは、新しく作成されたRAMユーザーには権限がありません。

    1. Resource Scopeパラメーターを設定します。

    2. Principalパラメーターを設定します。

      プリンシパルは、権限を付与するRAMユーザーです。 一度に複数のRAMユーザーを選択できます。

    3. ポリシーを選択します。

  5. クリック権限の付与.

カスタムポリシーでサポートされている操作

次の表に、Security Centerの権限を付与するカスタムポリシーでサポートされる操作を示します。

説明

ほとんどの場合、カスタムポリシーでサポートされる各アクションは、クラウドサービスの1つのAPI操作に対応します。

アセット

ポリシーでのアクション

説明

API 操作

yundun-sas:DescribeCloudCenterInstances

アセット情報を照会します。 情報には、アセットタイプ、アラート、およびSecurity Centerエージェントのステータスが含まれます。

DescribeCloudCenterInstances

yundun-sas:DescribeFieldStatistics

サーバーの統計を照会します。

DescribeFieldStatistics

yundun-sas:DescribeCriteria

アセットを照会するときに検索条件を照会します。 あいまい検索のキーワードを指定できます。

DescribeCriteria

yundun-sas:ModifyPushAllTask

サーバーのセキュリティチェックを実行します。

ModifyPushAllTask

yundun-sas:DeleteGroup

サーバーグループを削除します。

DeleteGroup

yundun-sas:DescribeSearchCondition

特定のアセットの検索に使用されるフィルター条件を照会します。

DescribeSearchCondition

yundun-sas:DescribeImageStatistics

コンテナイメージのリスク統計を照会します。

DescribeImageStatistics

yundun-sas:DescribeGroupedTags

資産タグの統計を照会します。

DescribeGroupedTags

yundun-sas:DescribeDomainCount

ドメインアセットの数を照会します。

DescribeDomainCount

yundun-sas:DescribeCloudProductFieldStatistics

クラウドサービスの統計を照会します。

DescribeCloudProductFieldStatistics

yundun-sas:DescribeCloudCenterInstances

アセット情報を照会します。

DescribeCloudCenterInstances

yundun-sas:DescribeAllGroups

すべてのサーバーに関するグループ化情報を照会します。

DescribeAllGroups

yundun-sas:CreateOrUpdateAssetGroup

サーバーグループを作成する、サーバーをサーバーグループに追加する、またはサーバーグループからサーバーを削除します。

CreateOrUpdateAssetGroup

yundun-sas:DescribeInstanceStatistics

資産のリスク統計を照会します。

DescribeInstanceStatistics

yundun-sas:PauseClient

Security Centerエージェントを有効または無効にします。

PauseClient

yundun-sas:ModifyTagWithUuid

アセットに追加されるタグの名前を変更したり、アセットのタグを変更したりします。

ModifyTagWithUuid

yundun-sas:RefreshAssets

すべてのアセットに関する情報を更新します。

RefreshAssets

yundun-sas:ExportRecord

アセットモジュールのチェック結果、および構成評価、イメージセキュリティ、攻撃分析、およびAccessKeyリーク検出ページのチェック結果をExcelファイルにエクスポートします。

ExportRecord

yundun-sas:DescribeExportInfo

アセットのリストをエクスポートするタスクの進行状況を照会します。

DescribeExportInfo

yundun-sas:DescribeDomainList

ドメイン資産を照会します。

DescribeDomainList

yundun-sas:DescribeDomainDetail

ドメイン資産の詳細を照会します。

DescribeDomainDetail

yundun-sas:DescribeAssetDetailByUuid

サーバーのUUIDを使用して、サーバーの詳細を照会します。

DescribeAssetDetailByUuid

脆弱性の修正

ポリシーでのアクション

説明

API 操作

yundun-sas:DescribeVulWhitelist

ページごとに脆弱性のホワイトリストを照会します。

DescribeVulWhitelist

yundun-sas:ModifyOperateVul

検出された脆弱性を処理します。 脆弱性を修正、チェック、または無視できます。

ModifyOperateVul

yundun-sas:ModifyVulTargetConfig

サーバーの脆弱性検出を設定します。

ModifyVulTargetConfig

yundun-sas:DescribeConcernNecessity

修正された脆弱性に基づいて優先度を照会します。

DescribeConcernessity

yundun-sas:DescribeVulList

脆弱性をタイプ別に照会します。

DescribeVulList

yundun-sas:ModifyOperateVul

検出された脆弱性を処理します。 脆弱性を修正、チェック、または無視できます。

ModifyOperateVul

yundun-sas:DescribeImageVulList

コンテナーイメージスキャンを使用して検出された脆弱性の詳細と、影響を受けるイメージに関する情報を照会します。

DescribeImageVulList

yundun-sas:ExportVul

脆弱性のリストをエクスポートします。

ExportVul

yundun-sas:DescribeVulExportInfo

脆弱性のリストをエクスポートするタスクの進行状況を照会します。

DescribeVulExportInfo

ベースラインチェック

ポリシーでのアクション

説明

API 操作

yundun-sas:FixCheckWarnings

ベースラインリスク項目を修正します。

FixCheckWarnings

yundun-sas:IgnoreHcCheckWarnings

ベースラインリスクの無視を無視またはキャンセルします。

IgnoreHcCheckWarnings

yundun-sas:ValidateHcWarnings

ベースラインリスク項目が修正されているかどうかを検証します。

ValidateHcWarnings

関連ドキュメント

要素: このトピックを参照して、RAMで権限を定義するために使用されるポリシーの要素を表示できます。 要素は、Effect、Action、Resource、Condition、およびPrincipalです。

ポリシー構造と構文: このトピックを参照して、RAMでポリシーを作成または更新するために使用される構造と構文を確認できます。

RAMを使用してO&Mエンジニアの権限を管理する: このトピックを参照して、O&Mエンジニアに権限を付与し、権限を管理できます。

RAMを使用してAlibaba Cloudリソースへのアクセスが許可されているIPアドレスを制限する: Alibaba Cloudリソースへのアクセスが許可されているIPアドレスを制限するには、このトピックを参照してください。 これにより、より高いレベルのデータセキュリティが保証されます。

RAMを使用してユーザーがAlibaba Cloudリソースにアクセスできる期間を制限する: このトピックを参照して、ユーザーがAlibaba Cloudリソースにアクセスできる期間を制限することができます。 これにより、より高いレベルのデータセキュリティが保証されます。