使用安全管家服務前,您需要為安全管家服務完成STS授權和SSO授權,允許安全管家訪問云資源,以便完成安全管家的運營服務。本文介紹如何為安全管家服務進行授權。
STS授權
阿里云STS(Security Token Service)是阿里云提供的一種臨時訪問權限管理服務。您需要通過創建AliyunServiceRoleForMssp服務關聯角色,授權安全管家訪問您的云服務器ECS、云安全中心、對象存儲OSS、云數據庫RDS等資源,以便完成安全管家的運營服務。
登錄安全管家控制臺。
在服務授權對話框,單擊同意授權并開通。
SSO授權
您需要通過創建可信實體為身份提供商的RAM角色,實現企業IdP與阿里云的角色SSO(Single Sign On,單點登錄),以便安全管家服務獲取完整的云資源的風險評估、安全加固等數據。
前提條件
您已獲取安全管家服務授權證明所需的XML證書。
如果您沒有XML證書,請聯系您購買安全管家服務時對接的交付經理。
操作步驟
使用阿里云賬號登錄RAM控制臺。
創建SAML身份提供商。
在左側導航欄,選擇。
在角色SSO頁簽,先單擊SAML頁簽,然后單擊創建身份提供商。
在創建身份提供商頁面,在身份提供商名稱文本框中輸入aliyun-mssp,并輸入備注信息。
在元數據文檔區域,單擊上傳文件,上傳安全管家服務授權證明的XML證書。
單擊確定。
創建管家角色。
在左側導航欄,選擇。
在角色頁面,單擊創建角色。
在創建角色面板,選擇可信實體類型為身份提供商,然后單擊下一步。
配置角色信息,然后單擊完成。
角色名稱:輸入aliyun-mssp。
備注:輸入角色備注信息。
身份提供商類型:選擇SAML。
選擇身份提供商:選擇步驟2 創建SAML身份提供商中創建的身份提供商aliyun-mssp。
限制條件:目前只支持一個條件關鍵字
saml:recipient,必選且不能修改。
單擊關閉。
為管家角色授權。
在創建管家角色的完成頁簽單擊為角色授權;或者在左側導航欄,選擇,然后在管家角色aliyun-mssp的操作列單擊添加權限。
在添加權限面板為管家角色aliyun-mssp添加以下權限。具體操作,請參見為RAM角色授權。
ReadOnlyAccess:用于 ECS、OSS、RDS、SLS等云上產品的安全配置功能數據的收集和驗證。
AliyunYundunFullAccess:用于 SAS、CFW、WAF等云上安全產品的安全配置功能數據的收 集和驗證,以及在云上安全產品下發巡檢配置規則和相關應急止血封禁等場景中的使用。
AliyunSupportFullAccess:用于跟進產品咨詢工單的能力。
AliyunCloudMonitorFullAccess:管理云監控(CloudMonitor)的權限,用于網站監測類配置。
AliyunECSFullAccess(可選):部分主機應急響應和代維操作時所需的權限,如:鏡像快照、 安全組策略修改、漏洞補丁修復等。
取消服務授權
如果您不再使用安全管家服務,您需要通過移除角色權限和刪除角色來取消服務授權。
移除角色的權限。具體操作,請參見為RAM角色移除權限。
刪除角色。具體操作,請參見刪除RAM角色。