如需對RAM使用者使用Security Center相關功能做精細化的許可權管理,您可以通過授予RAM使用者系統權限原則或自訂權限原則來實現。本文介紹如何授予RAM使用者系統權限原則和自訂權限原則,實現精細化的許可權管理。
背景資訊
阿里雲存取控制服務為各雲產品提供預設的存取控制系統策略,同時支援使用者自訂存取控制策略。系統策略由阿里雲預設建立,不支援修改。您可以使用自訂許可權對RAM使用者訪問和操作Security Center進行精確的限制。
Security Center支援的預設策略為AliyunYundunSASFullAccess
(表示允許RAM使用者對Security Center的所有功能進行操作)和AliyunYundunSASReadOnlyAccess
(表示允許RAM使用者唯讀訪問Security Center的所有資料)。
前提條件
已建立RAM使用者。具體操作,請參見建立RAM使用者。
授予RAM使用者系統策略
阿里雲提供了費用中心、訪問或管理Security Center相關的系統策略。如果RAM使用者購買、續約、退訂Security Center執行個體時提示無許可權,或RAM使用者訪問Security Center提示暫無許可權,請檢查許可權,您可以參考以下步驟授予RAM使用者對應的系統策略實現為RAM使用者授權。
費用中心的系統權限原則對所有雲產品生效。給RAM使用者授權費用中心相關係統策略後,RAM使用者將擁有購買、續約、退訂所有雲產品的許可權。
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在使用者頁面,單擊目標RAM使用者操作列的添加許可權。
您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。
在添加許可權面板中,為RAM使用者添加許可權。
選擇資源範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
重要指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務。資源群組授權樣本,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
選擇授權主體。
授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。
根據使用情境選擇系統策略下的指定策略,並單擊確認新增授權。
情境
系統策略
購買、續約、退訂Security Center執行個體
AliyunBSSOrderAccess、AliyunBSSRefundAccess
唯讀訪問Security Center
AliyunYundunSASReadOnlyAccess
管理Security Center
AliyunYundunSASFullAccess
單擊關閉。
授予RAM使用者自訂策略
參考以下步驟使用自訂許可權對RAM使用者訪問和操作Security Center進行精確的限制。
步驟一:建立Security Center自訂權限原則
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在權限原則頁面,單擊建立權限原則。
在建立權限原則頁面,單擊指令碼編輯頁簽。
根據您的使用情境配置對應指令碼。
說明在營運人員許可權情境中,該指令碼的權限原則允許RAM使用者使用漏洞掃描、漏洞修複、基準檢查和資產中心功能並進行相關操作。添加該策略後,RAM使用者具體可以執行的操作,請參見本文支援自訂權限原則的操作表格中的Action及其說明。
使用情境
指令碼配置
自動續約的詢價(
bssapi:QueryAvailableInstances
)和設定(bssapi:SetRenewal){ "Version": "1", "Statement": [ { "Action": [ "bssapi:QueryAvailableInstances", "bssapi:SetRenewal", "bss:ModifyPrepaidInstanceAutoRenew", "bss:PayOrder", "bss:QueryPrice", "bss:RefundBatchRemainRefund" ], "Resource": "*", "Effect": "Allow" } ] }
修改自動續約(
bss:ModifyPrepaidInstanceAutoRenew
)續約和變更配置的訂單支付(
bss:PayOrder
)折扣價格顯示(
bss:QueryPrice
)申請退款(
bss:RefundBatchRemainRefund
)資產中心唯讀
{ "Version": "1", "Statement": [ { "Action": [ "yundun-sas:DescribeCloudCenterInstances", "yundun-sas:DescribeFieldStatistics", "yundun-sas:DescribeCriteria" ], "Resource": "*", "Effect": "Allow" } ] }
資產中心安全檢查
{ "Version": "1", "Statement": [ { "Action": "yundun-sas:ModifyPushAllTask", "Resource": "*", "Effect": "Allow" } ] }
漏洞管理唯讀
{ "Version": "1", "Statement": [ { "Action": [ "yundun-sas:DescribeVulList", "yundun-sas:DescribeVulWhitelist" ], "Resource": "*", "Effect": "Allow" } ] }
漏洞管理
{ "Version": "1", "Statement": [ { "Action": "yundun-sas:OperateVul", "Resource": "*", "Effect": "Allow" } ] }
營運人員許可權
{ "Version": "1", "Statement": [{ "Action": [ "yundun-sas:OperateVul", "yundun-sas:ModifyStartVulScan" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "yundun-sas:FixCheckWarnings", "yundun-sas:IgnoreHcCheckWarnings", "yundun-sas:ValidateHcWarnings" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ecs:RebootInstance", "Effect": "Allow", "Resource": "*", "Condition": { "Bool": { "acs:MFAPresent": "true" } } }, { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:*" ] }, { "Action": "ecs:CreateSnapshot", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:*", "acs:ecs:*:*:snapshot/*" ] }, { "Action": [ "ecs:Describe*" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "yundun-sas:ModifyPushAllTask", "yundun-sas:DeleteTagWithUuid", "yundun-sas:ModifyTagWithUuid", "yundun-sas:CreateOrUpdateAssetGroup", "yundun-sas:DeleteGroup", "yundun-sas:ModifyAssetImportant", "yundun-sas:RefreshAssets" ], "Resource": "*", "Effect": "Allow" } ] }
單擊繼續編輯基本資料,然後輸入權限原則的名稱和備忘。
單擊確定。
步驟二:為RAM使用者授權
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在授權頁面,單擊新增授權。
在新增授權面板,為RAM使用者添加許可權。
新建立的RAM使用者預設不支援任何許可權。
選擇資源範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
重要指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務。資源群組授權樣本,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
選擇授權主體。
授權主體即需要添加許可權的RAM使用者。支援批量選中多個RAM使用者。
選擇權限原則。
搜尋並選擇AliyunYundunSASReadOnlyAccess策略。該系統策略可以授予營運人員唯讀訪問Security Center服務的許可權。
搜尋並選擇步驟一:建立Security Center自訂權限原則中建立的自訂策略。
單擊確認新增授權。
支援自訂權限原則的操作
相關文檔
權限原則基本元素:RAM中使用權限原則描述授權的具體內容,權限原則由效果(Effect)、操作(Action)、資源(Resource)、條件(Condition)和授權主體(Principal)等基本元素組成。
權限原則文法和結構:正確理解權限原則的文法和結構,以完成建立或更新權限原則。
通過RAM管控多營運人員的許可權:當您的企業涉及多種營運需求時,通過RAM控制每種營運人員的許可權,便於管理和控制。
通過存取控制服務限制RAM使用者訪問雲資源的IP地址:RAM可以限制使用者只能通過指定的IP地址訪問企業的雲資源,從而增強訪問安全性。
通過存取控制服務限制RAM使用者訪問雲資源的時間段:RAM可以限制使用者只能在指定的時間段訪問企業的雲資源,從而增強訪問安全性。