Anda dapat memberikan kebijakan sistem atau kustom kepada Pengguna Resource Access Management (RAM) untuk kontrol detail halus atas izin mereka dalam menggunakan fitur Security Center. Topik ini menjelaskan cara memberikan kebijakan tersebut kepada pengguna RAM.
Informasi latar belakang
Resource Access Management (RAM) Alibaba Cloud menyediakan kebijakan sistem default untuk layanan cloud dan memungkinkan Anda membuat kebijakan kustom. Kebijakan sistem dibuat oleh Alibaba Cloud dan tidak dapat dimodifikasi. Anda dapat menggunakan kebijakan kustom untuk membatasi secara tepat akses dan operasi pengguna RAM di Security Center.
Kebijakan default yang didukung oleh Security Center adalah AliyunYundunSASFullAccess, yang memungkinkan pengguna RAM melakukan operasi pada semua fitur Security Center, dan AliyunYundunSASReadOnlyAccess, yang memberikan akses read-only ke semua data di Security Center.
Buat pengguna RAM
Pengguna RAM telah dibuat. Untuk informasi selengkapnya, lihat Buat pengguna RAM.
Berikan kebijakan sistem kepada pengguna RAM
Alibaba Cloud menyediakan kebijakan sistem untuk User Center serta untuk mengakses atau mengelola Security Center. Jika pengguna RAM menerima pesan No Permission saat membeli, memperpanjang, atau berhenti berlangganan instans Security Center, atau pesan You Do Not Have The Required Permissions. Check Your Permissions. saat mengakses Security Center, Anda harus memberikan kebijakan sistem yang diperlukan kepada pengguna RAM dengan mengikuti langkah-langkah berikut.
Kebijakan sistem untuk User Center berlaku untuk semua layanan Alibaba Cloud. Setelah Anda memberikan kebijakan ini kepada pengguna RAM, pengguna tersebut memiliki izin untuk membeli, memperpanjang, dan berhenti berlangganan semua layanan Alibaba Cloud.
Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih .
Pada halaman Users, temukan pengguna RAM yang diperlukan, lalu klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM sekaligus dan mengklik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM tersebut sekaligus.
Di panel Add Permissions, berikan izin kepada pengguna RAM.
Konfigurasikan parameter Resource Scope.
Account: Otorisasi berlaku pada akun Alibaba Cloud saat ini.
ResourceGroup: Otorisasi berlaku pada kelompok sumber daya tertentu.
PentingJika Anda memilih Resource Group untuk parameter Resource Scope, pastikan layanan cloud yang diperlukan mendukung kelompok sumber daya. Untuk informasi selengkapnya, lihat Layanan yang bekerja dengan Resource Group. Untuk informasi lebih lanjut tentang cara memberikan izin pada kelompok sumber daya, lihat Gunakan kelompok sumber daya untuk memberikan izin pengguna RAM mengelola instans ECS tertentu.
Konfigurasikan parameter Principal.
Principal adalah pengguna RAM yang akan diberikan izin. Pengguna RAM saat ini dipilih secara otomatis.
Pilih kebijakan sistem berdasarkan skenario Anda dan klik OK.
Skenario
Kebijakan sistem
Membeli, memperpanjang, atau berhenti berlangganan instans Security Center
AliyunBSSOrderAccess, AliyunBSSRefundAccess
Akses read-only ke Security Center
AliyunYundunSASReadOnlyAccess
Mengelola Security Center
AliyunYundunSASFullAccess
Klik Close.
Berikan kebijakan kustom kepada pengguna RAM
Ikuti langkah-langkah berikut untuk menggunakan kebijakan kustom guna membatasi secara tepat akses dan operasi pengguna RAM di Security Center.
Langkah 1: Buat kebijakan kustom untuk Security Center
Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih .
Pada halaman Policies, klik Create Policy.
Pada halaman Create Policy, klik tab Script. Daftar berikut menyediakan contoh skrip umum:
Perpanjangan dan pengembalian dana
Skenario
Konfigurasi skrip
Kueri instans yang tersedia untuk perpanjangan otomatis (
bssapi:QueryAvailableInstances) dan konfigurasi perpanjangan otomatis (bssapi:SetRenewal){ "Version": "1", "Statement": [ { "Action": [ "bssapi:QueryAvailableInstances", "bssapi:SetRenewal", "bss:ModifyPrepaidInstanceAutoRenew", "bss:PayOrder", "bss:QueryPrice", "bss:RefundBatchRemainRefund" ], "Resource": "*", "Effect": "Allow" } ] }Modifikasi pengaturan perpanjangan otomatis (
bss:ModifyPrepaidInstanceAutoRenew)Bayar pesanan perpanjangan dan peningkatan/penurunan spesifikasi (
bss:PayOrder)Tampilkan harga diskon (
bss:QueryPrice)Minta pengembalian dana (
bss:RefundBatchRemainRefund)Akses read-only ke Asset Center
{ "Version": "1", "Statement": [ { "Action": [ "yundun-sas:DescribeCloudCenterInstances", "yundun-sas:DescribeFieldStatistics", "yundun-sas:DescribeCriteria" ], "Resource": "*", "Effect": "Allow" } ] }Pemeriksaan keamanan di Asset Center
{ "Version": "1", "Statement": [ { "Action": "yundun-sas:ModifyPushAllTask", "Resource": "*", "Effect": "Allow" } ] }Akses read-only ke manajemen kerentanan
{ "Version": "1", "Statement": [ { "Action": [ "yundun-sas:DescribeVulFixStatistics", "yundun-sas:DescribeVulDefendCountStatistics", "yundun-sas:DescribeVulMetaCountStatistics", "yundun-sas:DescribeVulListPage", "yundun-sas:DescribeVulNumStatistics", "yundun-sas:DescribeVulConfig", "yundun-sas:DescribeGroupedVul", "yundun-sas:DescribeVulDetails", "yundun-sas:DescribeVulList", "yundun-sas:DescribeVulWhitelist", "yundun-sas:DescribeAppVulScanCycle", "yundun-sas:ListVulAutoRepairConfig", "yundun-sas:DescribeEmgUserAgreement", "yundun-sas:DescribeEmgVulItem", "yundun-sas:DescribeUuidsByVulNames", "yundun-sas:DescribeTarget", "yundun-sas:DescribeVulTargetStatistics", "yundun-sas:DescribeConcernNecessity", "yundun-sas:DescribeOnceTask", "yundun-sas:GetOnceTaskResultInfo", "yundun-sas:DescribeCycleTaskList", "yundun-sas:DescribeVulExportInfo", "yundun-sas:DescribeInstanceRebootStatus", "yundun-sas:DescribeMachineCanReboot" ], "Resource": "*", "Effect": "Allow" } ] }Manajemen kerentanan
{ "Version": "1", "Statement": [ { "Action": [ "yundun-sas:OperateVuls", "yundun-sas:ModifyCreateVulWhitelist", "yundun-sas:DeleteVulWhitelist", "yundun-sas:ModifyVulWhitelistTarget", "yundun-sas:ModifyOperateVul", "yundun-sas:ModifyStartVulScan", "yundun-sas:ModifyVulConfig", "yundun-sas:ModifyEmgVulSubmit", "yundun-sas:ModifyVulTarget", "yundun-sas:ModifyCycleTask", "yundun-sas:ModifyAppVulScanCycle", "yundun-sas:ModifyAutoDelConfig", "yundun-sas:ModifyConcernNecessity", "yundun-sas:DeleteVulAutoRepairConfig", "yundun-sas:CreateVulAutoRepairConfig", "yundun-sas:ExportVul", "yundun-sas:RebootMachine", "yundun-sas:DescribeVulFixStatistics", "yundun-sas:DescribeVulDefendCountStatistics", "yundun-sas:DescribeVulMetaCountStatistics", "yundun-sas:DescribeVulListPage", "yundun-sas:DescribeVulNumStatistics", "yundun-sas:DescribeVulConfig", "yundun-sas:DescribeGroupedVul", "yundun-sas:DescribeVulDetails", "yundun-sas:DescribeVulList", "yundun-sas:DescribeVulWhitelist", "yundun-sas:DescribeAppVulScanCycle", "yundun-sas:ListVulAutoRepairConfig", "yundun-sas:DescribeEmgUserAgreement", "yundun-sas:DescribeEmgVulItem", "yundun-sas:DescribeUuidsByVulNames", "yundun-sas:DescribeTarget", "yundun-sas:DescribeVulTargetStatistics", "yundun-sas:DescribeConcernNecessity", "yundun-sas:DescribeOnceTask", "yundun-sas:GetOnceTaskResultInfo", "yundun-sas:DescribeCycleTaskList", "yundun-sas:DescribeVulExportInfo", "yundun-sas:DescribeInstanceRebootStatus", "yundun-sas:DescribeMachineCanReboot" ], "Resource": "*", "Effect": "Allow" } ] }Izin insinyur O&M
CatatanDalam skenario izin insinyur O&M, skrip kebijakan ini memungkinkan pengguna RAM menggunakan fitur pemindaian kerentanan, perbaikan kerentanan, pemeriksaan baseline, dan Asset Center, serta melakukan operasi terkait. Setelah menambahkan kebijakan ini, rujuk tindakan dan deskripsinya dalam tabel Lampiran: Kebijakan kustom umum untuk fitur tertentu di topik ini untuk operasi spesifik yang dapat dilakukan pengguna RAM.
{ "Version": "1", "Statement": [{ "Action": [ "yundun-sas:OperateVul", "yundun-sas:ModifyStartVulScan" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "yundun-sas:FixCheckWarnings", "yundun-sas:IgnoreHcCheckWarnings", "yundun-sas:ValidateHcWarnings" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ecs:RebootInstance", "Effect": "Allow", "Resource": "*", "Condition": { "Bool": { "acs:MFAPresent": "true" } } }, { "Action": "ecs:*", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:*" ] }, { "Action": "ecs:CreateSnapshot", "Effect": "Allow", "Resource": [ "acs:ecs:*:*:*", "acs:ecs:*:*:snapshot/*" ] }, { "Action": [ "ecs:Describe*" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "yundun-sas:ModifyPushAllTask", "yundun-sas:DeleteTagWithUuid", "yundun-sas:ModifyTagWithUuid", "yundun-sas:CreateOrUpdateAssetGroup", "yundun-sas:DeleteGroup", "yundun-sas:ModifyAssetImportant", "yundun-sas:RefreshAssets" ], "Resource": "*", "Effect": "Allow" } ] }
Klik Next To Edit Policy Information, lalu masukkan Name dan Note untuk kebijakan tersebut.
Klik OK.
Langkah 2: Berikan izin kepada pengguna RAM
Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih .
Pada halaman Permission, klik Grant Permission.
Di panel Grant Permission, berikan izin kepada pengguna RAM.
Secara default, pengguna RAM yang baru dibuat tidak memiliki izin apa pun.
Konfigurasikan parameter Resource Scope.
Account: Otorisasi berlaku pada akun Alibaba Cloud saat ini.
Resource Group: Otorisasi berlaku pada kelompok sumber daya tertentu.
PentingJika Anda memilih Resource Group untuk parameter Resource Scope, pastikan layanan cloud yang diperlukan mendukung kelompok sumber daya. Untuk informasi selengkapnya, lihat Layanan yang bekerja dengan Resource Group. Untuk informasi lebih lanjut tentang cara memberikan izin pada kelompok sumber daya, lihat Gunakan kelompok sumber daya untuk memberikan izin pengguna RAM mengelola instans ECS tertentu.
Konfigurasikan parameter Principal.
Principal adalah pengguna RAM yang akan diberikan izin. Anda dapat memilih beberapa pengguna RAM sekaligus.
Pilih kebijakan.
Cari dan pilih kebijakan AliyunYundunSASReadOnlyAccess. Kebijakan sistem ini memberikan akses read-only insinyur O&M ke Security Center.
Cari dan pilih kebijakan kustom yang Anda buat di Langkah 1: Buat kebijakan kustom untuk Security Center.
Klik OK.
Lampiran: Kebijakan kustom umum untuk fitur tertentu
Saat pengguna RAM menggunakan fitur tertentu dari Security Center, Anda harus memberikan izin kustom yang sesuai kepada pengguna RAM tersebut. Bagian-bagian berikut menjelaskan skrip kebijakan kustom untuk fitur umum Security Center.
Dalam kebanyakan kasus, suatu aksi dalam kebijakan kustom RAM berkorespondensi dengan operasi API layanan Alibaba Cloud.
Asset Center
Aksi dalam kebijakan RAM | Deskripsi | Operasi API yang didukung |
yundun-sas:DescribeCloudCenterInstances | Kueri daftar aset. Informasi mencakup jenis aset, status peringatan keamanan, dan status online klien. | |
yundun-sas:DescribeFieldStatistics | Kueri statistik server dalam aset Anda. | |
yundun-sas:DescribeCriteria | Ambil informasi kondisi kueri yang sesuai dengan nilai pencocokan fuzzy yang Anda masukkan saat mengkueri aset. | |
yundun-sas:ModifyPushAllTask | Jalankan tugas pemeriksaan keamanan pada server. | ModifyPushAllTask - Jalankan tugas pemeriksaan keamanan dengan satu klik |
yundun-sas:DeleteGroup | Hapus kelompok aset. | |
yundun-sas:DescribeSearchCondition | Kueri kondisi filter untuk aset. | |
yundun-sas:DescribeImageStatistics | Kueri statistik ancaman aset gambar kontainer. | DescribeImageStatistics - Kueri statistik ancaman aset gambar kontainer |
yundun-sas:DescribeGroupedTags | Kueri statistik tag aset. | |
yundun-sas:DescribeDomainCount | Ambil jumlah aset nama domain. | |
yundun-sas:DescribeCloudProductFieldStatistics | Ambil statistik layanan Alibaba Cloud. | DescribeCloudProductFieldStatistics - Kueri statistik layanan Alibaba Cloud |
yundun-sas:DescribeCloudCenterInstances | Kueri informasi aset. | |
yundun-sas:DescribeAllGroups | Kueri informasi semua kelompok server. | |
yundun-sas:CreateOrUpdateAssetGroup | Buat kelompok server atau modifikasi server dalam kelompok server. | CreateOrUpdateAssetGroup - Modifikasi hubungan antara aset dan kelompok aset |
yundun-sas:DescribeInstanceStatistics | Kueri statistik ancaman aset. | |
yundun-sas:PauseClient | Aktifkan atau jeda klien. | |
yundun-sas:ModifyTagWithUuid | Modifikasi nama tag aset atau aset yang termasuk dalam tag tertentu. | ModifyTagWithUuid - Modifikasi nama tag aset atau aset dalam tag |
yundun-sas:RefreshAssets | Sinkronkan aset terbaru. | |
yundun-sas:ExportRecord | Ekspor hasil deteksi dari halaman seperti Asset Center, Cloud Security Posture Management, Pemindaian Gambar Kontainer, Analisis Serangan, dan Deteksi Kebocoran Pasangan AccessKey ke file Excel. | |
yundun-sas:DescribeExportInfo | Lihat progres tugas ekspor aset. | |
yundun-sas:DescribeDomainList | Kueri daftar aset nama domain. | |
yundun-sas:DescribeDomainDetail | Ambil detail aset nama domain. | |
yundun-sas:DescribeAssetDetailByUuid | Kueri detail aset menggunakan UUID aset tersebut. | DescribeAssetDetailByUuid - Kueri detail aset server dan informasi tambahan |
Manajemen kerentanan
Aksi dalam kebijakan RAM | Deskripsi | Operasi API yang didukung |
yundun-sas:DescribeVulWhitelist | Kueri daftar putih kerentanan berdasarkan halaman. | DescribeVulWhitelist - Kueri daftar putih kerentanan berdasarkan halaman |
yundun-sas:ModifyOperateVul | Proses kerentanan yang terdeteksi. Anda dapat memperbaiki, memverifikasi, atau mengabaikan kerentanan. | |
yundun-sas:ModifyVulTargetConfig | Konfigurasi deteksi kerentanan untuk satu server. | ModifyVulTargetConfig - Konfigurasi deteksi kerentanan untuk satu server |
yundun-sas:DescribeConcernNecessity | Kueri informasi tentang apakah perlu memperbaiki kerentanan yang Anda pantau. | DescribeConcernNecessity - Kueri informasi tentang kebutuhan memperbaiki kerentanan yang Anda pantau |
yundun-sas:DescribeVulList | Kueri informasi kerentanan berdasarkan jenis kerentanan. | DescribeVulList - Kueri informasi kerentanan berdasarkan jenis kerentanan |
yundun-sas:ModifyOperateVul | Proses kerentanan yang terdeteksi. Anda dapat memperbaiki, memverifikasi, atau mengabaikan kerentanan. | |
yundun-sas:DescribeImageVulList | Lihat detail kerentanan yang terdeteksi oleh pemindaian gambar kontainer dan daftar gambar kontainer yang terpengaruh. | DescribeImageVulList - Lihat daftar kerentanan gambar kontainer |
yundun-sas:ExportVul | Ekspor daftar kerentanan. | |
yundun-sas:DescribeVulExportInfo | Lihat progres tugas ekspor kerentanan. | DescribeVulExportInfo - Lihat progres tugas ekspor kerentanan |
Cloud Security Posture Management
Aksi dalam kebijakan RAM | Deskripsi | Operasi API yang didukung |
yundun-sas:FixCheckWarnings | Perbaiki ancaman pemeriksaan baseline. | |
yundun-sas:IgnoreHcCheckWarnings | Abaikan atau hentikan pengabaian ancaman pemeriksaan baseline. | IgnoreHcCheckWarnings - Abaikan atau hentikan pengabaian ancaman baseline secara batch |
yundun-sas:ValidateHcWarnings | Verifikasi ancaman pemeriksaan baseline. | ValidateHcWarnings - Verifikasi ancaman pemeriksaan baseline secara batch |
Referensi
Elemen kebijakan: Kebijakan dalam RAM menjelaskan konten spesifik otorisasi dan terdiri dari elemen dasar seperti Effect, Action, Resource, Condition, dan Principal.
Struktur dan sintaks kebijakan: Pelajari sintaks dan struktur kebijakan untuk membuat atau memperbarui kebijakan.
Kelola izin untuk beberapa insinyur O&M menggunakan RAM: Jika perusahaan Anda memiliki berbagai kebutuhan O&M, Anda dapat menggunakan RAM untuk mengontrol izin setiap jenis insinyur O&M agar lebih mudah dikelola dan dikendalikan.
Kontrol akses ke sumber daya Alibaba Cloud berdasarkan alamat IP: Anda dapat menggunakan RAM untuk memungkinkan pengguna mengakses sumber daya cloud Anda hanya dari alamat IP tertentu. Hal ini meningkatkan keamanan akses.
Kontrol akses ke sumber daya Alibaba Cloud berdasarkan waktu: Anda dapat menggunakan RAM untuk memungkinkan pengguna mengakses sumber daya cloud Anda hanya dalam periode tertentu. Hal ini meningkatkan keamanan akses.