全部产品
Search
文档中心

安全管家:授权安全管家访问云资源

更新时间:Aug 01, 2024

使用安全管家服务前,您需要为安全管家服务完成STS授权和SSO授权,允许安全管家访问云资源,以便完成安全管家的运营服务。本文介绍如何为安全管家服务进行授权。

STS授权

阿里云STS(Security Token Service)是阿里云提供的一种临时访问权限管理服务。您需要通过创建AliyunServiceRoleForMssp服务关联角色,授权安全管家访问您的云服务器ECS、云安全中心、对象存储OSS、云数据库RDS等资源,以便完成安全管家的运营服务。

说明
  • 如果您是通过登录安全管家控制台购买安全管家服务,在首次登录时,系统会提示您创建AliyunServiceRoleForMssp服务关联角色,此时,您无需执行此步骤。

  • 如果登录安全管家控制台后没有弹出服务授权对话框,说明已经授权成功。您可以登录RAM控制台,在身份管理 > 角色页面查找是否有AliyunServiceRoleForMssp角色。

  1. 登录安全管家控制台

  2. 服务授权对话框,单击同意授权并开通

SSO授权

您需要通过创建可信实体为身份提供商的RAM角色,实现企业IdP与阿里云的角色SSO(Single Sign On,单点登录),以便安全管家服务获取完整的云资源的风险评估、安全加固等数据。

前提条件

您已获取安全管家服务授权证明所需的XML证书。

重要

如果您没有XML证书,请联系您购买安全管家服务时对接的交付经理。

操作步骤

  1. 使用阿里云账号登录RAM控制台

  2. 创建SAML身份提供商。

    1. 在左侧导航栏,选择集成管理 > SSO管理

    2. 角色SSO页签,先单击SAML页签,然后单击创建身份提供商

    3. 创建身份提供商页面,在身份提供商名称文本框中输入aliyun-mssp,并输入备注信息。

    4. 元数据文档区域,单击上传文件,上传安全管家服务授权证明的XML证书。

    5. 单击确定

  3. 创建管家角色。

    1. 在左侧导航栏,选择身份管理 > 角色

    2. 角色页面,单击创建角色

    3. 创建角色面板,选择可信实体类型为身份提供商,然后单击下一步

    4. 配置角色信息,然后单击完成

      • 角色名称:输入aliyun-mssp

      • 备注:输入角色备注信息。

      • 身份提供商类型:选择SAML

      • 选择身份提供商:选择步骤2 创建SAML身份提供商中创建的身份提供商aliyun-mssp

      • 限制条件:目前只支持一个条件关键字saml:recipient,必选且不能修改。

    5. 单击关闭

  4. 为管家角色授权。

    1. 在创建管家角色的完成页签单击为角色授权;或者在左侧导航栏,选择身份管理 > 角色,然后在管家角色aliyun-mssp操作列单击添加权限

    2. 添加权限面板为管家角色aliyun-mssp添加以下权限。具体操作,请参见为RAM角色授权

      • ReadOnlyAccess:用于 ECS、OSS、RDS、SLS等云上产品的安全配置功能数据的收集和验证。

      • AliyunYundunFullAccess:用于 SAS、CFW、WAF等云上安全产品的安全配置功能数据的收 集和验证,以及在云上安全产品下发巡检配置规则和相关应急止血封禁等场景中的使用。

      • AliyunSupportFullAccess:用于跟进产品咨询工单的能力。

      • AliyunCloudMonitorFullAccess:管理云监控(CloudMonitor)的权限,用于网站监测类配置。

      • AliyunECSFullAccess(可选):部分主机应急响应和代维操作时所需的权限,如:镜像快照、 安全组策略修改、漏洞补丁修复等。

取消服务授权

如果您不再使用安全管家服务,您需要通过移除角色权限和删除角色来取消服务授权。

  1. 移除角色的权限。具体操作,请参见为RAM角色移除权限

  2. 删除角色。具体操作,请参见删除RAM角色