全部產品
Search
文件中心

Application Real-Time Monitoring Service:應用安全服務關聯角色

更新時間:Dec 24, 2024

本文介紹應用安全服務關聯角色AliyunServiceRoleForARMSSecurity以及如何刪除該角色。

背景資訊

應用安全服務關聯角色AliyunServiceRoleForARMSSecurity是ARMS因為需要擷取其他雲端服務的存取權限而提供的RAM角色。更多關於服務關聯角色的資訊,請參見服務關聯角色

AliyunServiceRoleForARMSSecurity應用情境

應用安全功能需要訪問阿里雲安全服務的資源時,可通過自動建立的應用安全服務關聯角色AliyunServiceRoleForARMSSecurity擷取存取權限。

AliyunServiceRoleForARMSSecurity許可權說明

AliyunServiceRoleForARMSSecurity具備以下雲端服務的存取權限:

安全服務的存取權限

{
      "Action": [
        "yundun-waf:ModifyProtectionConfig",
        "yundun-waf:ModifyApplicationsRaspState",
        "yundun-waf:DescribeRiskDependencyStatisticsInfo",
        "yundun-waf:DescribeRiskDependencies",
        "yundun-waf:DescribeRiskCount",
        "yundun-waf:DescribeProtectionStatisticsInfo",
        "yundun-waf:DescribeProtectionConfig",
        "yundun-waf:DescribeMiddlewareInstances",
        "yundun-waf:DescribeDependencyInstances",
        "yundun-waf:DescribeDependencies",
        "yundun-waf:DescribeAttackStatisticsInfo",
        "yundun-waf:DescribeAttacks",
        "yundun-waf:DescribeAttackCount",
        "yundun-waf:DescribeAttackApplicationCount",
        "yundun-waf:DescribeApplications"
        "yundun-waf:GetRaspCommercialStatus"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

刪除AliyunServiceRoleForARMSSecurity

如果您使用了應用安全功能,然後需要刪除應用安全服務關聯角色AliyunServiceRoleForARMSSecurity(例如您出於安全考慮,需要刪除該角色),則需要先明確刪除後的影響:刪除AliyunServiceRoleForARMSSecurity後,將無法正常查看應用安全相關頁面。如需繼續使用應用安全服務,則需要重新授權。

刪除AliyunServiceRoleForARMSSecurity的操作步驟如下:

說明

如果當前帳號下存在應用已接入應用安全,請先取消接入並重啟,然後再刪除角色,否則會導致刪除失敗。應用取消接入的操作,請參見取消接入目標應用

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 角色

  3. 角色頁面的搜尋方塊通過關鍵詞搜尋名稱為AliyunServiceRoleForARMSSecurity的RAM角色。

  4. 角色頁面,單擊目標RAM角色操作列的刪除角色

  5. 刪除角色對話方塊,輸入RAM角色名稱,然後單擊刪除角色

    如果RAM角色被授予了權限原則,刪除角色時,會同時解除授權。

    對於刪除失敗的任務,您可以在角色列表的右上方,單擊角色刪除任務,查看詳情。

常見問題

Q:為什麼我的RAM使用者無法自動建立ARMS服務關聯角色AliyunServiceRoleForARMSSecurity?

A:RAM使用者需要擁有指定的許可權,才能自動建立或刪除AliyunServiceRoleForARMSSecurity。因此,在RAM使用者無法自動建立AliyunServiceRoleForARMSSecurity時,您需要為RAM使用者添加指定自訂權限原則或名稱為AliyunARMSFullAccess系統策略。

自訂權限原則和系統策略的使用情境如下:

  • 指定自訂策略可以用於為唯讀RAM使用者僅添加使用應用安全的許可權。

  • 名稱為AliyunARMSFullAccess系統策略可以為RAM使用者添加管理ARMS的所有許可權(包括應用安全的使用許可權)。

(可選)步驟一:建立自訂權限原則

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇許可權管理 > 權限原則

  3. 權限原則頁面,單擊建立權限原則

    image

  4. 建立權限原則頁面,單擊指令碼編輯頁簽。在策略文檔中輸入以下自訂權限原則內容。

    {
      "Statement": [{
        "Action": [
          "ram:CreateServiceLinkedRole"
        ],
        "Resource": "acs:ram:*:主帳號ID:role/*",
        "Effect": "Allow",
        "Condition": {
          "StringEquals": {
            "ram:ServiceName": [
              "security.arms.aliyuncs.com"
            ]
          }
        }
      }, {
        "Action": "arms:CreateSecurityAuth",
        "Effect": "Allow",
        "Resource": "*"
      }],
      "Version": "1"
    }
    說明

    請將主帳號ID替換為您實際的阿里雲帳號(主帳號)ID。

  5. 單擊頁面上方的可選:進階策略最佳化,然後單擊執行,對權限原則內容進行進階最佳化。

    進階權限原則最佳化功能會完成以下任務:

    • 拆分不相容操作的資源或條件。

    • 收縮資源到更小範圍。

    • 去重或合并語句。

  6. 建立權限原則頁面,單擊確定

  7. 建立權限原則對話方塊,輸入權限原則名稱備忘,然後單擊確定

步驟二:為RAM使用者添加權限原則。

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 使用者

  3. 使用者頁面,單擊目標RAM使用者操作列的添加許可權

    image

    您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。

  4. 新增授權面板,為RAM使用者添加許可權。

    1. 選擇資源範圍。

    2. 選擇授權主體。

      授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。

    3. 選擇權限原則。

      權限原則是一組存取權限的集合,分為以下兩種。支援批量選中多條權限原則。

      • 系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務

        說明

        系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授權時,盡量避免授予不必要的高風險權限原則。

      • 自訂策略:由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊,請參見建立自訂權限原則

    4. 單擊確認新增授權

  5. 單擊關閉