在特定情境中,為了順利執行某個功能,Security Center需要藉助服務關聯角色SLR(Service Linked Role)擷取對其他雲端服務的存取權限。本文介紹Security Center所使用的服務關聯角色,包括其定義、應用情境等。
服務關聯角色是一種可信實體為阿里雲服務的RAM角色。Security Center使用服務關聯角色擷取其他雲端服務或雲資源的存取權限。
通常情況下,服務關聯角色是在您執行某項操作時,由系統自動建立。在自動建立服務關聯角色失敗或Security Center不支援自動建立時,您需要手動建立服務關聯角色。
阿里雲存取控制為每個服務關聯角色提供了一個系統權限原則,該策略不支援修改。如果您想瞭解該系統策略的具體內容,可前往指定服務關聯角色的詳情頁面查看。詳情請參見系統策略參考。
應用情境
Security Center提供的服務關聯角色如下表所示。
服務關聯角色 | 雲端服務標識 | 應用情境 |
AliyunServiceRoleForSas | sas.aliyuncs.com |
|
AliyunServiceRoleForSasCloudSiem | cloudsiem.sas.aliyuncs.com | 允許Security Center訪問Virtual Private Cloud、Cloud Firewall等雲產品的資源,以便使用威脅分析與響應功能檢測已接入的雲產品日誌,進行日誌投遞,並處置相關事件,提供警示統一管理、威脅溯源分析等能力。 |
AliyunServiceRoleForSasCspm | cspm.sas.aliyuncs.com | 允許Security Center訪問Action Trail等雲產品中的資源,以便雲安全態勢管理功能提供雲平台配置檢測能力。 |
AliyunServiceRoleForSasRd | rd.sas.aliyuncs.com | 用於在多帳號情境下允許Security Center委派管理員訪問資來源目錄成員帳號的Security Center控制台,以便對企業的多個成員帳號進行統一的安全防護配置,即時監測各個成員帳號的安全風險狀況。 |
AliyunServiceRoleForSasSecurityLake | security-lake.sas.aliyuncs.com | 用於您使用威脅分析冷資料功能時,允許冷資料功能訪問Object Storage Service、資料湖構建DLF中的資源,以便管理您的威脅分析與響應的日誌資料,對資料進行互動式查詢和分析。 |
建立服務關聯角色
AliyunServiceRoleForSas
系統會在您首次使用以下功能並執行授權操作後,自動建立服務關聯角色AliyunServiceRoleForSas。
功能模組 | 具體功能 |
風險治理 |
|
容器安全 |
|
主機安全 |
|
其他配置 |
|
AliyunServiceRoleForSasCloudSiem
首次使用威脅分析與響應功能並執行授權操作後,系統會自動建立服務關聯角色AliyunServiceRoleForSasCloudSiem。具體操作,請參見授權威脅分析與響應功能訪問雲資源。
AliyunServiceRoleForSasCspm
首次使用雲安全態勢管理功能並執行授權操作後,系統會自動建立服務關聯角色AliyunServiceRoleForSasCspm。
北京時間2022年11月21日起,雲安全態勢系統管理權限策略由服務關聯角色AliyunServiceRoleForSas遷移至AliyunServiceRoleForSasCspm。為確保可以繼續使用雲安全態勢管理提供的功能,您需要在訪問雲安全態勢管理頁面時,在角色權限原則遷移提醒對話方塊,單擊確定,確認權限原則遷移資訊。然後再單擊去授權,完成授權操作。
AliyunServiceRoleForSasRd
企業管理帳號或委派管理員帳號使用多帳號安全管理功能將資來源目錄成員帳號添加至監控帳號列表後,自動在資來源目錄成員帳號下建立服務關聯角色AliyunServiceRoleForSasRd。
AliyunServiceRoleForSasSecurityLake
首次使用威脅分析與響應日誌管理的冷資料功能並執行授權操作後,系統會自動建立服務關聯角色AliyunServiceRoleForSasSecurityLake。
查看服務關聯角色
當服務關聯角色建立成功後,您可以在RAM控制台的角色頁面查看該服務關聯角色的以下資訊:
基本資料
在角色詳情頁面的基本資料地區,查看角色基本資料,包括角色名稱、建立時間、角色ARN和備忘等。
權限原則
在角色詳情頁的許可權管理頁簽,單擊權限原則名稱,查看權限原則內容。
說明您只能通過服務關聯角色,查看其關聯的權限原則內容,不能在RAM控制台的權限原則頁面直接查看該權限原則。
信任策略
在角色詳情頁的信任策略頁簽,查看信任策略內容。信任策略是描述RAM角色可信實體的策略,可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務,您可以通過信任策略中的
Service
欄位查看。
關於如何查看服務關聯角色,請參見查看RAM角色。
刪除服務關聯角色
刪除服務關聯角色後,依賴該角色的對應功能將無法正常使用,請謹慎刪除。
當您長時間不使用Security Center或者需要登出阿里雲帳號前,您可能需要在存取控制管理主控台手動刪除服務關聯角色。具體操作,請參見刪除RAM角色。
相關文檔
服務關聯角色的更多資訊,請參見服務關聯角色。