通過服務關聯角色擷取其他雲端服務的存取權限 - Security Center

在特定情境中，為了順利執行某個功能，Security Center需要藉助服務關聯角色SLR（Service Linked Role）擷取對其他雲端服務的存取權限。本文介紹Security Center所使用的服務關聯角色，包括其定義、應用情境等。

服務關聯角色是一種可信實體為阿里雲服務的RAM角色。Security Center使用服務關聯角色擷取其他雲端服務或雲資源的存取權限。

通常情況下，服務關聯角色是在您執行某項操作時，由系統自動建立。在自動建立服務關聯角色失敗或Security Center不支援自動建立時，您需要手動建立服務關聯角色。

阿里雲存取控制為每個服務關聯角色提供了一個系統權限原則，該策略不支援修改。如果您想瞭解該系統策略的具體內容，可前往指定服務關聯角色的詳情頁面查看。詳情請參見系統策略參考。

應用情境

Security Center提供的服務關聯角色如下表所示。

服務關聯角色	雲端服務標識	應用情境
AliyunServiceRoleForSas	sas.aliyuncs.com	允許Security Center訪問Container Registry、RDS資料庫等雲產品中的資源，以便檢測容器資產中存在的安全風險。允許Security Center訪問Virtual Private Cloud、Elastic Compute Service等雲產品中的資源，以便雲蜜罐功能為您提供雲內外的攻擊發現、攻擊溯源能力。允許Security Center訪問Elastic Compute Service等雲產品的資源，以便使用防暴力破解功能防止伺服器的帳號密碼被暴力破解。允許Security Center訪問Log Service等雲產品的資源，以便日誌分析功能提供日誌查詢和分析能力。允許Security Center訪問Elastic Compute Service、ECS鏡像等資源，以便無代理檢測功能將對應鏡像共用給Security Center服務帳號，提供安全掃描服務。允許Security Center訪問Cloud Backup、Elastic Compute Service等雲產品的資源，以便防勒索功能提供勒索病毒防護和資料備份能力。允許Security Center訪問資來源目錄等雲產品的資源（適用於企業管理員和委派管理員帳號），以便多帳號安全管理功能提供統一管控多個成員帳號安全風險的能力。允許Security Center訪問Object Storage Service的資源，以便惡意檔案檢測SDK功能提供對OSS檔案的病毒檢測能力。允許Security Center訪問Key Management Service (KMS)的資源，以便惡意檔案檢測SDK功能對使用KMS託管密鑰進行加密（SSE-KMS）的OSS檔案進行解密後檢測。
AliyunServiceRoleForSasCloudSiem	cloudsiem.sas.aliyuncs.com	允許Security Center訪問Virtual Private Cloud、Cloud Firewall等雲產品的資源，以便使用威脅分析與響應功能檢測已接入的雲產品日誌，進行日誌投遞，並處置相關事件，提供警示統一管理、威脅溯源分析等能力。
AliyunServiceRoleForSasCspm	cspm.sas.aliyuncs.com	允許Security Center訪問Action Trail等雲產品中的資源，以便雲平台配置檢查功能提供雲平台配置檢測能力。
AliyunServiceRoleForSasRd	rd.sas.aliyuncs.com	用於在多帳號情境下允許Security Center委派管理員訪問資來源目錄成員帳號的Security Center控制台，以便對企業的多個成員帳號進行統一的安全防護配置，即時監測各個成員帳號的安全風險狀況。
AliyunServiceRoleForSasSecurityLake	security-lake.sas.aliyuncs.com	用於您使用威脅分析冷資料功能時，允許冷資料功能訪問Object Storage Service、資料湖構建DLF中的資源，以便管理您的威脅分析與響應的日誌資料，對資料進行互動式查詢和分析。

建立服務關聯角色

AliyunServiceRoleForSas

系統會在您首次使用以下功能並執行授權操作後，自動建立服務關聯角色AliyunServiceRoleForSas。

功能模組	具體功能
風險治理	惡意檔案檢測SDK 日誌分析
容器安全	容器資產鏡像安全掃描容器簽名容器K8s威脅檢測
主機安全	雲蜜罐防暴力破解無代理檢測防勒索病毒查殺自適應威脅檢測能力
其他配置	工作中樞多帳號安全管理

AliyunServiceRoleForSasCloudSiem

首次使用威脅分析與響應功能並執行授權操作後，系統會自動建立服務關聯角色AliyunServiceRoleForSasCloudSiem。具體操作，請參見授權威脅分析與響應功能訪問雲資源。

AliyunServiceRoleForSasCspm

首次使用雲平台配置檢查功能並執行授權操作後，系統會自動建立服務關聯角色AliyunServiceRoleForSasCspm。

說明

北京時間2022年11月21日起，雲平台配置檢查權限原則由服務關聯角色AliyunServiceRoleForSas遷移至AliyunServiceRoleForSasCspm。為確保可以繼續使用雲平台配置檢查提供的功能，您需要在訪問配置評估頁面時，在角色權限原則遷移提醒對話方塊，單擊確定，確認權限原則遷移資訊。然後再單擊去授權，完成授權操作。

AliyunServiceRoleForSasRd

企業管理帳號或委派管理員帳號使用多帳號安全管理功能將資來源目錄成員帳號添加至監控帳號列表後，自動在資來源目錄成員帳號下建立服務關聯角色AliyunServiceRoleForSasRd。

AliyunServiceRoleForSasSecurityLake

首次使用威脅分析與響應日誌管理的冷資料功能並執行授權操作後，系統會自動建立服務關聯角色AliyunServiceRoleForSasSecurityLake。

查看服務關聯角色

當服務關聯角色建立成功後，您可以在RAM控制台的角色頁面查看該服務關聯角色的以下資訊：

基本資料
在角色詳情頁面的基本資料地區，查看角色基本資料，包括角色名稱、建立時間、角色ARN和備忘等。
權限原則
在角色詳情頁的許可權管理頁簽，單擊權限原則名稱，查看權限原則內容。
說明
您只能通過服務關聯角色，查看其關聯的權限原則內容，不能在RAM控制台的權限原則頁面直接查看該權限原則。
信任策略
在角色詳情頁的信任策略頁簽，查看信任策略內容。信任策略是描述RAM角色可信實體的策略，可信實體是指可以扮演RAM角色的實體使用者身份。服務關聯角色的可信實體為雲端服務，您可以通過信任策略中的Service欄位查看。

關於如何查看服務關聯角色，請參見查看RAM角色。

刪除服務關聯角色

重要

刪除服務關聯角色後，依賴該角色的對應功能將無法正常使用，請謹慎刪除。

當您長時間不使用Security Center或者需要登出阿里雲帳號前，您可能需要在存取控制管理主控台手動刪除服務關聯角色。具體操作，請參見刪除RAM角色。

Security Center：Security Center服務關聯角色