如需對RAM用戶使用云安全中心相關功能做精細化的權限管理,您可以通過授予RAM用戶系統權限策略或自定義權限策略來實現。本文介紹如何授予RAM用戶系統權限策略和自定義權限策略,實現精細化的權限管理。
背景信息
阿里云訪問控制服務為各云產品提供默認的訪問控制系統策略,同時支持用戶自定義訪問控制策略。系統策略由阿里云默認創建,不支持修改。您可以使用自定義權限對RAM用戶訪問和操作云安全中心進行精確的限制。
云安全中心支持的默認策略為AliyunYundunSASFullAccess(表示允許RAM用戶對云安全中心的所有功能進行操作)和AliyunYundunSASReadOnlyAccess(表示允許RAM用戶只讀訪問云安全中心的所有數據)。
前提條件
已創建RAM用戶。具體操作,請參見創建RAM用戶。
授予RAM用戶系統策略
阿里云提供了費用中心、訪問或管理云安全中心相關的系統策略。如果RAM用戶購買、續費、退訂云安全中心實例時提示無權限,或RAM用戶訪問云安全中心提示暫無權限,請檢查權限,您可以參考以下步驟授予RAM用戶對應的系統策略實現為RAM用戶授權。
費用中心的系統權限策略對所有云產品生效。給RAM用戶授權費用中心相關系統策略后,RAM用戶將擁有購買、續費、退訂所有云產品的權限。
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊目標RAM用戶操作列的添加權限。
您也可以選中多個RAM用戶,單擊用戶列表下方的添加權限,為RAM用戶批量授權。
在添加權限面板中,為RAM用戶添加權限。
選擇資源范圍。
賬號級別:權限在當前阿里云賬號內生效。
資源組級別:權限在指定的資源組內生效。
重要指定資源組授權生效的前提是該云服務及資源類型已支持資源組,詳情請參見支持資源組的云服務。資源組授權示例,請參見使用資源組限制RAM用戶管理指定的ECS實例。
選擇授權主體。
授權主體即需要添加權限的RAM用戶。系統會自動選擇當前的RAM用戶。
根據使用場景選擇系統策略下的指定策略,并單擊確認新增授權。
場景
系統策略
購買、續費、退訂云安全中心實例
AliyunBSSOrderAccess、AliyunBSSRefundAccess
只讀訪問云安全中心
AliyunYundunSASReadOnlyAccess
管理云安全中心
AliyunYundunSASFullAccess
單擊關閉。
授予RAM用戶自定義策略
參考以下步驟使用自定義權限對RAM用戶訪問和操作云安全中心進行精確的限制。
步驟一:創建云安全中心自定義權限策略
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在權限策略頁面,單擊創建權限策略。
在創建權限策略頁面,單擊腳本編輯頁簽。
根據您的使用場景配置對應腳本。
說明在運維人員權限場景中,該腳本的權限策略允許RAM用戶使用漏洞掃描、漏洞修復、基線檢查和資產中心功能并進行相關操作。添加該策略后,RAM用戶具體可以執行的操作,請參見本文支持自定義權限策略的操作表格中的Action及其說明。
使用場景
腳本配置
自動續費的詢價(
bssapi:QueryAvailableInstances)和設置(bssapi:SetRenewal){ "Version": "1", "Statement": [ { "Action": [ "bssapi:QueryAvailableInstances", "bssapi:SetRenewal", "bss:ModifyPrepaidInstanceAutoRenew", "bss:PayOrder", "bss:QueryPrice", "bss:RefundBatchRemainRefund" ], "Resource": "*", "Effect": "Allow" } ] }修改自動續費(
bss:ModifyPrepaidInstanceAutoRenew)續費和變配的訂單支付(
bss:PayOrder)折扣價格顯示(
bss:QueryPrice)申請退款(
bss:RefundBatchRemainRefund)資產中心只讀
{ "Version": "1", "Statement": [ { "Action": [ "yundun-sas:DescribeCloudCenterInstances", "yundun-sas:DescribeFieldStatistics", "yundun-sas:DescribeCriteria" ], "Resource": "*", "Effect": "Allow" } ] }資產中心安全檢查
{ "Version": "1", "Statement": [ { "Action": "yundun-sas:ModifyPushAllTask", "Resource": "*", "Effect": "Allow" } ] }漏洞管理只讀
{ "Version": "1", "Statement": [ { "Action": [ "yundun-sas:DescribeVulList", "yundun-sas:DescribeVulWhitelist" ], "Resource": "*", "Effect": "Allow" } ] }漏洞管理
{ "Version": "1", "Statement": [ { "Action": "yundun-sas:OperateVul", "Resource": "*", "Effect": "Allow" } ] }運維人員權限
{ "Version": "1", "Statement": [{ "Action": [ "yundun-sas:OperateVul", "yundun-sas:ModifyStartVulScan" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "yundun-sas:FixCheckWarnings", "yundun-sas:IgnoreHcCheckWarnings", "yundun-sas:ValidateHcWarnings" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ecs:RebootInstance", "Effect": "Allow", "Resource": "*", "Condition": { "Bool": { "acs:MFAPresent": "true" } } }, { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:*" ] }, { "Action": "ecs:CreateSnapshot", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:*", "acs:ecs:*:*:snapshot/*" ] }, { "Action": [ "ecs:Describe*" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "yundun-sas:ModifyPushAllTask", "yundun-sas:DeleteTagWithUuid", "yundun-sas:ModifyTagWithUuid", "yundun-sas:CreateOrUpdateAssetGroup", "yundun-sas:DeleteGroup", "yundun-sas:ModifyAssetImportant", "yundun-sas:RefreshAssets" ], "Resource": "*", "Effect": "Allow" } ] }單擊繼續編輯基本信息,然后輸入權限策略的名稱和備注。
單擊確定。
步驟二:為RAM用戶授權
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在授權頁面,單擊新增授權。
在新增授權面板,為RAM用戶添加權限。
新創建的RAM用戶默認不支持任何權限。
選擇資源范圍。
賬號級別:權限在當前阿里云賬號內生效。
資源組級別:權限在指定的資源組內生效。
重要指定資源組授權生效的前提是該云服務及資源類型已支持資源組,詳情請參見支持資源組的云服務。資源組授權示例,請參見使用資源組限制RAM用戶管理指定的ECS實例。
選擇授權主體。
授權主體即需要添加權限的RAM用戶。支持批量選中多個RAM用戶。
選擇權限策略。
搜索并選擇AliyunYundunSASReadOnlyAccess策略。該系統策略可以授予運維人員只讀訪問云安全中心服務的權限。
搜索并選擇步驟一:創建云安全中心自定義權限策略中創建的自定義策略。
單擊確認新增授權。
支持自定義權限策略的操作
以下內容介紹云安全中心主要的功能模塊支持的自定義權限策略。
多數情況下,RAM自定義權限策略中的Action與該云產品的API一一對應。
資產中心
RAM權限策略Action | 描述 | 支持的API |
yundun-sas:DescribeCloudCenterInstances | 查詢資產列表信息。包括資產的類型、是否存在安全告警、客戶端在線狀態等。 | |
yundun-sas:DescribeFieldStatistics | 查詢您資產中服務器的統計信息。 | |
yundun-sas:DescribeCriteria | 獲取查詢資產時,輸入的模糊匹配值對應的查詢條件信息。 | |
yundun-sas:ModifyPushAllTask | 對服務器執行安全檢查任務。 | |
yundun-sas:DeleteGroup | 刪除資產的分組。 | |
yundun-sas:DescribeSearchCondition | 查詢資產的篩選條件。 | |
yundun-sas:DescribeImageStatistics | 查詢容器鏡像資產的風險統計信息。 | |
yundun-sas:DescribeGroupedTags | 查詢資產標簽的統計信息。 | |
yundun-sas:DescribeDomainCount | 獲取域名資產數量。 | |
yundun-sas:DescribeCloudProductFieldStatistics | 獲取云產品統計信息。 | |
yundun-sas:DescribeCloudCenterInstances | 查詢資產信息。 | |
yundun-sas:DescribeAllGroups | 查詢所有服務器分組信息。 | |
yundun-sas:CreateOrUpdateAssetGroup | 創建服務器分組或修改服務器分組下的服務器。 | |
yundun-sas:DescribeInstanceStatistics | 查詢資產的風險統計信息。 | |
yundun-sas:PauseClient | 啟用或暫停Agent客戶端。 | |
yundun-sas:ModifyTagWithUuid | 修改資產的標簽名稱或修改指定標簽下包含的資產。 | |
yundun-sas:RefreshAssets | 同步最新資產。 | |
yundun-sas:ExportRecord | 導出資產中心、云安全態勢管理、鏡像安全掃描、攻擊分析、AK泄露檢測等頁面的檢測結果的Excel文件。 | |
yundun-sas:DescribeExportInfo | 查看資產導出任務的進度。 | |
yundun-sas:DescribeDomainList | 查詢域名資產信息列表。 | |
yundun-sas:DescribeDomainDetail | 獲取域名資產詳情。 | |
yundun-sas:DescribeAssetDetailByUuid | 使用資產的UUID查詢資產的詳情。 |
漏洞修復
RAM權限策略Action | 描述 | 支持的API |
yundun-sas:DescribeVulWhitelist | 分頁查詢漏洞白名單。 | |
yundun-sas:ModifyOperateVul | 對檢測到的漏洞進行處理,處理方式包括修復、驗證、忽略等。 | |
yundun-sas:ModifyVulTargetConfig | 設置單臺服務器的漏洞檢測配置。 | |
yundun-sas:DescribeConcernNecessity | 查詢關注的漏洞修復必要性信息。 | |
yundun-sas:DescribeVulList | 根據漏洞類型查詢對應漏洞信息。 | |
yundun-sas:ModifyOperateVul | 對檢測到的漏洞進行處理,處理方式包括修復、驗證、忽略等。 | |
yundun-sas:DescribeImageVulList | 查看鏡像安全掃描的漏洞的詳情及受漏洞影響容器鏡像的信息列表。 | |
yundun-sas:ExportVul | 導出漏洞列表。 | |
yundun-sas:DescribeVulExportInfo | 查看漏洞導出任務的進度。 |
基線檢查
RAM權限策略Action | 描述 | 支持的API |
yundun-sas:FixCheckWarnings | 修復基線檢查風險項。 | |
yundun-sas:IgnoreHcCheckWarnings | 忽略或取消忽略基線檢查風險項。 | |
yundun-sas:ValidateHcWarnings | 驗證基線檢查風險項。 |
相關文檔
權限策略基本元素:RAM中使用權限策略描述授權的具體內容,權限策略由效果(Effect)、操作(Action)、資源(Resource)、條件(Condition)和授權主體(Principal)等基本元素組成。
權限策略語法和結構:正確理解權限策略的語法和結構,以完成創建或更新權限策略。
通過RAM管控多運維人員的權限:當您的企業涉及多種運維需求時,通過RAM控制每種運維人員的權限,便于管理和控制。
通過訪問控制服務限制RAM用戶訪問云資源的IP地址:RAM可以限制用戶只能通過指定的IP地址訪問企業的云資源,從而增強訪問安全性。
通過訪問控制服務限制RAM用戶訪問云資源的時間段:RAM可以限制用戶只能在指定的時間段訪問企業的云資源,從而增強訪問安全性。