使用Managed Security Service服務前,您需要為Managed Security Service服務完成STS授權和SSO授權,允許Managed Security Service訪問雲資源,以便完成Managed Security Service的營運服務。本文介紹如何為Managed Security Service服務進行授權。
STS授權
阿里雲STS(Security Token Service)是阿里雲提供的一種臨時存取權限管理服務。您需要通過建立AliyunServiceRoleForMssp服務關聯角色,授權Managed Security Service訪問您的Elastic Compute Service、Security Center、Object Storage Service、雲資料庫RDS等資源,以便完成Managed Security Service的營運服務。
如果您是通過登入Managed Security Service控制台購買Managed Security Service服務,在首次登入時,系統會提示您建立AliyunServiceRoleForMssp服務關聯角色,此時,您無需執行此步驟。
如果登入Managed Security Service控制台後沒有彈出服務授權對話方塊,說明已經授權成功。您可以登入RAM控制台,在頁面尋找是否有AliyunServiceRoleForMssp角色。
在服務授權對話方塊,單擊同意授權並開通。
SSO授權
您需要通過建立可信實體為身份供應商的RAM角色,實現企業IdP與阿里雲的角色SSO(Single Sign On,單點登入),以便Managed Security Service服務擷取完整的雲資源的風險評估、安全強化等資料。
前提條件
您已擷取Managed Security Service服務授權證明所需的XML認證。
如果您沒有XML認證,請聯絡您購買Managed Security Service服務時對接的交付經理。
操作步驟
使用阿里雲帳號登入RAM控制台。
建立SAML身份供應商。
在左側導覽列,選擇。
在角色SSO頁簽,先單擊SAML頁簽,然後單擊建立身份供應商。
在建立身份供應商頁面,在身份供應商名稱文字框中輸入aliyun-mssp,並輸入備忘資訊。
在中繼資料文檔地區,單擊上傳檔案,上傳Managed Security Service服務授權證明的XML認證。
單擊確定。
建立管家角色。
在左側導覽列,選擇。
在角色頁面,單擊建立角色。
在建立角色面板,選擇可信實體類型為身份供應商,然後單擊下一步。
配置角色資訊,然後單擊完成。
角色名稱:輸入aliyun-mssp。
備忘:輸入角色備忘資訊。
身份供應商類型:選擇SAML。
選擇身份供應商:選擇步驟2 建立SAML身份供應商中建立的身份供應商aliyun-mssp。
限制條件:目前只支援一個條件關鍵字
saml:recipient,必選且不能修改。
單擊關閉。
為管家角色授權。
在建立管家角色的完成頁簽單擊為角色授權;或者在左側導覽列,選擇,然後在管家角色aliyun-mssp的操作列單擊添加許可權。
在添加許可權面板為管家角色aliyun-mssp添加以下許可權。具體操作,請參見為RAM角色授權。
ReadOnlyAccess:用於 ECS、OSS、RDS、SLS等雲上產品的安全配置功能資料的收集和驗證。
AliyunYundunFullAccess:用於 SAS、CFW、WAF等雲上安全產品的安全配置功能資料的收 集和驗證,以及在雲上安全產品下發巡檢配置規則和相關應急止血封鎖等情境中的使用。
AliyunSupportFullAccess:用於跟進產品諮詢工單的能力。
AliyunCloudMonitorFullAccess:管理CloudMonitor(CloudMonitor)的許可權,用於網站監測類配置。
AliyunECSFullAccess(可選):部分主機應急響應和代維操作時所需的許可權,如:鏡像快照、 安全性群組策略修改、漏洞補丁修複等。
取消服務授權
如果您不再使用Managed Security Service服務,您需要通過移除角色許可權和刪除角色來取消服務授權。
移除角色的許可權。具體操作,請參見為RAM角色移除許可權。
刪除角色。具體操作,請參見刪除RAM角色。