全部產品
Search

搜尋本產品

    Security Center:RAM使用者權限管理最佳實務

    文件中心

    Security Center:RAM使用者權限管理最佳實務

    更新時間:Feb 20, 2025

    如需對RAM使用者使用Security Center相關功能做精細化的許可權管理,您可以通過授予RAM使用者系統權限原則或自訂權限原則來實現。本文介紹如何授予RAM使用者系統權限原則和自訂權限原則,實現精細化的許可權管理。

    背景資訊

    阿里雲存取控制服務為各雲產品提供預設的存取控制系統策略,同時支援使用者自訂存取控制策略。系統策略由阿里雲預設建立,不支援修改。您可以使用自訂許可權對RAM使用者訪問和操作Security Center進行精確的限制。

    說明

    Security Center支援的預設策略為AliyunYundunSASFullAccess(表示允許RAM使用者對Security Center的所有功能進行操作)和AliyunYundunSASReadOnlyAccess(表示允許RAM使用者唯讀訪問Security Center的所有資料)。

    前提條件

    已建立RAM使用者。具體操作,請參見建立RAM使用者

    授予RAM使用者系統策略

    阿里雲提供了費用中心、訪問或管理Security Center相關的系統策略。如果RAM使用者購買、續約、退訂Security Center執行個體時提示無許可權,或RAM使用者訪問Security Center提示暫無許可權,請檢查許可權,您可以參考以下步驟授予RAM使用者對應的系統策略實現為RAM使用者授權。

    重要

    費用中心的系統權限原則對所有雲產品生效。給RAM使用者授權費用中心相關係統策略後,RAM使用者將擁有購買、續約、退訂所有雲產品的許可權。

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇身份管理 > 使用者

    3. 使用者頁面,單擊目標RAM使用者操作列的添加許可權

      image

      您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。

    4. 添加許可權面板中,為RAM使用者添加許可權。

      1. 選擇資源範圍。

      2. 選擇授權主體。

        授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。

      3. 根據使用情境選擇系統策略下的指定策略,並單擊確認新增授權

        情境

        系統策略

        購買、續約、退訂Security Center執行個體

        AliyunBSSOrderAccess、AliyunBSSRefundAccess、AliyunYundunSASFullAccess

        唯讀訪問Security Center

        AliyunYundunSASReadOnlyAccess

        管理Security Center

        AliyunYundunSASFullAccess

    5. 單擊關閉

    6. 在購買、續約、退訂Security Center執行個體情境下,您還需要添加以下自訂許可權(協議簽署許可權)並為對應RAM使用者授權。

      協議簽署許可權的策略指令碼配置如下,具體操作,請參見授予RAM使用者自訂策略

      {
    "Version": "1",
    "Statement": [
        {
            "Action": "bss:ModifyAgreementRecord",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    授予RAM使用者自訂策略

    參考以下步驟使用自訂許可權對RAM使用者訪問和操作Security Center進行精確的限制。

    步驟一:建立Security Center自訂權限原則

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇許可權管理 > 權限原則

    3. 權限原則頁面,單擊建立權限原則

      image

    4. 建立權限原則頁面,單擊指令碼編輯頁簽。

      根據您的使用情境配置對應指令碼。

      說明

      在營運人員許可權情境中,該指令碼的權限原則允許RAM使用者使用漏洞掃描、漏洞修複、基準檢查和資產中心功能並進行相關操作。添加該策略後,RAM使用者具體可以執行的操作,請參見本文支援自訂權限原則的操作表格中的Action及其說明。

      使用情境

      指令碼配置

      自動續約的詢價(bssapi:QueryAvailableInstances)和設定(bssapi:SetRenewal)

      {
    "Version": "1",
    "Statement": [
        {
           "Action": [
                     "bssapi:QueryAvailableInstances",
                     "bssapi:SetRenewal",
                     "bss:ModifyPrepaidInstanceAutoRenew",
                     "bss:PayOrder",
                     "bss:QueryPrice",
                     "bss:RefundBatchRemainRefund"
                     ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

      修改自動續約(bss:ModifyPrepaidInstanceAutoRenew

      續約和變更配置的訂單支付(bss:PayOrder

      折扣價格顯示(bss:QueryPrice

      申請退款(bss:RefundBatchRemainRefund

      資產中心唯讀

      {
    "Version": "1",
    "Statement": [
        {
           "Action": [
                     "yundun-sas:DescribeCloudCenterInstances",
                     "yundun-sas:DescribeFieldStatistics",
                     "yundun-sas:DescribeCriteria"
                     ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

      資產中心安全檢查

      {
    "Version": "1",
    "Statement": [
        {
            "Action": "yundun-sas:ModifyPushAllTask",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

      漏洞管理唯讀

      {
    "Version": "1",
    "Statement": [
        {
           "Action": [
                     "yundun-sas:DescribeVulList",
                     "yundun-sas:DescribeVulWhitelist"
                     ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

      漏洞管理

      {
    "Version": "1",
    "Statement": [
        {
           "Action": "yundun-sas:OperateVul",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

      營運人員許可權

      {
    "Version": "1",
    "Statement": [{
            "Action": [
                "yundun-sas:OperateVul",
                "yundun-sas:ModifyStartVulScan"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "yundun-sas:FixCheckWarnings",
                "yundun-sas:IgnoreHcCheckWarnings",
                "yundun-sas:ValidateHcWarnings"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ecs:RebootInstance",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "acs:MFAPresent": "true"
                }
            }
        },
        {
            "Action": "ecs:*",
            "Effect": "Allow",
            "Resource": [
                "acs:ecs:*:*:*"
            ]
        },
        {
            "Action": "ecs:CreateSnapshot",
            "Effect": "Allow",
            "Resource": [
                "acs:ecs:*:*:*",
                "acs:ecs:*:*:snapshot/*"
            ]
        },
        {
            "Action": [
                "ecs:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }, {
            "Action": [
                "yundun-sas:ModifyPushAllTask",
                "yundun-sas:DeleteTagWithUuid",
                "yundun-sas:ModifyTagWithUuid",
                "yundun-sas:CreateOrUpdateAssetGroup",
                "yundun-sas:DeleteGroup",
                "yundun-sas:ModifyAssetImportant",
                "yundun-sas:RefreshAssets"

            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    5. 單擊繼續編輯基本資料,然後輸入權限原則的名稱備忘

    6. 單擊確定

    步驟二:為RAM使用者授權

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇許可權管理 > 授權

    3. 授權頁面,單擊新增授權

      image

    4. 新增授權面板,為RAM使用者添加許可權。

      新建立的RAM使用者預設不支援任何許可權。

      1. 選擇資源範圍。

      2. 選擇授權主體。

        授權主體即需要添加許可權的RAM使用者。支援批量選中多個RAM使用者。

      3. 選擇權限原則。

    5. 單擊確認新增授權

    支援自訂權限原則的操作

    以下內容介紹Security Center主要的功能模組支援的自訂權限原則。

    說明

    多數情況下,RAM自訂權限原則中的Action與該雲產品的API一一對應。

    資產中心

    RAM權限原則Action

    描述

    支援的API

    yundun-sas:DescribeCloudCenterInstances

    查詢資產列表資訊。包括資產的類型、是否存在安全警示、用戶端線上狀態等。

    DescribeCloudCenterInstances - 查詢資產資訊

    yundun-sas:DescribeFieldStatistics

    查詢您資產中伺服器的統計資訊。

    DescribeFieldStatistics - 查詢資產中伺服器的統計資訊

    yundun-sas:DescribeCriteria

    擷取查詢資產時,輸入的模糊比對值對應的查詢條件資訊。

    DescribeCriteria - 查詢資產時的查詢條件

    yundun-sas:ModifyPushAllTask

    對伺服器執行安全檢查任務。

    ModifyPushAllTask - 一鍵下發安全檢查任務

    yundun-sas:DeleteGroup

    刪除資產的分組。

    DeleteGroup - 刪除伺服器分組

    yundun-sas:DescribeSearchCondition

    查詢資產的篩選條件。

    DescribeSearchCondition - 查詢資產的篩選條件

    yundun-sas:DescribeImageStatistics

    查詢容器鏡像資產的風險統計資訊。

    DescribeImageStatistics - 查詢容器鏡像資產的風險統計資訊

    yundun-sas:DescribeGroupedTags

    查詢資產標籤的統計資訊。

    DescribeGroupedTags - 查詢標籤的統計資訊

    yundun-sas:DescribeDomainCount

    擷取網域名稱資產數量。

    DescribeDomainCount - 查詢網域名稱資產數量

    yundun-sas:DescribeCloudProductFieldStatistics

    擷取雲產品統計資訊。

    DescribeCloudProductFieldStatistics - 查詢雲產品統計資訊

    yundun-sas:DescribeCloudCenterInstances

    查詢資產資訊。

    DescribeCloudCenterInstances - 查詢資產資訊

    yundun-sas:DescribeAllGroups

    查詢所有伺服器分組資訊。

    DescribeAllGroups - 查詢服務器分組資訊

    yundun-sas:CreateOrUpdateAssetGroup

    建立伺服器分組或修改伺服器分組下的伺服器。

    CreateOrUpdateAssetGroup - 修改資產與資產分組關係

    yundun-sas:DescribeInstanceStatistics

    查詢資產的風險統計資訊。

    DescribeInstanceStatistics - 查詢服務器的統計資訊

    yundun-sas:PauseClient

    啟用或暫停Agent用戶端。

    PauseClient - 啟用或暫停Agent用戶端

    yundun-sas:ModifyTagWithUuid

    修改資產的標籤名稱或修改指定標籤下包含的資產。

    ModifyTagWithUuid - 修改資產標籤名或標籤中的資產

    yundun-sas:RefreshAssets

    同步最新資產。

    RefreshAssets - 同步資產

    yundun-sas:ExportRecord

    匯出資產中心、雲安全態勢管理、鏡像安全掃描、攻擊分析、AK泄露檢測等頁面的檢測結果的Excel檔案。

    ExportRecord - 匯出結果清單

    yundun-sas:DescribeExportInfo

    查看資產匯出任務的進度。

    DescribeExportInfo - 查看資產列表的匯出進度

    yundun-sas:DescribeDomainList

    查詢網域名稱資產資訊列表。

    DescribeDomainList - 查詢網域名稱資產資訊

    yundun-sas:DescribeDomainDetail

    擷取網域名稱資產詳情。

    DescribeDomainDetail - 查詢網域名稱資產詳情

    yundun-sas:DescribeAssetDetailByUuid

    使用資產的UUID查詢資產的詳情。

    DescribeAssetDetailByUuid - 查詢服務器資產詳情和擴充資訊

    漏洞修複

    RAM權限原則Action

    描述

    支援的API

    yundun-sas:DescribeVulWhitelist

    分頁查詢漏洞白名單。

    DescribeVulWhitelist - 分頁查詢漏洞白名單

    yundun-sas:ModifyOperateVul

    對檢測到的漏洞進行處理,處理方式包括修複、驗證、忽略等。

    ModifyOperateVul - 對檢測到的漏洞進行處理

    yundun-sas:ModifyVulTargetConfig

    設定單台伺服器的漏洞檢測配置。

    ModifyVulTargetConfig - 設定單台伺服器的漏洞檢測配置

    yundun-sas:DescribeConcernNecessity

    查詢關注的漏洞修複必要性資訊。

    DescribeConcernNecessity - 查詢關注的漏洞修複必要性資訊

    yundun-sas:DescribeVulList

    根據漏洞類型查詢對應漏洞資訊。

    DescribeVulList - 根據漏洞類型查詢對應漏洞資訊

    yundun-sas:ModifyOperateVul

    對檢測到的漏洞進行處理,處理方式包括修複、驗證、忽略等。

    ModifyOperateVul - 對檢測到的漏洞進行處理

    yundun-sas:DescribeImageVulList

    查看鏡像安全掃描的漏洞的詳情及受漏洞影響容器鏡像的資訊列表。

    DescribeImageVulList - 查看容器鏡像漏洞列表

    yundun-sas:ExportVul

    匯出漏洞列表。

    ExportVul - 匯出漏洞列表

    yundun-sas:DescribeVulExportInfo

    查看漏洞匯出任務的進度。

    DescribeVulExportInfo - 查看漏洞匯出任務的進度

    基準檢查

    RAM權限原則Action

    描述

    支援的API

    yundun-sas:FixCheckWarnings

    修複基準檢查風險項。

    FixCheckWarnings - 修複基準檢查風險項

    yundun-sas:IgnoreHcCheckWarnings

    忽略或取消忽略基準檢查風險項。

    IgnoreHcCheckWarnings - 對基準的風險項批量執行忽略或取消忽略

    yundun-sas:ValidateHcWarnings

    驗證基準檢查風險項。

    ValidateHcWarnings - 批量驗證基準檢查風險項

    相關文檔

    權限原則基本元素:RAM中使用權限原則描述授權的具體內容,權限原則由效果(Effect)、操作(Action)、資源(Resource)、條件(Condition)和授權主體(Principal)等基本元素組成。

    權限原則文法和結構:正確理解權限原則的文法和結構,以完成建立或更新權限原則。

    通過RAM管控多營運人員的許可權:當您的企業涉及多種營運需求時,通過RAM控制每種營運人員的許可權,便於管理和控制。

    通過存取控制服務限制RAM使用者訪問雲資源的IP地址:RAM可以限制使用者只能通過指定的IP地址訪問企業的雲資源,從而增強訪問安全性。

    通過存取控制服務限制RAM使用者訪問雲資源的時間段:RAM可以限制使用者只能在指定的時間段訪問企業的雲資源,從而增強訪問安全性。