您可以使用多账号安全管理功能,对企业中的多个阿里云账号和资源账号进行统一管理和安全防护配置,实时检测各个成员账号的安全风险状况。本文介绍如何使用多账号安全管理功能。
背景信息
随着企业上云的进一步深入,越来越多的企业业务迁移至云端,企业购买的云资源迅速增多,资源、项目、人员、权限管理变得极其复杂,单账号负载过重已无力支撑,多账号上云模式逐渐成为多业务上云的重要选择。企业用户对于跨账号的云资源具有集中化管理需求,主要体现在安全、审计合规、网络、运维等产品。
云安全中心基于阿里云资源管理提供的可信服务功能,支持将多个阿里云账号集合到一个资源目录内,通过结构化的方式实现对多个阿里云账号资源进行统一的数据运营监控及多账号快捷运营。
版本限制
云安全中心所有版本用户都可使用该功能。各版本支持的功能详情,请参见功能特性。
前提条件
已开通资源目录。具体操作,请参见开通资源目录。
已在资源目录中创建新的成员账号或邀请已有的阿里云账号。具体操作,请参见创建成员、邀请阿里云账号加入资源目录。
如果您需要添加威胁分析监控账号,您需要先开通威胁分析服务。具体操作,请参见使用威胁分析。
步骤一:添加委派管理员账号
资源目录的管理账号可以将资源目录中的成员设置为可信服务的委派管理员账号。设置成功后,委派管理员账号将获得管理账号的授权,可以在对应可信服务中访问资源目录组织和成员信息,并在该组织范围内进行业务管理。
云安全中心可信服务最多支持添加10个委派管理员账号。
使用企业管理账号登录资源管理控制台。
- 在左侧导航栏,选择 。
在可信服务页面,找到云安全中心或云安全中心-威胁分析,在操作列单击管理。
- 在委派管理员账号区域,单击添加。
在添加委派管理员账号面板,选择需要设置为委派管理员的成员,然后单击确定。
添加成功后,使用该委派管理员账号访问可信服务的多账号安全管理功能,即可进行资源目录组织范围内的管理操作。
步骤二:配置多账号管理账号
云安全中心的多账号管理账号包括云安全中心监控账号和威胁分析监控账号。
云安全中心监控账号:企业需要统一管理多个阿里云账号下的资产安全状态和安全防护配置(威胁分析功能除外),例如安全告警、漏洞、基线检查、云平台配置检查等。
威胁分析监控账号:企业需要统一管理多个阿里云账号下多个云产品(例如云防火墙、专有网络VPC等)的安全信息和安全事件。
配置云安全中心监控账号
您可以在云安全中心控制台添加资源目录成员账号,实现在单账号下统一管理多个阿里云账号下的资产安全状态和安全防护配置(威胁分析功能除外),例如安全告警、漏洞、基线检查、云平台配置检查等。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
如果您是首次使用多账号安全管理功能,单击开启云安全中心管控。
开启成功后,系统会自动在成员账号下创建服务关联角色AliyunServiceRoleForSasRd。关于服务关联角色的更多信息,请参见云安全中心服务关联角色。
添加监控账号。
在多账号安全管理页面,选择
页签,单击添加账号。在添加账号面板,选择需要进行安全管理的阿里云账号。
说明企业管理账号和委派管理员账号维护的成员账号列表相同,使用这两种账号维护成员账号列表均可达到同样的效果。
(可选)选择当有新增账号时,默认添加至管控列表。
选择该选项后,后续如果有新增账号,云安全中心会自动将新增的账号同步到成员账号列表。
单击确定。
您可以在多账号安全管理页面的成员账号列表中查看已添加的成员账号。
配置成员账号安全防护。
在云安全中心监控账号的成员账号列表,在成员账号的操作列单击设置。
在设置面板,完成客户端管理基本防护设置后,单击下一步。
您可以针对主机防护、容器防护、客户端能力等方面进行配置,具体操作,请参见功能设置。
完成漏洞管理设置,单击下一步。
您可通过漏洞管理设置开启或关闭不同类型漏洞的自动检测、有选择性地对指定服务器开启漏洞检测、设置漏洞扫描周期和扫描方式、对已失效漏洞设置自动删除周期。更多信息,请参见扫描漏洞。
完成基线检查策略配置。
您可以使用基线检查功能配置成员账号的基线检查策略,通过执行基线检查策略来检查成员账号的资产的基线配置是否存在风险。更多信息,请参见设置、执行基线检查策略。
配置完成后,单击确定。
云安全中心将根据您的配置,开启成员账号客户端的相关功能,并根据您的配置对成员账号下拥有的资产进行漏洞扫描和基线检查。
配置威胁分析监控账号
使用威胁分析监控账号功能,您可以将多个阿里云账号接入威胁分析功能,实现多个阿里云账号下的多个云产品的安全事件告警和处理。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
如果您是首次使用多账号安全管理功能,单击开启威胁分析管控。
开启成功后,系统会自动在成员账号下创建服务关联角色AliyunServiceRoleForSasRd。关于服务关联角色的更多信息,请参见云安全中心服务关联角色。
添加监控账号。
在多账号安全管理页面,选择
页签,单击添加账号。在添加账号面板,选择需要进行安全管理的阿里云账号。
说明企业管理账号和委派管理员账号维护的成员账号列表相同,使用这两种账号维护成员账号列表均可达到同样的效果。
(可选)选择当有新增账号时,默认添加至管控列表。
选择该选项后,后续如果有新增账号,云安全中心会自动将新增的账号同步到成员账号列表。
单击确定。
配置完成后,您可以在威胁分析监控账号页面的成员账号列表中查看已添加的成员账号。
步骤三:查看成员账号的安全风险
您可以使用企业管理账号或者委派管理员账号登录云安全中心控制台,通过多账号安全管理的总览页面,查看成员账号下资产的安全风险。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在多账号安全管理页面,单击总览页签,查看各成员账号的安全评分、风险资产、安全告警、漏洞风险、基线问题和资产暴露分析的数据统计。
查看及管理成员账号
您可以在云安全中心控制台查看及管理加入云安全中心或威胁分析的成员账号,支持新增成员账号、删除成员账号等操作。
云安全中心监控账号
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在多账号安全管理页面,选择
页签,查看及管理云安全中心监控成员账号信息。查看成员账号的安全风险信息
您可以在成员账号列表中查看成员账号的安全风险信息,包括安全分、安全告警处理、漏洞管理、基线检查、云平台配置检查、攻击次数。
切换到成员账号的云安全中心控制台
在成员账号列表中单击账号名称,切换到该成员账号的云安全中心控制台;或者在左侧导航栏的下拉列表选择账号,切换到对应成员账号或当前登录账号的云安全中心控制台。
切换到成员账号的控制台后,您可以查看该成员账号的资产安全风险并进行安全防护设置,但不支持以下操作:
从控制台跳转到购买页或其他云产品控制台。例如在总览页面,单击立即购买,再单击对应的版本时,无法跳转到购买页,会提示多账号管理场景下不支持此功能。
使用日志分析功能。切换到成员账号后,控制台无日志分析功能的入口。
使用多账号安全管理功能。切换到成员账号后,控制台无多账号管理功能的入口。
标注重点关注账号
您可以选中成员账号并单击标记关注,将选中的成员账号标注为重点关注的账号。在左侧导航栏上方的下拉列表会优先展示重点关注的账号。
前往资源管理控制台
使用企业管理账号登录的用户,可以单击前往查看,跳转到资源管理控制台的资源目录页面。您可以在资源目录页面查看所有资产目录信息、新建成员、邀请成员、将资源账号升级为账号。
删除云安全中心监控账号
单击删除,从成员账号列表删除该账号。
威胁分析监控账号
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在多账号安全管理页面,选择
页签,查看及管理威胁分析监控成员账号信息。查看已接入威胁分析监控的账号
您可以在成员账号列表中查看已接入威胁分析监控的阿里云账号信息。
删除威胁分析监控账号
您可以在账号的操作列,单击删除,从成员账号列表删除该账号。