Application Real-Time Monitoring Service：應用安全服務關聯角色

AliyunServiceRoleForARMSSecurity應用情境

應用安全功能需要訪問阿里雲安全服務的資源時，可通過自動建立的應用安全服務關聯角色AliyunServiceRoleForARMSSecurity擷取存取權限。

AliyunServiceRoleForARMSSecurity許可權說明

AliyunServiceRoleForARMSSecurity具備以下雲端服務的存取權限：

{
      "Action": [
        "yundun-waf:ModifyProtectionConfig",
        "yundun-waf:ModifyApplicationsRaspState",
        "yundun-waf:DescribeRiskDependencyStatisticsInfo",
        "yundun-waf:DescribeRiskDependencies",
        "yundun-waf:DescribeRiskCount",
        "yundun-waf:DescribeProtectionStatisticsInfo",
        "yundun-waf:DescribeProtectionConfig",
        "yundun-waf:DescribeMiddlewareInstances",
        "yundun-waf:DescribeDependencyInstances",
        "yundun-waf:DescribeDependencies",
        "yundun-waf:DescribeAttackStatisticsInfo",
        "yundun-waf:DescribeAttacks",
        "yundun-waf:DescribeAttackCount",
        "yundun-waf:DescribeAttackApplicationCount",
        "yundun-waf:DescribeApplications"
        "yundun-waf:GetRaspCommercialStatus"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }

刪除AliyunServiceRoleForARMSSecurity

如果您使用了應用安全功能，然後需要刪除應用安全服務關聯角色AliyunServiceRoleForARMSSecurity（例如您出於安全考慮，需要刪除該角色），則需要先明確刪除後的影響：刪除AliyunServiceRoleForARMSSecurity後，將無法正常查看應用安全相關頁面。如需繼續使用應用安全服務，則需要重新授權。

刪除AliyunServiceRoleForARMSSecurity的操作步驟如下：

1. 使用Resource Access Management員登入RAM控制台。

2. 在左側導覽列，選擇身份管理 > 角色。

3. 在角色頁面的搜尋方塊通過關鍵詞搜尋名稱為AliyunServiceRoleForARMSSecurity的RAM角色。

4. 在右側操作列，單擊刪除。

5. 在刪除角色對話方塊，輸入RAM角色名稱，然後單擊刪除角色。

   如果RAM角色被授予了權限原則，刪除角色時，會同時解除授權。

   對於刪除失敗的任務，您可以在角色列表的右上方，單擊角色刪除任務，查看詳情。

常見問題

Q：為什麼我的RAM使用者無法自動建立ARMS服務關聯角色AliyunServiceRoleForARMSSecurity？

A：RAM使用者需要擁有指定的許可權，才能自動建立或刪除AliyunServiceRoleForARMSSecurity。因此，在RAM使用者無法自動建立AliyunServiceRoleForARMSSecurity時，您需要為RAM使用者添加指定自訂權限原則或名稱為AliyunARMSFullAccess系統策略。

自訂權限原則和系統策略的使用情境如下：

• 指定自訂策略可以用於為唯讀RAM使用者僅添加使用應用安全的許可權。

• 名稱為AliyunARMSFullAccess系統策略可以為RAM使用者添加管理ARMS的所有許可權（包括應用安全的使用許可權）。

（可選）步驟一：建立自訂權限原則

1. 使用Resource Access Management員登入RAM控制台。

2. 在左側導覽列，選擇許可權管理 > 權限原則。

3. 在權限原則頁面，單擊建立權限原則。

4. 在建立權限原則頁面，單擊指令碼編輯頁簽。在策略文檔中輸入以下自訂權限原則內容。

   {
     "Statement": [{
       "Action": [
         "ram:CreateServiceLinkedRole"
       ],
       "Resource": "acs:ram:*:主帳號ID:role/*",
       "Effect": "Allow",
       "Condition": {
         "StringEquals": {
           "ram:ServiceName": [
             "security.arms.aliyuncs.com"
           ]
         }
       }
     }, {
       "Action": "arms:CreateSecurityAuth",
       "Effect": "Allow",
       "Resource": "*"
     }],
     "Version": "1"
   }

   說明

   請將主帳號ID替換為您實際的阿里雲帳號（主帳號）ID。

5. 編寫完成後，單擊繼續編輯基本資料。

6. 輸入權限原則名稱和備忘。

7. 單擊確定。

步驟二：為RAM使用者添加權限原則。

1. 使用Resource Access Management員登入RAM控制台。

2. 在左側導覽列，選擇身份管理 > 使用者。

3. 在使用者頁面，單擊目標RAM使用者操作列的添加許可權。

   

   您也可以選中多個RAM使用者，單擊使用者列表下方的添加許可權，為RAM使用者大量授權。

4. 在新增授權面板，為RAM使用者添加許可權。

   1. 選擇資源範圍。

      • 帳號層級：許可權在當前阿里雲帳號內生效。

      • 資源群組層級：許可權在指定的資源群組內生效。

        重要

        指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組，詳情請參見支援資源群組的雲端服務。資源群組授權樣本，請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。

   2. 選擇授權主體。

      授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。

   3. 選擇權限原則。

      權限原則是一組存取權限的集合，分為以下兩種。支援批量選中多條權限原則。

      • 系統策略：由阿里雲建立，策略的版本更新由阿里雲維護，使用者只能使用不能修改。更多資訊，請參見支援RAM的雲端服務。

        說明

        系統會自動標識出高風險系統策略（例如：AdministratorAccess、AliyunRAMFullAccess等），授權時，盡量避免授予不必要的高風險權限原則。

      • 自訂策略：由使用者管理，策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊，請參見建立自訂權限原則。

   4. 單擊確認新增授權。

5. 單擊關閉。