全部產品
Search
文件中心

Security Center:RAM使用者權限管理最佳實務

更新時間:Jun 19, 2024

如需對RAM使用者使用Security Center相關功能做精細化的許可權管理,您可以通過授予RAM使用者系統權限原則或自訂權限原則來實現。本文介紹如何授予RAM使用者系統權限原則和自訂權限原則,實現精細化的許可權管理。

背景資訊

阿里雲存取控制服務為各雲產品提供預設的存取控制系統策略,同時支援使用者自訂存取控制策略。系統策略由阿里雲預設建立,不支援修改。您可以使用自訂許可權對RAM使用者訪問和操作Security Center進行精確的限制。

說明

Security Center支援的預設策略為AliyunYundunSASFullAccess(表示允許RAM使用者對Security Center的所有功能進行操作)和AliyunYundunSASReadOnlyAccess(表示允許RAM使用者唯讀訪問Security Center的所有資料)。

前提條件

已建立RAM使用者。具體操作,請參見建立RAM使用者

授予RAM使用者系統策略

阿里雲提供了費用中心、訪問或管理Security Center相關的系統策略。如果RAM使用者購買、續約、退訂Security Center執行個體時提示無許可權,或RAM使用者訪問Security Center提示暫無許可權,請檢查許可權,您可以參考以下步驟授予RAM使用者對應的系統策略實現為RAM使用者授權。

重要

費用中心的系統權限原則對所有雲產品生效。給RAM使用者授權費用中心相關係統策略後,RAM使用者將擁有購買、續約、退訂所有雲產品的許可權。

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 使用者

  3. 使用者頁面,單擊目標RAM使用者操作列的添加許可權

    image

    您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。

  4. 添加許可權面板中,為RAM使用者添加許可權。

    1. 選擇資源範圍。

    2. 選擇授權主體。

      授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。

    3. 根據使用情境選擇系統策略下的指定策略,並單擊確認新增授權

      情境

      系統策略

      購買、續約、退訂Security Center執行個體

      AliyunBSSOrderAccess、AliyunBSSRefundAccess

      唯讀訪問Security Center

      AliyunYundunSASReadOnlyAccess

      管理Security Center

      AliyunYundunSASFullAccess

  5. 單擊關閉

授予RAM使用者自訂策略

參考以下步驟使用自訂許可權對RAM使用者訪問和操作Security Center進行精確的限制。

步驟一:建立Security Center自訂權限原則

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇許可權管理 > 權限原則

  3. 權限原則頁面,單擊建立權限原則

  4. 建立權限原則頁面,單擊指令碼編輯頁簽。

    根據您的使用情境配置對應指令碼。

    說明

    在營運人員許可權情境中,該指令碼的權限原則允許RAM使用者使用漏洞掃描、漏洞修複、基準檢查和資產中心功能並進行相關操作。添加該策略後,RAM使用者具體可以執行的操作,請參見本文支援自訂權限原則的操作表格中的Action及其說明。

    使用情境

    指令碼配置

    自動續約的詢價(bssapi:QueryAvailableInstances)和設定(bssapi:SetRenewal)

    {
        "Version": "1",
        "Statement": [
            {
               "Action": [
                         "bssapi:QueryAvailableInstances",
                         "bssapi:SetRenewal",
                         "bss:ModifyPrepaidInstanceAutoRenew",
                         "bss:PayOrder",
                         "bss:QueryPrice",
                         "bss:RefundBatchRemainRefund"
                         ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }

    修改自動續約(bss:ModifyPrepaidInstanceAutoRenew

    續約和變更配置的訂單支付(bss:PayOrder

    折扣價格顯示(bss:QueryPrice

    申請退款(bss:RefundBatchRemainRefund

    資產中心唯讀

    {
        "Version": "1",
        "Statement": [
            {
               "Action": [
                         "yundun-sas:DescribeCloudCenterInstances",
                         "yundun-sas:DescribeFieldStatistics",
                         "yundun-sas:DescribeCriteria"
                         ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }

    資產中心安全檢查

    {
        "Version": "1",
        "Statement": [
            {
                "Action": "yundun-sas:ModifyPushAllTask",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }

    漏洞管理唯讀

    {
        "Version": "1",
        "Statement": [
            {
               "Action": [
                         "yundun-sas:DescribeVulList",
                         "yundun-sas:DescribeVulWhitelist"
                         ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }

    漏洞管理

    {
        "Version": "1",
        "Statement": [
            {
               "Action": "yundun-sas:OperateVul",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }

    營運人員許可權

    {
        "Version": "1",
        "Statement": [{
                "Action": [
                    "yundun-sas:OperateVul",
                    "yundun-sas:ModifyStartVulScan"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "yundun-sas:FixCheckWarnings",
                    "yundun-sas:IgnoreHcCheckWarnings",
                    "yundun-sas:ValidateHcWarnings"
                ],
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": "ecs:RebootInstance",
                "Effect": "Allow",
                "Resource": "*",
                "Condition": {
                    "Bool": {
                        "acs:MFAPresent": "true"
                    }
                }
            },
            {
                "Action": "ecs:*",
                "Effect": "Allow",
                "Resource": [
                    "acs:ecs:*:*:*"
                ]
            },
            {
                "Action": "ecs:CreateSnapshot",
                "Effect": "Allow",
                "Resource": [
                    "acs:ecs:*:*:*",
                    "acs:ecs:*:*:snapshot/*"
                ]
            },
            {
                "Action": [
                    "ecs:Describe*"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }, {
                "Action": [
                    "yundun-sas:ModifyPushAllTask",
                    "yundun-sas:DeleteTagWithUuid",
                    "yundun-sas:ModifyTagWithUuid",
                    "yundun-sas:CreateOrUpdateAssetGroup",
                    "yundun-sas:DeleteGroup",
                    "yundun-sas:ModifyAssetImportant",
                    "yundun-sas:RefreshAssets"
    
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
  5. 單擊繼續編輯基本資料,然後輸入權限原則的名稱備忘

  6. 單擊確定

步驟二:為RAM使用者授權

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇許可權管理 > 授權

  3. 授權頁面,單擊新增授權

    image

  4. 新增授權面板,為RAM使用者添加許可權。

    新建立的RAM使用者預設不支援任何許可權。

    1. 選擇資源範圍。

    2. 選擇授權主體。

      授權主體即需要添加許可權的RAM使用者。支援批量選中多個RAM使用者。

    3. 選擇權限原則。

  5. 單擊確認新增授權

支援自訂權限原則的操作

以下內容介紹Security Center主要的功能模組支援的自訂權限原則。

說明

多數情況下,RAM自訂權限原則中的Action與該雲產品的API一一對應。

資產中心

RAM權限原則Action

描述

支援的API

yundun-sas:DescribeCloudCenterInstances

查詢資產列表資訊。包括資產的類型、是否存在安全警示、用戶端線上狀態等。

DescribeCloudCenterInstances - 查詢資產資訊

yundun-sas:DescribeFieldStatistics

查詢您資產中伺服器的統計資訊。

DescribeFieldStatistics - 查詢資產中伺服器的統計資訊

yundun-sas:DescribeCriteria

擷取查詢資產時,輸入的模糊比對值對應的查詢條件資訊。

DescribeCriteria - 查詢資產時的查詢條件

yundun-sas:ModifyPushAllTask

對伺服器執行安全檢查任務。

ModifyPushAllTask - 一鍵下發安全檢查任務

yundun-sas:DeleteGroup

刪除資產的分組。

DeleteGroup - 刪除伺服器分組

yundun-sas:DescribeSearchCondition

查詢資產的篩選條件。

DescribeSearchCondition - 查詢資產的篩選條件

yundun-sas:DescribeImageStatistics

查詢容器鏡像資產的風險統計資訊。

DescribeImageStatistics - 查詢容器鏡像資產的風險統計資訊

yundun-sas:DescribeGroupedTags

查詢資產標籤的統計資訊。

DescribeGroupedTags - 查詢標籤的統計資訊

yundun-sas:DescribeDomainCount

擷取網域名稱資產數量。

DescribeDomainCount - 查詢網域名稱資產數量

yundun-sas:DescribeCloudProductFieldStatistics

擷取雲產品統計資訊。

DescribeCloudProductFieldStatistics - 查詢雲產品統計資訊

yundun-sas:DescribeCloudCenterInstances

查詢資產資訊。

DescribeCloudCenterInstances - 查詢資產資訊

yundun-sas:DescribeAllGroups

查詢所有伺服器分組資訊。

DescribeAllGroups - 查詢服務器分組資訊

yundun-sas:CreateOrUpdateAssetGroup

建立伺服器分組或修改伺服器分組下的伺服器。

CreateOrUpdateAssetGroup - 修改資產與資產分組關係

yundun-sas:DescribeInstanceStatistics

查詢資產的風險統計資訊。

DescribeInstanceStatistics - 查詢服務器的統計資訊

yundun-sas:PauseClient

啟用或暫停Agent用戶端。

PauseClient - 啟用或暫停Agent用戶端

yundun-sas:ModifyTagWithUuid

修改資產的標籤名稱或修改指定標籤下包含的資產。

ModifyTagWithUuid - 修改資產標籤名或標籤中的資產

yundun-sas:RefreshAssets

同步最新資產。

RefreshAssets - 同步資產

yundun-sas:ExportRecord

匯出資產中心、雲平台配置檢查、鏡像安全掃描、攻擊分析、AK泄露檢測等頁面的檢測結果的Excel檔案。

ExportRecord - 匯出結果清單

yundun-sas:DescribeExportInfo

查看資產匯出任務的進度。

DescribeExportInfo - 查看資產列表的匯出進度

yundun-sas:DescribeDomainList

查詢網域名稱資產資訊列表。

DescribeDomainList - 查詢網域名稱資產資訊

yundun-sas:DescribeDomainDetail

擷取網域名稱資產詳情。

DescribeDomainDetail - 查詢網域名稱資產詳情

yundun-sas:DescribeAssetDetailByUuid

使用資產的UUID查詢資產的詳情。

DescribeAssetDetailByUuid - 查詢服務器資產詳情和擴充資訊

漏洞修複

RAM權限原則Action

描述

支援的API

yundun-sas:DescribeVulWhitelist

分頁查詢漏洞白名單。

DescribeVulWhitelist - 分頁查詢漏洞白名單

yundun-sas:ModifyOperateVul

對檢測到的漏洞進行處理,處理方式包括修複、驗證、忽略等。

ModifyOperateVul - 對檢測到的漏洞進行處理

yundun-sas:ModifyVulTargetConfig

設定單台伺服器的漏洞檢測配置。

ModifyVulTargetConfig - 設定單台伺服器的漏洞檢測配置

yundun-sas:DescribeConcernNecessity

查詢關注的漏洞修複必要性資訊。

DescribeConcernNecessity - 查詢關注的漏洞修複必要性資訊

yundun-sas:DescribeVulList

根據漏洞類型查詢對應漏洞資訊。

DescribeVulList - 根據漏洞類型查詢對應漏洞資訊

yundun-sas:ModifyOperateVul

對檢測到的漏洞進行處理,處理方式包括修複、驗證、忽略等。

ModifyOperateVul - 對檢測到的漏洞進行處理

yundun-sas:DescribeImageVulList

查看鏡像安全掃描的漏洞的詳情及受漏洞影響容器鏡像的資訊列表。

DescribeImageVulList - 查看容器鏡像漏洞列表

yundun-sas:ExportVul

匯出漏洞列表。

ExportVul - 匯出漏洞列表

yundun-sas:DescribeVulExportInfo

查看漏洞匯出任務的進度。

DescribeVulExportInfo - 查看漏洞匯出任務的進度

基準檢查

RAM權限原則Action

描述

支援的API

yundun-sas:FixCheckWarnings

修複基準檢查風險項。

FixCheckWarnings - 修複基準檢查風險項

yundun-sas:IgnoreHcCheckWarnings

忽略或取消忽略基準檢查風險項。

IgnoreHcCheckWarnings - 對基準的風險項批量執行忽略或取消忽略

yundun-sas:ValidateHcWarnings

驗證基準檢查風險項。

ValidateHcWarnings - 批量驗證基準檢查風險項

相關文檔

權限原則基本元素:RAM中使用權限原則描述授權的具體內容,權限原則由效果(Effect)、操作(Action)、資源(Resource)、條件(Condition)和授權主體(Principal)等基本元素組成。

權限原則文法和結構:正確理解權限原則的文法和結構,以完成建立或更新權限原則。

通過RAM管控多營運人員的許可權:當您的企業涉及多種營運需求時,通過RAM控制每種營運人員的許可權,便於管理和控制。

通過存取控制服務限制RAM使用者訪問雲資源的IP地址:RAM可以限制使用者只能通過指定的IP地址訪問企業的雲資源,從而增強訪問安全性。

通過存取控制服務限制RAM使用者訪問雲資源的時間段:RAM可以限制使用者只能在指定的時間段訪問企業的雲資源,從而增強訪問安全性。