Resource access Management (RAM) ユーザーにSecurity Centerの機能の詳細なアクセス制御を実装する場合は、RAMユーザーにシステムポリシーまたはカスタムポリシーをアタッチできます。 このトピックでは、システムポリシーとカスタムポリシーをRAMユーザーにアタッチして、きめ細かいアクセス制御を実装する方法について説明します。
背景情報
RAMは、クラウドサービスに次のタイプのポリシーを提供します。システムポリシーとカスタムポリシーです。 システムポリシーはAlibaba Cloudによって作成されます。 システムポリシーは変更できません。 Security Centerにきめ細かいアクセス制御を実装するには、カスタムポリシーを使用できます。
Alibaba Cloudは、Security Centerに対する権限を付与するAliyunYundunSASFullAccess
およびAliyunYundunSASReadOnlyAccess
システムポリシーを提供しています。 AliyunYundunSASFullAccessポリシーをRAMユーザーにアタッチすると、そのRAMユーザーにはSecurity Centerに対する完全な権限が付与されます。 AliyunYundunSASReadOnlyAccessポリシーをRAMユーザーにアタッチすると、RAMユーザーにはSecurity Centerの読み取り専用権限が付与されます。
前提条件
RAM ユーザーを作成します。 詳細については、「RAM ユーザーの作成」をご参照ください。
RAMユーザーにシステムポリシーをアタッチする
Alibaba Cloudは、課金管理に関連するシステムポリシーと、Security Centerへのアクセスまたは管理権限を付与するシステムポリシーの両方を提供します。 RAMユーザーがSecurity Centerから購入、更新、または登録解除すると、RAMユーザーに必要な権限がないことを示すメッセージが表示されることがあります。 RAMユーザーがSecurity Centerにアクセスすると、RAMユーザーに必要な権限がないため、権限を確認する必要があるというメッセージが表示される場合があります。 このような場合は、次の手順を実行して、必要なシステムポリシーをRAMユーザーにアタッチします。
課金管理に関連するシステムポリシーは、すべてのクラウドサービスで有効になります。 課金管理に関連するシステムポリシーをRAMユーザーにアタッチすると、RAMユーザーはすべてのクラウドサービスのリソースを購入、更新、およびサブスクリプション解除できます。
RAMコンソールRAM管理者としてにログインします。
左側のナビゲーションウィンドウで、 を選択します。
On theユーザーページで必要なRAMユーザーを見つけ、権限の追加で、アクション列を作成します。
複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。
では、権限の追加パネルで、RAMユーザーに権限を付与します。
[リソーススコープ] パラメーターを設定します。
アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。
ResourceGroup: 特定のリソースグループに対して権限付与が有効になります。
重要[リソーススコープ] パラメーターで [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認します。 詳細については、「リソースグループで動作するサービス」をご参照ください。 リソースグループに権限を付与する方法の詳細については、「リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与する」をご参照ください。
Principalパラメーターを設定します。
プリンシパルは、権限を付与するRAMユーザーです。 現在のRAMユーザーが自動的に選択されます。
次のシナリオに基づいてシステムポリシーを選択し、権限の付与をクリックします。
シナリオ
システムポリシー
セキュリティセンターからの購入、更新、または退会
AliyunBSSOrderAccessおよびAliyunBSSRefundAccess
読み取り専用モードでのセキュリティセンターへのアクセス
AliyunYundunSASReadOnlyAccess
セキュリティセンターの管理
AliyunYundunSASFullAccess
クリック閉じる.
RAMユーザーにカスタムポリシーをアタッチする
Security Centerにきめ細かいアクセス制御を実装するには、次の手順を実行してRAMユーザーにカスタムポリシーをアタッチします。
手順1: Security Centerの権限を付与するカスタムポリシーを作成する
RAMコンソールRAM管理者としてにログインします。
左側のナビゲーションウィンドウで、を選択します。
ポリシーページで、ポリシーの作成をクリックします。
ポリシーの作成ページで、JSONタブをクリックします。
ビジネス要件に基づいてポリシーを設定します。
説明O&M操作の権限を指定するポリシーを使用すると、RAMユーザーは脆弱性検出、脆弱性修正、およびベースラインチェック機能を使用し、Assetsモジュールで操作を実行できます。 ポリシーで許可されている操作の詳細については、[カスタムポリシーでサポートされている操作] 表の操作と説明を参照してください。
シナリオ
スクリプト
自動更新料金 (
bssapi:QueryAvailableInstances
) を照会し、自動更新設定 (bssapi:SetRenewal) を構成する権限{ "Version": "1", "Statement": [ { "Action": [ "bssapi:QueryAvailableInstances", "bssapi:SetRenewal", "bss:ModifyPrepaidInstanceAutoRenew", "bss:PayOrder", "bss:QueryPrice", "bss:RefundBatchRemainRefund" ], "Resource": "*", "Effect": "Allow" } ] }
自動更新設定を変更する権限 (
bss:ModifyPrepaidInstanceAutoRenew
)更新および構成変更の注文に対する支払い権限 (
bss:PayOrder
)割引価格を照会する権限 (
bss:QueryPrice
)払い戻しをリクエストする権限 (
bss:RefundBatchRemainRefund
)Assetsモジュールの読み取り専用権限
{ "Version": "1", "Statement": [ { "Action": [ "yundun-sas:DescribeCloudCenterInstances", "yundun-sas:DescribeFieldStatistics", "yundun-sas:DescribeCriteria" ], "Resource": "*", "Effect": "Allow" } ] }
Assetsモジュールでセキュリティチェックを実行する権限
{ "Version": "1", "Statement": [ { "Action": "yundun-sas:ModifyPushAllTask", "Resource": "*", "Effect": "Allow" } ] }
脆弱性管理機能に対する読み取り専用権限
{ "Version": "1", "Statement": [ { "Action": [ "yundun-sas:DescribeVulList", "yundun-sas:DescribeVulWhitelist" ], "Resource": "*", "Effect": "Allow" } ] }
脆弱性管理機能の権限
{ "Version": "1", "Statement": [ { "Action": "yundun-sas:OperateVul", "Resource": "*", "Effect": "Allow" } ] }
O&M操作の権限
{ "Version": "1", "Statement": [{ "Action": [ "yundun-sas:OperateVul", "yundun-sas:ModifyStartVulScan" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "yundun-sas:FixCheckWarnings", "yundun-sas:IgnoreHcCheckWarnings", "yundun-sas:ValidateHcWarnings" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ecs:RebootInstance", "Effect": "Allow", "Resource": "*", "Condition": { "Bool": { "acs:MFAPresent": "true" } } }, { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:*" ] }, { "Action": "ecs:CreateSnapshot", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:*", "acs:ecs:*:*:snapshot/*" ] }, { "Action": [ "ecs:Describe*" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "yundun-sas:ModifyPushAllTask", "yundun-sas:DeleteTagWithUuid", "yundun-sas:ModifyTagWithUuid", "yundun-sas:CreateOrUpdateAssetGroup", "yundun-sas:DeleteGroup", "yundun-sas:ModifyAssetImportant", "yundun-sas:RefreshAssets" ], "Resource": "*", "Effect": "Allow" } ] }
[次へ] をクリックしてポリシー情報を編集します。 表示されるページで、ポリシーの [名前] パラメーターと [説明] パラメーターを設定します。
クリックOK.
ステップ2: RAMユーザーに権限を付与する
にログインします。RAMコンソールRAM管理者として
左側のナビゲーションウィンドウで、 .
On the権限ページをクリックします。権限付与.
では、権限付与パネルで、RAMユーザーに権限を付与します。
デフォルトでは、新しく作成されたRAMユーザーには権限がありません。
Resource Scopeパラメーターを設定します。
アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。
リソースグループ: 権限付与は、特定のリソースグループに対して有効になります。
重要[リソーススコープ] パラメーターで [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認します。 詳細については、「リソースグループで動作するサービス」をご参照ください。 リソースグループに権限を付与する方法の詳細については、「リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与する」をご参照ください。
Principalパラメーターを設定します。
プリンシパルは、権限を付与するRAMユーザーです。 一度に複数のRAMユーザーを選択できます。
ポリシーを選択します。
AliyunYundunSASReadOnlyAccessポリシーを検索してクリックします。 このシステムポリシーは、RAMユーザーにSecurity Centerの読み取り専用権限を付与します。
手順1: Security Centerの権限を付与するカスタムポリシーの作成で作成したポリシーを検索してクリックします。
クリック権限の付与.
カスタムポリシーでサポートされている操作
関連ドキュメント
要素: このトピックを参照して、RAMで権限を定義するために使用されるポリシーの要素を表示できます。 要素は、Effect、Action、Resource、Condition、およびPrincipalです。
ポリシー構造と構文: このトピックを参照して、RAMでポリシーを作成または更新するために使用される構造と構文を確認できます。
RAMを使用してO&Mエンジニアの権限を管理する: このトピックを参照して、O&Mエンジニアに権限を付与し、権限を管理できます。
RAMを使用してAlibaba Cloudリソースへのアクセスが許可されているIPアドレスを制限する: Alibaba Cloudリソースへのアクセスが許可されているIPアドレスを制限するには、このトピックを参照してください。 これにより、より高いレベルのデータセキュリティが保証されます。
RAMを使用してユーザーがAlibaba Cloudリソースにアクセスできる期間を制限する: このトピックを参照して、ユーザーがAlibaba Cloudリソースにアクセスできる期間を制限することができます。 これにより、より高いレベルのデータセキュリティが保証されます。